Mailinglisten-Archive |
Hallo Ralf, Ralf Eggert wrote: > ich wollte einmal in die Runde fragen, wie ihr das mit dem Session > Handling so handhabt. Hier ein paar Aspekte: > > 1a) Der Session Cookie ist nur für Dauer der Sitzung gültig. > > 1b) Der Session Cookie ist auch nach dem Schließen des Browsers > weiterhin gültig. > > 2a) Wenn der Session Cookie nicht akzeptiert wird, wird die Session ID > an alle Links eurer Seite angehängt (IMHO großes > Sicherheitsproblem). > > 2b) Wenn der Session Cookie nicht akzeptiert wird, gibt es keine > Alternative. Zum Einloggen ist somit zwingend ein Cookie zu > akzeptieren > > 3a) Jeder Besucher der Seite bekommt immer einen Session Cookie > zugeteilt. > > 3b) Es werden nur Session Cookies verteilt, wenn sie wirklich notwendig > sind. Ich nenne es mal den Ansatz der Cookie-Sparsamkeit. > > Meiner Meinung nach ist eine Kombination aus 1a), 2b) und 3b) der beste > Ansatz. > Bei mir ist es eine Kombination aus den a-ernn = 1a, 2a, 3a :-) Ich sehe 2a nicht als ein Sicherheitsproblem. Es gibt hier doch mehrere Ansätze. Z.B. weitere Daten in der Session festhalten die überprüft werden. Ich meine hier nicht die IP-Adresse (weil die sich ja ändern könnte z.B. AOL, Proxy etc.) sondern eher den Useragent oder Kombination aus UA und Browsersprachangabe. Bisher hatte ich keine Probleme damit, bin mir aber sicher dass gleich jemand kommt "wenn ... und ... dann klappt es nicht" Bisher hat sich noch kein Auftraggeber beschwehrt dass User aus der Session fliegen, vondaher hoffe ich mal dass es zu 99,99% funktioniert. Allgemein nutze ich ich nicht das Dateisystem sondern die Datenbank session_set_save_handler Ich habe aber session.use_trans_sid deaktiviert, also das "ranhängen" der SID erledigt die TemplateEngine. Gruß, Niels
php::bar PHP Wiki - Listenarchive