Mailinglisten-Archive |
On Sun, Mar 03, 2002 at 01:13:15PM +0100, Ralf Eggert wrote: <snip> > Von dem gleichen Otto-Normal-User, der von der Weitergabe eines Links > mit angehaengter Session-ID die Finger lassen soll, erwartest du allen > ernstes, dass er dann nur deine "send to a friend" Funktion verwendet? ja. > Tut mir leid, aber nach meinen Erfahrungen mit Otto-Normal-Usern, > werden die ihr Outlook oder Outlook Express aufmachen, im Adressbuch > nach der E-Mail-Adresse suchen und ihren Leuten dann den Link per > E-Mail zusenden, wie sie es schon immer gemacht haben. fuer solche leute sollte man einen internetfuehrerschein einfuehren. <snip> > >im WWW sind sie aber eher unangebracht. > > Kannst du diese Meinung auch irgendwie begruenden, da ich sie nicht > ganz nachvollziehen kann. lies bitte mal die konzepte des WWW (http://www.w3c.org) > Ich persoenlich halte die Verwendung von Get-Sessions aufgrund des > Vorhandenseins der Session ID in der URI fuer viel problematischer als > einen einfachen Cookie. > Wenn jemand User-Pfade und dergleichen heraus > finden moechte, kann er dies genauso gut mit einer Get-Session machen > wie mit einer Cookie-Session. schwieriger. z.b. rufen normaluser meist immerwieder die website ueber ihre basis-url (www.foo.org) auf. da steckt keine SID drin. > Und wenn sich der Surfer dann sogar mit Nick und Passwort anmeldet, > kann sowieso alles geloggt werden, was der User macht, wenn man das > als Betreiber der Website moechte. in dem falle schon. entkraeftet aber immernoch nicht die technischen aspekte ... <snip> > Beim normalen Session-Management ist dies auch > fuer den User IMO einfach die bequemste Loesung. mach in der praxis eigentlich kaum einen unterschied ... > Ich werde die allgemeine Paranoia bzgl. Cookies aber nie so richtig > verstehen... es ist nicht nur paranoia, wie gesagt, es sind auch technische aspekte. erreichbare resourcen werden durch URIs identifiziert. nicht durch header ... ~-n -- Enrico Weigelt == meTUX IT services software development, IT service, internet security solutions www: http://www.metux.de/ phone: +49 36207 519931 email: contact_(at)_metux.de cellphone: +49 174 7066481
php::bar PHP Wiki - Listenarchive