phpbar.de logo

Mailinglisten-Archive

[php] Sessioin konfigurieren unter Linux

[php] Sessioin konfigurieren unter Linux

Enrico Weigelt php_(at)_phpcenter.de
Sat, 2 Mar 2002 18:28:11 +0100


On Sat, Mar 02, 2002 at 06:03:37PM +0100, Bj?rn Schotte wrote:

<snip>
> Nein, weil GET den Nachteil hat, dass Session-Hijacking
> leichter von statten geht (URL-Weiterleitung per Mail
> an Freunde). 

das hat ueberhaupt nichts mit der request method zu tun.
du kannst ja z.b. auch gern via POST arbeiten.

allerdings sollte man bedenken, dass POST ausschliesslich 
zum senden von informationen und nicht zum normalen laden. 
der reply steht immer im unmittelbarem zusammenhang mit den 
geposteten daten und ist nicht ueber eine URI erreichbar.
(manche proxies simulieren dies durch URI-rewriting)

im uebrigen sollte man die session-lifetime sowiso recht 
kurz halten. ansonsten reicht es, wenn der absender in der
SID ein zeichen aendert.

im uebrigen sollte man nicht die tragenden konzepte des 
WWW fuer solche kleinigkeiten aufweichen. das fuehrt am 
ende nur dazu, dass viele websites fuer eine ganze reihe
von leuten unbrauchbar werden. 

ein aehnliches, allerdings noch schlimmeres beispiel sind
jene websites, die den User-Agent header auswerten und 
dann nur bei IE und gradeso bei NS funktionieren, bei 
anderen namen im User-Agend-Header nur muell liefern.

> Au?erdem wird das Bookmarking erschwert, da
> im Bookmark dann die (veraltete) Session-ID dran h?ngt.
und wo bitte ist hier jetzt der _unterschied_ ?

a) via URI    -> $SID="xyz" -> SID ist veraltet. 
b) via cookie -> $SID="xyz" -> SID genauso veraltet.

> Cookies sind nicht b?se.
natuerlich nicht. aber sie anzuwenden ist stumpfsinnig.

btw: wer hat den unfug ueberhaupt erst erfunden ? M$ oder NS ?
     das W3C wars jedenfalls nicht, hats ggf nur abgenickt.

~-n

--
 Enrico Weigelt    ==   meTUX IT services 
 software development, IT service, internet security solutions
 www:     http://www.metux.de/        phone:     +49 36207 519931
 email:   contact_(at)_metux.de            cellphone: +49 174 7066481


php::bar PHP Wiki   -   Listenarchive