phpbar.de logo

Mailinglisten-Archive

[php] Session Handling

[php] Session Handling

Niels Runge info at runge.it
Sam Okt 21 15:22:56 CEST 2006


Hallo Ralf,

Ralf Eggert wrote:
> ich wollte einmal in die Runde fragen, wie ihr das mit dem Session
> Handling so handhabt. Hier ein paar Aspekte:
>
> 1a) Der Session Cookie ist nur für Dauer der Sitzung gültig.
>
> 1b) Der Session Cookie ist auch nach dem Schließen des Browsers
>     weiterhin gültig.
>
> 2a) Wenn der Session Cookie nicht akzeptiert wird, wird die Session ID
>     an alle Links eurer Seite angehängt (IMHO großes
>     Sicherheitsproblem).
>
> 2b) Wenn der Session Cookie nicht akzeptiert wird, gibt es keine
>     Alternative. Zum Einloggen ist somit zwingend ein Cookie zu
>     akzeptieren
>
> 3a) Jeder Besucher der Seite bekommt immer einen Session Cookie
>     zugeteilt.
>
> 3b) Es werden nur Session Cookies verteilt, wenn sie wirklich notwendig
>     sind. Ich nenne es mal den Ansatz der Cookie-Sparsamkeit.
>
> Meiner Meinung nach ist eine Kombination aus 1a), 2b) und 3b) der beste
> Ansatz.
>   
Bei mir ist es eine Kombination aus den a-ernn = 1a, 2a, 3a :-)

Ich sehe 2a nicht als ein Sicherheitsproblem. Es gibt hier doch mehrere 
Ansätze.
Z.B. weitere Daten in der Session festhalten die überprüft werden. Ich 
meine hier nicht die IP-Adresse (weil die sich ja ändern könnte z.B. 
AOL, Proxy etc.) sondern eher den Useragent oder Kombination aus UA und 
Browsersprachangabe. Bisher hatte ich keine Probleme damit, bin mir aber 
sicher dass gleich jemand kommt "wenn ... und ... dann klappt es nicht"
Bisher hat sich noch kein Auftraggeber beschwehrt dass User aus der 
Session fliegen, vondaher hoffe ich mal dass es zu 99,99% funktioniert.

Allgemein nutze ich ich nicht das Dateisystem sondern die Datenbank 
session_set_save_handler

Ich habe aber session.use_trans_sid deaktiviert, also das "ranhängen" 
der SID erledigt die TemplateEngine.

Gruß,
Niels

php::bar PHP Wiki   -   Listenarchive