Mailinglisten-Archive |
Ralf Geschke wrote: > Nein, so einfach ist es nun auch wieder nicht. > Neben den bereits von Arne angesprochenen Punkten wird > zusaetzlich die Verbindung zwischen Session und eingeloggtem > Benutzer nach einer Stunde Inaktivitaet ungueltig. Danach > nuetzt Dir insofern die geklaute Session auch nichts mehr. Naja 1 Stunde finde ich schon was heftig. 15 Minuten sollten ausreichen für solche Fälle wie diesen hier. > Naja, das liegt wohl nur an Deinem Browser. ;-) > Als erstes wird jedenfalls versucht, einen Cookie zu setzen. > Dies geschieht beim ersten Seitenaufruf. Auf dieser > Seite werden die Links mit der Session als GET-Parameter > hinzugefuegt. Falls nun Cookies akzeptiert werden, > wird dies beim kommenden Klick auf einen der Links > erkannt, so dass alle weiteren Links keine Sessions als > GET-Parameter beinhalten. Falls keine Cookies akzeptiert > werden, muessen die Links jedoch auch auf allen weiteren > Seiten als GET-Parameter uebermittelt werden, ansonsten > waere der Zustand des Einloggens gleich wieder verloren. Das liegt teilweise auch an euch. Cookie-Paranoide Browser wie der IE 6 oder der aktuelle Mozilla nehmen keine Cookies mehr an wenn ihr da nicht dieses komische Datenschutz-XML-Geraffel irgendwo hinmacht. P3P heisst das, ist irgendwo auf w3.org beschrieben. Ansonsten "derefert" ihr nicht, da Links direkt erfolgen. Sprich, die Session-ID ist auf der gelinkten Seite auch noch auslesbar. MfG, Sebastian -- Sebastian Nohn - Wismarer Str. 22 - D-53757 Sankt Augustin - Germany mobile: +49 170 471 8105 email: sebastian at nohn.net web: http://nohn.net did i help you? consider a gift: http://wishlist.nohn.net/
php::bar PHP Wiki - Listenarchive