[php] Session validierung

[Niels Jäckel]

Hallo Christoph,

> Nicht jeder User ist auch Administrator seiner Maschine (wowereit).
> Gerade im Umfeld von größeren Firmen oder Ministerien ist es üblich,
> nichts administrieren zu dürfen - und auch durchaus üblich, JavaScript
> und Cookies zu verbieten. Deswegen ist der Hinweis auf Cookies, den hier
> ein anderer User vorschlug, auch blanker Hohn.
> 
> Für eine Privat-Das-ist-mein-Goldfisch-Seite mag das alles ziemlich egal
> sein. Aber im geschäftlichen Umfeld sieht das gleich ganz anders aus:
> Funktioniert die Seite/Applikation bei $Einkäufer oder $Entscheider
> nicht, wird eben kein Geschäft gemacht. Die Konkurrenz ist ja immer nur
> ein paar Mausklicks entfernt.

es mag solche Konfigurationen geben. Ob die sinnvoll sind oder nicht 
steht auf einem anderen Blatt. Jedenfalls müssen sich die Admins, die 
diese Policies erlassen dann auch im Klaren sein, dass sie den Nutzern 
viele Wege verbauen.

Cookies gehören nun mal zu HTTP wie die Maus zur grafischen 
Benutzeroberfläche. Entfernt man das eine treten plötzlich sehr viele 
Probleme auf.

Ich persönlich sehe keinen Grund Cookies zu verbieten. Wenn die zu 
setzenden Cookies ordentlich konfiguriert werden (Domain, Ordner, 
Lebensdauer, ...) fallen mir nur noch sehr wenige Möglichkeiten ein 
Cookies zu missbrauchen - das dürfte ja der Grund für die Deaktivierung 
sein.

Viel kritischer ist da JavaScript: Es können die Cookies ausgelesen 
werden und an beliebige Seiten weitergeschickt werden (sei es nun über 
ein "Bild" mit Parameter oder sogar per AJAX...)


Grüße,
Niels