Re[2]: [php] Ablaufzeit von session

[Stefan Schwardt]

Moin Jan Rosam, moin Liste

JR> Das heißt, wenn ein User im Mitgliederbereich sich eingeloggt hat
JR> (vorausgesetzt man benutzt sessions), dann mal aufs Klo geht,
JR> nach 10 min. wiederkommt (session.cache_expire=180) sind die Daten in der
JR> session, bzw. die session nicht mehr da.

JR> Richtig?

Richtig.

Das ist aber natürlich keine Schikane (darf man sich halt keine
Zeitung mitnehmen ;)), es geht ja darum, die Session bei Nichtgebrauch
möglichst schnell zu verwerfen. Dein Server weiß ja nicht, ob der
Eigentümer der Session nicht vielleicht den Rechner abgeschaltet hat.
Eine solche "herrenlose" Session könnte leicht von jemandem übermommen
werden, der auf irgendeine Art und Weise an die SessionID gekommen
ist. Es ist also wie so oft bie der Sicherheit eine Abwägung zwischen
sehr sicher und sehr bequem.


--
Stefan Schwardt.