phpbar.de logo

Mailinglisten-Archive

[php] session - cookie problem

[php] session - cookie problem

Lutz Zetzsche Lutz.Zetzsche at sea-rescue.de
Die Okt 5 13:06:20 CEST 2004


Hi Christian,

InterNetX - Christian Heimerl schrieb:
> schade das du meine nachgeschickte e-mail nicht gelesen hast, sonst
> hättest du dir diese sparen können, trotzdem noch einen schönen tag...

jein, denn der Ansatz, den Cookie so zu setzen, dass er mit dem Schliessen
aller Browserinstanzen ablaeuft, koennte Dein Problem eventuell loesen
(siehe die Beitraege von gestern), sofern der Browser den Cookie in diesem
Fall ausschliesslich im Speicher haelt und nicht auf der Festplatte ablegt
und von dort holt.


> Stephan Fiedler wrote:
>> Hi Christian,
>>> setcookie( "sessid", $id, (time()+60*60*24*7), "/" );
>> Das ist Dein Problem:
>> Du setzt einen "Permanenten" Cookie mit einer Lebenszeit von einer
>> Woche. Der wird auf die Festplatte geschrieben, ins
>> "Userverzeichnis".
>> Da von einer Session zu sprechen ist schon witzig.
>> session_start() _stetzt_ bereits einen cookie, einen "echten"
>> Session-Keks namlich, der solange gilt, wie der Browser (meist also
>> alle
>> Instanzen) offen sind. schlieszt du den Browser endgueltig, ist der
>> cookie im Orkus (oder im Nirvana, oder wo auch immer in deinem
>> Weltbild
>> die guten und rechtschaffenen Cookies nach dem ableben hingehen
>> Ich war im leben nicht oft in inet-cafes, aber ich hab dort noch
>> nie ein
>> (eigenes) Login erhalten. Es ist _immer derselbe User_ (in)  (im
>> Sinne
>> von lokales Userprofil) der deine Seite besucht, daher auch immer
>> derselbe Cookie. Also fuer Deine Seite auch der selbe Benutzer wie
>> vorher.
>> Der durchschnittliche Dau vergiszt auch den "Logout"-knopf deiner
>> Seite
>> zu druecken (der die Session, die mit dem Cookie verknuepft ist,
>> zerstoert (oder gibt's den nicht?))
>> Und schon kann jeder jede Mailadresse und alles andere klauen.
>> Also irrte der Vorposter, der meinte, das Cafe baut mist, ich
>> fuerchte,
>> Du bist es.

Auch was die Sicherheitsaspekte angeht, hat Stephan Berechtigtes gesagt -
also auch nicht ueberfluessig. :-)


Das Problem ist, dass Du gegenwaertig zu unspezifische Informationen gibst
und es von daher sehr schwierig ist, konkrete Hilfestellung zu geben, weil
wir ja nicht die Moeglichkeit haben, mit Deiner Website zu testen.

Erschwerend kommt hinzu, dass Du Dich zu den Vorschlaegen von gestern noch
nicht geaeussert hast. Den ganzen Tag wurde froehlich ueber Dein Thema
diskutiert, ohne dass Du Dich irgendwie noch einmal richtig eingeschaltet
hast. ;-) Welchen Hinweisen bist Du schon nachgegangen, und was ist dabei
herausgekommen? :-)



Viele Gruesse

Lutz


php::bar PHP Wiki   -   Listenarchive