Mailinglisten-Archive |
Hi Lutz, > > Worin besteht dann der Unterschied in der Sicherheit bei der > > Uebertragung mit den Methoden GET, POST, Cookie ... <gruebel> > bei POST müßtest Du ja jeden Link auf der gesamten Website als Formular > einbauen bzw. über ein Formular aufrufen. Nicht gerade unaufwendig. > Außerdem mußt Du dafür entweder Schaltflächen oder Javascript > verwenden. Beides ist nicht so gut, wie ein konventioneller Link. ah-ja, wieder mal das boese JavaScript, aber wenn man ihm neue Namen gibt ist es wieder HIP, siehe "Ajax" und "HTTPRequest" ... ;-) Die ganze JS-Diskriminierung ist IMHO absoluter Unfug, nur weil B.G. es missbraucht. Dann muessten wir auch den PC als solchen bekaempfen, den missbraucht ER auch taeglich ... ;-) > Es wird also gute Gründe geben, warum diese Lösung bis heute > nicht verbreitet eingesetzt wird. :-) klar, Faulheit und Ignoranz, das sind die menschlichsten ... ;-) > > In jedem Fall wird die Sessions-ID plain-Text ueber das Netz > > geschickt und ich weiss nicht, was mich daran hindern koennte, > > sie zu lesen und zu benutzen ... > Eine verschlüsselte Verbindung. <zitat> Nicht gerade unaufwendig. </zitat> Aber das ist IMHO eine andere Liga, die spielt hier nicht mit. > > Der Keks ist nur sicherer gegenueber dem Blickkontakt vom > > Nachbar-PC, aber das ist ja wohl nicht wesentlich wichtig. > Das stimmt nicht. Ein Cookie erscheint z.B. nicht in URL-Caches > und Server-Logs. Session-IDs in der URL wohl. hmm, das passiert bei POST auch nicht, deshalb ja mein Einwurf ! Ansonsten kann man eine Sessions-ID durch viele Massnahmen schuetzen, so dass einfaches kopieren absolut nichts bringt. Sicherheit ist _immer_ gleichbedeutend mit Aufwand ! m. b. G. Norbert _____________________ normal: 02682-966898 Notruf: 0163-3613642 --------------------- e.o.m.
php::bar PHP Wiki - Listenarchive