phpbar.de logo

Mailinglisten-Archive

[php] Sessioin konfigurieren unter Linux

[php] Sessioin konfigurieren unter Linux

Ralf Eggert php_(at)_phpcenter.de
Sun, 3 Mar 2002 13:13:15 +0100


Hi,

Enrico Weigelt schrieb am 02.03.2002:
>> Der Absender ist in der Regel ein Otto-Normal-User,
>> der gar *nicht wei?*, dass das eine Session-ID ist
>> und dass die Weitergabe gef?hrlich sein k?nnte.
>
>dann soll er die finger weg davon lassen. 
>fuer den fall kann der webmaster auch eine "send to a friend" 
>funktion einbauen. _das_ ist der sauberste weg.

Von dem gleichen Otto-Normal-User, der von der Weitergabe eines Links
mit angehaengter Session-ID die Finger lassen soll, erwartest du allen
ernstes, dass er dann nur deine "send to a friend" Funktion verwendet?
Tut mir leid, aber nach meinen Erfahrungen mit Otto-Normal-Usern,
werden die ihr Outlook oder Outlook Express aufmachen, im Adressbuch
nach der E-Mail-Adresse suchen und ihren Leuten dann den Link per
E-Mail zusenden, wie sie es schon immer gemacht haben. Warum sollten
sie dann auch die E-Mail-Adresse in dein Formular eintragen, wenn sie
gleich auf senden klicken koennen? Durch deine "Send-to-a-friend"
Funktion kannst du dies sowieso nicht verhindern. 
 
>> Diese generalisierte Behauptung ist v?lliger Quatsch.
>
>gut, es gibt einzelfaelle, wo sie sinn machen. 
>z.b. zur kommunikation zwischen client und lokalem proxy
>oder in kleinen intranets.
>
>im WWW sind sie aber eher unangebracht. 

Kannst du diese Meinung auch irgendwie begruenden, da ich sie nicht
ganz nachvollziehen kann. 

Ich persoenlich halte die Verwendung von Get-Sessions aufgrund des
Vorhandenseins der Session ID in der URI fuer viel problematischer als
einen einfachen Cookie. Wenn jemand User-Pfade und dergleichen heraus
finden moechte, kann er dies genauso gut mit einer Get-Session machen
wie mit einer Cookie-Session. Und wenn sich der Surfer dann sogar mit
Nick und Passwort anmeldet, kann sowieso alles geloggt werden, was der
User macht, wenn man das als Betreiber der Website moechte. Ob dies
legal oder moralisch verwerflich ist, sei mal dahin gestellt.

Solange die Cookies nur temporaer gesetzt werden und beim Schliessen
des Browsers geloescht werden, sehe ich da keine Probleme. Cookies von
Werbeagenturen, die Site-uebergreifende Auswertungen erstellen wollen,
finde ich natuerlich auch nicht so besonders, weswegen ich solche Kekse
auch nicht akzeptiere. Beim normalen Session-Management ist dies auch
fuer den User IMO einfach die bequemste Loesung. 

Ich werde die allgemeine Paranoia bzgl. Cookies aber nie so richtig
verstehen...

Gruss,

        Ralf

-- 
_____________________________________________
  In-Greece.de - die Griechenlandcommunity
_________ http://www.in-greece.de/ __________


php::bar PHP Wiki   -   Listenarchive