Mailinglisten-Archive |
Hallo Ralf, Ralf Eggert schrieb: > Der Fallback Mechanismus ist mir schon klar. So funktionieren Sessions > ja auch, indem man die eindeutige Session ID bei Cookie Verweigerern > immer von Seite zu Seite "mitschleift". Sei es als Hidden Field in > Formularen oder als Parameter in der URL. > > Wie ich schon schrieb, ist aber genau das aus diversen Gründen eben > nicht gewünscht. Und deshalb sind wir hier auch der Meinung, dass man > das Problem unter den genannten Voraussetzungen gar nicht lösen kann. wenn die diversen Gründe vor allem Sicherheitsbedenken sind, sollten wir vielleicht hier mal darüber diskutieren, wie man diese auch bei "mitgeschleiften" Session-IDs ausräumen kann. Als problematisch werden ja Session-IDs in Suchmaschinenlinks genannt, die dazu führen können, dass mehrere User mit der selben ID unterwegs sind. Das Problem könnte man sicherlich dadurch entschärfen, dass man bei jedem User, der von "außen" kommt die vorhandene Session-ID verwirft und neu anlegt. Sicherlich könnte man noch mehr machen. Auf jeden Fall wäre es für uns interessant zu erfahren, was aus Deiner Sicht sonst gegen eine Fallback-Lösung spricht, sofern Du dafür keine Geschäftsgeheimnisse preisgeben musst. ;-) Viele Grüße Peter
php::bar PHP Wiki - Listenarchive