Reccookies – grafische Veranschaulichung

Version 1.0, 12.03.2005

  1. Der Nutzer gibt den Authentifizierungsstring vor, daraufhin setzt der Server das Reccookie


  2. Wenn der Nutzer irgendwie auf die Seite zugreift – durch manuelle Eingabe der Adresse, Bookmark, E-Mail-Link oder wie auch immer – fragt der Server ab, ob ein Reccookie vorhanden ist. Da der Server die richtige Adresse (Hostname) hat, sendet der Browser den Inhalt des Reccookie an den Server und dieser zeigt den Inhalt daraufhin in der Loginseite an. Findet der Server kein Cookie, gibt er eine entsprechende Meldung aus. Das kann natürlich auch ein Phishingserver, aber dies sollte nicht vorkommen, und wenn doch, wird der User zumindest daran erinnert, dass er nur auf verlässlichem Weg die Seite aufrufen darf (Bookmark oder manuelle Eingabe).


  3. Ein Phisher bekommt das Reccookie vom Browser nicht, da der Browser (im gegensatz zum Nutzer) merkt, dass der Server nicht die richtige Adresse hat.