phpbar.de logo

Mailinglisten-Archive

[php] trans_sid beschränken

[php] trans_sid beschränken

Christoph Jeschke christoph.jeschke at gmail.com
Mi Feb 3 13:16:44 CET 2010


Am 3. Februar 2010 12:51 schrieb Andreas Müller <php at universalware.de>:

Lieber Andreas,

> nun "url-rewriter.tags" kenne ich nur löst das ja das Problem nicht. Man
> bäuchte eigentlich ein "url-rewrite.ext" ...

Über die Konfigurationsoption sollte gesteuert sein, dass deine Bilder
einen Link angepappt bekommen. Da aber das ganze Thema von den
PHP-Leuten seit einer Weile ignoriert wird (schließlich soll man ja
trans_sid auch nicht mehr verwenden), kann ich dir nicht genau sagen,
ob der URL-Rewriter nicht mehr macht, als er sollte.

> Klar kann es sein das ein z.B. "/img/logo.gif" eigentlich auf ein Script
> gemappt wird. Ist aber eher sehr selten. Daher macht es an sich ja kaum Sinn
> dieser URL eine Session anzuhängen. Den Webserver stört das nicht weiter -
> es wirkt sich aber nachteilig auf Caches aus.

Sorge dafür, dass die Bilder mit einer absoluten, externen URI
referenziert werden. Dann hängt der Rewriter IIRC keine Session-ID an.

> Die Lösung "use-trans-sid" auszuschalten ist auch keine Lösung. Es kommt
> durchaus vor das Benutzer mit abgeschalteten Session-Cookies kommen und
> diese würde man dann ausschließen was unschön wäre.

Da bleibt das Session-Riding-Problem, z.B. im Referer von deiner Seite
weg zu einer externen Seite über einen Link. Einen Tod wirst du
sterben müssen und ich würde mich der Empfehlung der PHP-Leute
anschließen, dass man trans_sid nicht (mehr) verwenden sollte.

Gruß
Christoph

php::bar PHP Wiki   -   Listenarchive