phpbar.de logo

Mailinglisten-Archive

[php] OT oder nicht OT, das ist hier die Frage (war Re: [php] asp)

[php] OT oder nicht OT, das ist hier die Frage (war Re: [php] asp)

Kristian =?iso-8859-1?Q?K=F6hntopp?= kk_(at)_netuse.de
Thu, 08 Jul 1999 10:17:00 +0200


Oliver Kummerow wrote:
> Ich habe gerade erfahren, dass man bei ASP serverseitig Cookies nicht
> abschalten kann. 

Du kannst bei ASP die Cookies schon abschalten, aber nur global für
den ganzen IIS (Mir ist nicht bekannt, ob und wie man mehrere Instanzen
von IIS auf einer Hardware laufen lassen kann und ob und wie diese
Instanzen dann unterschiedliche Konfigurationen verarbeiten können. Ich
weiß, das mit Apache so etwas möglich wäre.) oder auf jeder Seite neu.

Die Abschaltung wird mittels des Registry-Keys

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\ASP\Parameters\AllowSessionState 

vorgenommen global vorgenommen (http://support.microsoft.com/support/kb/articles/Q163/0/10.asp)
oder aber auf jeder Seite neu mit

"Disable the Session object on a page-by-page basis with 
 the <%_(at)_ EnableSessionState=False %> statement. This declarative 
 allows ASP to process scripts concurrently, rather than sequentially."
 (http://msdn.microsoft.com/library/sdkdoc/bdg/bdgapp03_3rhv.htm)

Mir ist nicht bekannt, ob das auch das Senden des Session-Cookies verhindert.

Davon mal abgesehen:
> Keine Sessions moeglich ohne Cookies? Pustekuchen, das ist Absicht, wenn
> Du mich fragst. MS will die fragwuerdigen Cookies als Standard
> etablieren.

Sessions ohne Cookies sind ein Schmerz im Hintern. Man will das nicht
benutzen, selbst wenn Webserver und Scriptingsprache das automatisch 
machen würden (PHP kann das nicht automatisieren, Roxen und Pike können es).
Cookie based sessions sind genau die korrekte Anwendung von Sessions
und was der IIS da macht, ist vergleichsweise vorbildlich.


Um Ontopic zu bleiben: Der PHP-Weg, um Session-Variablen zu haben
und Sessions zu bilden, ist PHPLIB zu verwenden (http://phplib.shonline.de).
PHPLIB arbeitet wahlweise mit Cookie based sessions und dies ist die
ausdrücklich empfohlene Weise, mit PHPLIB Sessions zu veranstalten.
PHPLIB kann auch auf andere Weise (GET-Variablen) Sessions veranstalten,
aber das will man nicht und es wird nur der completeness wegen unetrstützt.
Muß man auch Cookie-lose Anwender supporten, sollte man per Default
Cookie based sessions verwenden und nur als Fallback GET-Sessions
aufmachen.

Datensicherheitstechnisch macht es keinen Unterschied: Wenn ich mich
entscheide, Daten über den Anwender zu sammeln und gegen Privacy-Grundsätze
zu verstoßen, dann kann ich das in PHPLIB auf die gleiche Weise
und für den Anwender gleich intransparent, ja sogar ohne Änderungen
am Code. Es sind nicht die Cookies, die böse sind, sondern was mit
den Daten bassiert, die an eine Session gebunden werden.


Also sind Sessions böse? Nein, sie sind notwendig. Ohne Sessions keine
Warenkörbe, keine Authentisierung, keine Erinnerung auf Webseiten. Es
ist nur so, daß manche Kunden möchten, daß man sich nicht zu lange an
sie erinnert.

Kristian

-- 
Kristian Köhntopp, NetUSE Kommunikationstechnologie GmbH
Siemenswall, D-24107 Kiel, Germany, +49 431 386 436 00
Using PHP3? See our web development library at
http://phplib.shonline.de/ (GPL)


php::bar PHP Wiki   -   Listenarchive