Mailinglisten-Archive |
On Sat, Mar 02, 2002 at 06:03:37PM +0100, Bj?rn Schotte wrote:
<snip>
> Nein, weil GET den Nachteil hat, dass Session-Hijacking
> leichter von statten geht (URL-Weiterleitung per Mail
> an Freunde).
das hat ueberhaupt nichts mit der request method zu tun.
du kannst ja z.b. auch gern via POST arbeiten.
allerdings sollte man bedenken, dass POST ausschliesslich
zum senden von informationen und nicht zum normalen laden.
der reply steht immer im unmittelbarem zusammenhang mit den
geposteten daten und ist nicht ueber eine URI erreichbar.
(manche proxies simulieren dies durch URI-rewriting)
im uebrigen sollte man die session-lifetime sowiso recht
kurz halten. ansonsten reicht es, wenn der absender in der
SID ein zeichen aendert.
im uebrigen sollte man nicht die tragenden konzepte des
WWW fuer solche kleinigkeiten aufweichen. das fuehrt am
ende nur dazu, dass viele websites fuer eine ganze reihe
von leuten unbrauchbar werden.
ein aehnliches, allerdings noch schlimmeres beispiel sind
jene websites, die den User-Agent header auswerten und
dann nur bei IE und gradeso bei NS funktionieren, bei
anderen namen im User-Agend-Header nur muell liefern.
> Au?erdem wird das Bookmarking erschwert, da
> im Bookmark dann die (veraltete) Session-ID dran h?ngt.
und wo bitte ist hier jetzt der _unterschied_ ?
a) via URI -> $SID="xyz" -> SID ist veraltet.
b) via cookie -> $SID="xyz" -> SID genauso veraltet.
> Cookies sind nicht b?se.
natuerlich nicht. aber sie anzuwenden ist stumpfsinnig.
btw: wer hat den unfug ueberhaupt erst erfunden ? M$ oder NS ?
das W3C wars jedenfalls nicht, hats ggf nur abgenickt.
~-n
--
Enrico Weigelt == meTUX IT services
software development, IT service, internet security solutions
www: http://www.metux.de/ phone: +49 36207 519931
email: contact_(at)_metux.de cellphone: +49 174 7066481
php::bar PHP Wiki - Listenarchive