Mailinglisten-Archive |
* Enrico Weigelt wrote:
> > Nein, weil GET den Nachteil hat, dass Session-Hijacking
> > leichter von statten geht (URL-Weiterleitung per Mail
> > an Freunde).
> das hat ueberhaupt nichts mit der request method zu tun.
Natürlich hat es das,
> du kannst ja z.b. auch gern via POST arbeiten.
Dann müßte die Website ausschließlich aus Formularen
bestehen.
> im uebrigen sollte man die session-lifetime sowiso recht
> kurz halten.
Das kommt auf den Anwendungsfall an.
> ansonsten reicht es, wenn der absender in der
> SID ein zeichen aendert.
Der Absender ist in der Regel ein Otto-Normal-User,
der gar *nicht weiß*, dass das eine Session-ID ist
und dass die Weitergabe gefährlich sein könnte.
> > Au?erdem wird das Bookmarking erschwert, da
> > im Bookmark dann die (veraltete) Session-ID dran h?ngt.
> und wo bitte ist hier jetzt der _unterschied_ ?
Im Bookmark hängt bei SessionID-via-GET die SessionID,
bei SessionID-via-Cookie hängt im Bookmark keine
SessionID.
> > Cookies sind nicht b?se.
> natuerlich nicht. aber sie anzuwenden ist stumpfsinnig.
Diese generalisierte Behauptung ist völliger Quatsch.
--
PHP-Support * realitätsnahe Performance-Messungen mit Code-Analyse
Webapplikationsentwicklung * PHP-Schulungen * Consulting
0700-THINKPHP -*- bjoern_(at)_thinkphp.de
php::bar PHP Wiki - Listenarchive