phpbar.de logo

Mailinglisten-Archive

[php] Usermanagment über mehrer Subdomains

[php] Usermanagment über mehrer Subdomains

Norbert Pfeiffer norbert at itbw.de
Sam Feb 25 11:32:56 CET 2006


Hi Lutz,

> > Worin besteht dann der Unterschied in der Sicherheit bei der
> > Uebertragung mit den Methoden GET, POST, Cookie ... <gruebel>
> bei POST müßtest Du ja jeden Link auf der gesamten Website als Formular
> einbauen bzw. über ein Formular aufrufen. Nicht gerade unaufwendig.
> Außerdem mußt Du dafür entweder Schaltflächen oder Javascript
> verwenden. Beides ist nicht so gut, wie ein konventioneller Link.
ah-ja,
wieder mal das boese JavaScript, aber wenn man ihm neue Namen
gibt ist es wieder HIP, siehe "Ajax" und "HTTPRequest" ... ;-)

Die ganze JS-Diskriminierung ist IMHO absoluter Unfug, nur weil
B.G. es missbraucht. Dann muessten wir auch den PC als solchen
bekaempfen, den missbraucht ER auch taeglich ... ;-)


> Es wird also gute Gründe geben, warum diese Lösung bis heute
> nicht verbreitet eingesetzt wird. :-)
klar, Faulheit und Ignoranz, das sind die menschlichsten ... ;-)


> > In jedem Fall wird die Sessions-ID plain-Text ueber das Netz
> > geschickt und ich weiss nicht, was mich daran hindern koennte,
> > sie zu lesen und zu benutzen ...
> Eine verschlüsselte Verbindung.
<zitat> Nicht gerade unaufwendig. </zitat>
Aber das ist IMHO eine andere Liga, die spielt hier nicht mit.


> > Der Keks ist nur sicherer gegenueber dem Blickkontakt vom
> > Nachbar-PC, aber das ist ja wohl nicht wesentlich wichtig.
> Das stimmt nicht. Ein Cookie erscheint z.B. nicht in URL-Caches
> und Server-Logs. Session-IDs in der URL wohl.
hmm,
das passiert bei POST auch nicht, deshalb ja mein Einwurf !

Ansonsten kann man eine Sessions-ID durch viele Massnahmen
schuetzen, so dass einfaches kopieren absolut nichts bringt.
Sicherheit ist _immer_ gleichbedeutend mit Aufwand !


m. b. G. Norbert
_____________________
normal:  02682-966898
Notruf:  0163-3613642
---------------------
e.o.m.


php::bar PHP Wiki   -   Listenarchive