phpbar.de logo

Mailinglisten-Archive

[php] Sessioin konfigurieren unter Linux

[php] Sessioin konfigurieren unter Linux

Enrico Weigelt php_(at)_phpcenter.de
Sun, 3 Mar 2002 13:38:36 +0100


On Sun, Mar 03, 2002 at 01:13:15PM +0100, Ralf Eggert wrote:

<snip>
> Von dem gleichen Otto-Normal-User, der von der Weitergabe eines Links
> mit angehaengter Session-ID die Finger lassen soll, erwartest du allen
> ernstes, dass er dann nur deine "send to a friend" Funktion verwendet?
ja.

> Tut mir leid, aber nach meinen Erfahrungen mit Otto-Normal-Usern,
> werden die ihr Outlook oder Outlook Express aufmachen, im Adressbuch
> nach der E-Mail-Adresse suchen und ihren Leuten dann den Link per
> E-Mail zusenden, wie sie es schon immer gemacht haben. 
fuer solche leute sollte man einen internetfuehrerschein einfuehren.

<snip>
> >im WWW sind sie aber eher unangebracht. 
> 
> Kannst du diese Meinung auch irgendwie begruenden, da ich sie nicht
> ganz nachvollziehen kann. 
lies bitte mal die konzepte des WWW (http://www.w3c.org)
 
> Ich persoenlich halte die Verwendung von Get-Sessions aufgrund des
> Vorhandenseins der Session ID in der URI fuer viel problematischer als
> einen einfachen Cookie. 

> Wenn jemand User-Pfade und dergleichen heraus
> finden moechte, kann er dies genauso gut mit einer Get-Session machen
> wie mit einer Cookie-Session. 
schwieriger. z.b. rufen normaluser meist immerwieder die website ueber 
ihre basis-url (www.foo.org) auf. da steckt keine SID drin.

> Und wenn sich der Surfer dann sogar mit Nick und Passwort anmeldet, 
> kann sowieso alles geloggt werden, was der User macht, wenn man das 
> als Betreiber der Website moechte. 
in dem falle schon. entkraeftet aber immernoch nicht die 
technischen aspekte ...

<snip>
> Beim normalen Session-Management ist dies auch
> fuer den User IMO einfach die bequemste Loesung. 
mach in der praxis eigentlich kaum einen unterschied ...

> Ich werde die allgemeine Paranoia bzgl. Cookies aber nie so richtig
> verstehen...
es ist nicht nur paranoia, wie gesagt, es sind auch technische aspekte. 
erreichbare resourcen werden durch URIs identifiziert. nicht durch header ...

~-n

--
 Enrico Weigelt    ==   meTUX IT services 
 software development, IT service, internet security solutions
 www:     http://www.metux.de/        phone:     +49 36207 519931
 email:   contact_(at)_metux.de            cellphone: +49 174 7066481


php::bar PHP Wiki   -   Listenarchive