phpbar.de - Mailinglisten-Archive

Mailinglisten-Archive

[php] Session validierung

Lutz Zetzsche Lutz.Zetzsche at sea-rescue.de
Don Feb 1 11:19:47 CET 2007

Vorherige Nachricht: [php] Session validierung
Nächste Nachricht: [php] Session validierung
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject) ] [ Autor ]

Hallo Christoph,

Am Donnerstag, 01. Februar 2007 10:17 schrieb Christoph Jeschke:
> * Martin Adler::
> > Denke es sollte kein Akt des unmöglichen sein, von einem User zu
> > verlangen doch bitte in seinem eigenen Interesse, Cookies für eine
> > vertrauenswürdige Seite zu erlauben.
>
> Nicht jeder User ist auch Administrator seiner Maschine (wowereit).
> Gerade im Umfeld von größeren Firmen oder Ministerien ist es üblich,
> nichts administrieren zu dürfen - und auch durchaus üblich,
> JavaScript und Cookies zu verbieten. Deswegen ist der Hinweis auf
> Cookies, den hier ein anderer User vorschlug, auch blanker Hohn.
>
> Für eine Privat-Das-ist-mein-Goldfisch-Seite mag das alles ziemlich
> egal sein. Aber im geschäftlichen Umfeld sieht das gleich ganz anders
> aus: Funktioniert die Seite/Applikation bei $Einkäufer oder
> $Entscheider nicht, wird eben kein Geschäft gemacht. Die Konkurrenz
> ist ja immer nur ein paar Mausklicks entfernt.

ich muß Dir hier ausnahmsweise widersprechen. :-)

Geht es um Sessions, die mit personalisierbaren oder gar 
personalisierten Daten umgehen, muß man den Benutzer aus meiner Sicht 
zwingen, entweder den Session-Cookie anzunehmen oder auf die Benutzung 
der Website zu verzichten. Alles andere ist grob fahrlässig und würde 
im Übrigen dem Sicherheits- und Datenschutzinteresse des Benutzers 
widersprechen.

Meine Argumentation ist nämlich so:

Wenn ein Anwender aus Sicherheitsgründen kein Javascript und keine 
Cookies zuläßt, dann scheint er doch auf Sicherheit wertzulegen, und da 
wäre es doch sicherlich nicht richtig, im als Ersatz für die weit 
sicherere Session per Cookie die auf jeden Fall unsichere Session per 
Session-ID in der URL anzubieten.

Außerdem:

Gerade diese Anwender sind es dann, die einem Vorwürfe machen, wenn es 
dann plötzlich ein Sicherheitsproblem wegen der Session-ID in der URL 
gibt...

Etwas abseits der Thematik, aber trotzdem ganz hilfreich zur 
diesbezüglichen Meinungsbildung, welchen Ärger man mit ungeschickt 
gewählten URLs bekommen kann, ist die ganze Diskussion um die 
Sicherheit und den Datenschutz bei StudiVZ.

Also mein Votum ist ganz klar: Akzeptiere den Session-Cookie oder lasse 
es halt und gehe woanders hin, lieber Anwender.


Viele Grüße
Lutz

Vorherige Nachricht: [php] Session validierung
Nächste Nachricht: [php] Session validierung
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject)] [ Autor ]

php::bar PHP Wiki - Listenarchive