[php] Session Handling

[Sven Geßner]

Hallo Lutz,

[...]
> > 2a) Wenn der Session Cookie nicht akzeptiert wird, wird die Session
> > ID an alle Links eurer Seite angehängt (IMHO großes
> >     Sicherheitsproblem).
[...]
> Variante 2.b) käme bei mir nur für sicherheitsunkritische Sessions in
> Frage, die niemals im Zusammenhang mit einem Benutzerlogin stehen und
> damit auf keinen Fall personenbezogen Daten enthalten können.
>
> Da die angehängten Session-IDs nicht nur unsicherer als Cookies sind,
> sondern auch im Zusammenhang mit Suchmaschinen Ärger machen können,
> tendiere ich mittlerweile aber allgemein dazu, nur noch die Variante
> 2.b) verwenden zu wollen.
[...]

Warum ist das soviel unsicherer.
Ich möchte mich da gern belehren lassen, weil ich da nicht ganz so
firm bin, aber ich nutze das auch für ein Login_funktion....

Ich hänge immer die SID an, weil ich dann keine Probleme mit Browsern
habe die kein cookie nehmen.

Ich frage dann noch einige werte ab wie:
        - browser
        - IP
        - und die Zeitspanne seit der letzten aktion.
        ansonsten wird die session_zerstört und eine neue gestartet.

Was ist da jetzt schlechte als ein Cookie???
Das verstehe ich nicht so recht...


Gruß Sven





  _____  

avast! Antivirus <http://www.avast.com> : Ausgehende Nachricht sauber. 


Virus-Datenbank (VPS): 0642-5, 20.10.2006
Getestet um: 21.10.2006 19:43:17
avast! - copyright (c) 1988-2006 ALWIL Software.