phpbar.de - Mailinglisten-Archive

Mailinglisten-Archive

AW: AW: [php] Umbau: Session-ID aus URL in Cookie stecken - Fragenzum ersten Folgeaufruf der Seite

Lutz Zetzsche Lutz.Zetzsche at sea-rescue.de
Mit Sep 22 13:41:11 CEST 2004

Vorherige Nachricht: AW: AW: [php] Umbau: Session-ID aus URL in Cookie stecken - Fragenzum ersten Folgeaufruf der Seite
Nächste Nachricht: AW: AW: AW: [php] Umbau: Session-ID aus URL in Cookie stecken - Fragenzum ersten Folgeaufruf der Seite
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject) ] [ Autor ]

Hi Tim,

Tim Hildebrandt schrieb:
> meine Frage ist: Wie kann man dann vorgehen? Ist es möglich, den Rechner
> anhand der Browserkennung kurzfristig zu identifizieren? Oder ist die
> Wahrscheinlichkeit, dass das wegen möglicher doppelter Werte nicht geht,
> zu groß? Oder sollte man einfach mal davon ausgehen, dass dieser Fall so
> gut wie nie vorkommt? Das wäre dann bei Suchmaschinen problematisch, die
> keine Cookies akzeptieren würden, da dann für jeden Zugriff eine neue
> Sitzung erzeugt würde, die gleich darauf als "Geistersitzung" im System
> rumspukt...

Die Browserkennung steht ja in der Umgebungsvariablen HTTP_USER_AGENT, die
ich schon mehrfach erwaehnte. Hierueber kannst Du, sofern sie sich zu
erkennen geben, Suchmaschinen eindeutig identifizieren. Entsprechende
Listen mit den HTTP_USER_AGENT-Angaben der Suchmaschinen findest Du im
Internet.

Wie gesagt, koenntest Du damit ja dann auch die Session fuer Suchmaschinen
unterdruecken (das war mein Loesungsvorschlag 2).

Ansonsten reicht die Browserkennung aus meiner Sicht auf keinen Fall
alleine zur Identifizierung aus.


> Vielleicht sollte ich noch erwähnen, dass bei uns die SID's in einer
> Datenbank gespeichert sind und ich somit auf alle geöffneten Sitzungen
> Zugriff habe, die global existieren... Eine Recherche nach geöffneten
> Sitzungen in Verbindung mit der Browserkennung UND/ODER der IP Adresse
> wäre
> also möglich. Aber: Wie groß ist die Wahrscheinlichkeit, dass jemand
> falsches eine zuvor geöffnete Sitzung bekommt, nur weil er zufällig
> dieselbe Browserkennung besitzt, wie jemand anderes zuvor?

Da Windows und der Internet Explorer sehr stark verbreitet sind, liegt
fuer mich die Vermutung nahe, dass diese Wahrscheinlichkeit sehr hoch ist.

Eine einigermassen sichere Identifizierung koennte die Kombination von IP
und Browser bringen. So richtig schmeckt mir sowas allerdings nicht.
Entscheidend ist dabei fuer mich aber auch, wie sensibel die Daten sind,
die ueber die Session personalisiert werden.

Ausserdem: Aendert sich die IP-Adresse des Besuchers waehrend der Session
(Stichwort dynamische IP-Vergabe), dann kriegst Du u.U. auch ein Problem,
die Session ueberhaupt wiederzufinden.


Viele Gruesse

Lutz

Vorherige Nachricht: AW: AW: [php] Umbau: Session-ID aus URL in Cookie stecken - Fragenzum ersten Folgeaufruf der Seite
Nächste Nachricht: AW: AW: AW: [php] Umbau: Session-ID aus URL in Cookie stecken - Fragenzum ersten Folgeaufruf der Seite
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject)] [ Autor ]

php::bar PHP Wiki - Listenarchive