[php] Session Handling

[Niels Runge]

Hallo Sven,

Sven Geßner wrote:
> Hallo Lutz,
>
> [...]
>   
>>> 2a) Wenn der Session Cookie nicht akzeptiert wird, wird die Session
>>> ID an alle Links eurer Seite angehängt (IMHO großes
>>>     Sicherheitsproblem).
>>>       
> [...]
>   
>> Variante 2.b) käme bei mir nur für sicherheitsunkritische Sessions in
>> Frage, die niemals im Zusammenhang mit einem Benutzerlogin stehen und
>> damit auf keinen Fall personenbezogen Daten enthalten können.
>>
>> Da die angehängten Session-IDs nicht nur unsicherer als Cookies sind,
>> sondern auch im Zusammenhang mit Suchmaschinen Ärger machen können,
>> tendiere ich mittlerweile aber allgemein dazu, nur noch die Variante
>> 2.b) verwenden zu wollen.
>>     
> [...]
>
> Warum ist das soviel unsicherer.
> Ich möchte mich da gern belehren lassen, weil ich da nicht ganz so
> firm bin, aber ich nutze das auch für ein Login_funktion....
>
> Ich hänge immer die SID an, weil ich dann keine Probleme mit Browsern
> habe die kein cookie nehmen.
>   
Ich hänge die SID nur an wenn der Client keine Cookies unterstützt. Dann 
aber auch an jede URL.

> Ich frage dann noch einige werte ab wie:
>         - browser
>         - IP
>         - und die Zeitspanne seit der letzten aktion.
>         ansonsten wird die session_zerstört und eine neue gestartet.
>
> Was ist da jetzt schlechte als ein Cookie???
> Das verstehe ich nicht so recht...
>
>   
Du solltest nicht die IP verwenden, Browser verwende ich auch aber IP 
kann sich ändern. Ok, wenn jemand irgendein ach so tolles Tool verwendet 
dann vielleicht auch der Browser, aber den Fall hatte ich bsiher noch 
nicht. Bei AOL-Usern wechselt öfter mal die IP und bei anderen wohl auch.

Ich kann auch nicht ganz nachvollziehen was an der Methode Problematisch 
ist (also SID anhängen), aber vielleicht habe ich jetzt jahrelang etwas 
übersehen. Also Lutz und alle anderen, wo ist das Risiko?

Gruß
Niels