[php] Session validierung

[Niels Jäckel]

Hallo Hartmut,

>> Ja. Aber Verhaltensprobleme ("Sessions per E-Mail verschicken") kann man
>> nicht zuverlässig durch Technologie ("ID verstecken") beheben. Gerade
>> bei Fools funktioniert das nicht.
> 
> hier könnte man sich zumindest teilweise durch Referer-Checks absichern,
> wenn die Referer-URL nicht die gleiche Session-ID enthält wie die
> Request-URL. Das hilft zwar nicht gegen absichtlichen Missbrauch aber
> zumindest gegen die üblichen Bookmark- und Copy&Paste Probleme ...
> sozusagen als Secondary-Fool-Protection ...

wenn man wirklich auf einen restriktiven Firmenproxy stößt, wird dieser 
mit aller Sicherheit auch UA und Referer rausfiltern...


Niels