Mailinglisten-Archive |
* Peter Petermann wrote: > die authentication nicht in der Session abspeichern HTTP Auth hatr mehrere gravierende Nachteile: - mausgraues Fenster (verwirrt User) - kein echtes Logout (verwirrt User, weil einzige Möglichkeit des Logouts das erneute Senden der HTTP-Auth ist -> "Wieso soll ich mich einloggen, ich wollte micht doch ausloggen?") - keine Einbindung des Logins ins CD - keine feinkörnige Status des Loginmodus: o-> Eintritt vor dem Login o-> Zeichnen der Loginmaske o-> Eintritt nach dem Abschicken des Loginformulars o-> Validieren der eingegebenen Daten Erst dadurch wird ein "nobody"-Login Mechanismus möglich, der bei Punkt 3 einsetzt und nicht bei Punkt 1. - funktioniert nur mit mod_php Für einfache Sachen kann man IMHO durchaus HTTP Auth verwenden. Will man Benutzerfreundlichkeit und Flexibilität (insbesondere nobody-Logins wie vergleichsweise bei gmx.de, yaps.de, freemail.web.de etc.), kann man HTTP Auth wegschmeissen. Zur Sache mit Session-ID: ausschließlich Cookies verwenden, dann hat man (bzw. der Benutzer) das Problem nicht. D.h. durch social engineering den Benutzer darauf konditionieren, dass Cookies nicht böse sind und er durch Cookies nicht Gefahr läuft, dass sein Login gehijacked werden kann. -- PHP Schulungen und | International PHP Conference Schulungsmaterial: | 05. - 07.11.2001 http://thinkphp.de/ | Astron Hotel, Frankfurt http://rent-a-phpwizard.de/schulungen.php | http://www.php-kongress.de/
php::bar PHP Wiki - Listenarchive