[php] Usermanagment über mehrer Subdomains

[Lutz Zetzsche]

Hi Norbert,

Am Samstag, 25. Februar 2006 01:40 schrieb Norbert Pfeiffer:
> Hallo Lutz,
>
> mal angenommen, jemand snifft Deinen Netzknoten, ja ... ?!
>
> Worin besteht dann der Unterschied in der Sicherheit bei der
> Uebertragung mit den Methoden GET, POST, Cookie ... <gruebel>

bei POST müßtest Du ja jeden Link auf der gesamten Website als Formular 
einbauen bzw. über ein Formular aufrufen. Nicht gerade unaufwendig. 
Außerdem mußt Du dafür entweder Schaltflächen oder Javascript 
verwenden. Beides ist nicht so gut, wie ein konventioneller Link.

Es wird also gute Gründe geben, warum diese Lösung bis heute nicht 
verbreitet eingesetzt wird. :-)

Außerdem: Wenn man noch einmal erhöhte Sicherheitsanforderungen hat, 
dann setzt man auf die Cookie-Lösung noch eine verschlüsselte 
Verbindung drauf. Dann muß schon jemand auf meinem Rechner oder auf dem 
Server sniffen - und dann habe ich mit Sicherheit ein ganz anderes 
Problem... ;-)

> In jedem Fall wird die Sessions-ID plain-Text ueber das Netz
> geschickt und ich weiss nicht, was mich daran hindern koennte,
> sie zu lesen und zu benutzen ...

Eine verschlüsselte Verbindung.

> Der Keks ist nur sicherer gegenueber dem Blickkontakt vom
> Nachbar-PC, aber das ist ja wohl nicht wesentlich wichtig.

Das stimmt nicht. Ein Cookie erscheint z.B. nicht in URL-Caches und 
Server-Logs. Session-IDs in der URL wohl. Wenn Du mal an 
Browserhistorien, Browsercaches, Proxy-Caches etc. denkst, wir der 
Unterschied sicherlich klar. Die Session-ID in der URL ist die 
unsicherste Methode übehaupt.

> Und wieso reden alle von GET als Fallback und niemand ueber
> die Methode POST. Die hat doch alle Pseudo-Vorteile die ein
> Keks auch hat ... <gruebel>

Wie gesagt. :-)


Viele Grüße
Lutz