phpbar.de logo

Mailinglisten-Archive

[php] Session validierung

[php] Session validierung

Martin Spuetz mas at spuetz.ath.cx
Don Feb 1 12:15:47 CET 2007


Christoph Jeschke wrote:
>> Geht es um Sessions, die mit personalisierbaren oder gar 
>> personalisierten Daten umgehen, muß man den Benutzer aus meiner Sicht
>>  zwingen, entweder den Session-Cookie anzunehmen oder auf die
>> Benutzung der Website zu verzichten. Alles andere ist grob fahrlässig
>> und würde im Übrigen dem Sicherheits- und Datenschutzinteresse des
>> Benutzers widersprechen.
> 
> Ich sehe derzeit keinen großen Sicherheitsgewinn in Cookies vs. Übergabe
> in der URL, denn auch Cookies kann man entführen. Ich sehe aber einen
> Kompatibilitätsvorteil beim (optionalen) Einsatz von Trans-SID. Wo
> würdest Du denn den hauptsächlich Vorteil von Cookies sehen?

Ein großer Vorteil ist dass für einen "normalen" Anwender das Session
Cookie nicht sichtbar ist. Beim query munging sieht es anders aus, der
Anwender kopiert den kompletten Link und verschickt den z.B. per E-Mail.

George Schlossnagle schreibt in "Professionelle PHP 5-Programmierung"
das URLs ohne Session-Id von der Ästhetik her schöner sind.

Gruss,
Martin

php::bar PHP Wiki   -   Listenarchive