[php] OT oder nicht OT, das ist hier die Frage (war Re: [php] asp)

[Kristian =?iso-8859-1?Q?K=F6hntopp?=]

Oliver Kummerow wrote:
> Ich habe gerade erfahren, dass man bei ASP serverseitig Cookies nicht
> abschalten kann. 

Du kannst bei ASP die Cookies schon abschalten, aber nur global f�r
den ganzen IIS (Mir ist nicht bekannt, ob und wie man mehrere Instanzen
von IIS auf einer Hardware laufen lassen kann und ob und wie diese
Instanzen dann unterschiedliche Konfigurationen verarbeiten k�nnen. Ich
wei�, das mit Apache so etwas m�glich w�re.) oder auf jeder Seite neu.

Die Abschaltung wird mittels des Registry-Keys

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\ASP\Parameters\AllowSessionState 

vorgenommen global vorgenommen (http://support.microsoft.com/support/kb/articles/Q163/0/10.asp)
oder aber auf jeder Seite neu mit

"Disable the Session object on a page-by-page basis with 
 the <%_(at)_ EnableSessionState=False %> statement. This declarative 
 allows ASP to process scripts concurrently, rather than sequentially."
 (http://msdn.microsoft.com/library/sdkdoc/bdg/bdgapp03_3rhv.htm)

Mir ist nicht bekannt, ob das auch das Senden des Session-Cookies verhindert.

Davon mal abgesehen:
> Keine Sessions moeglich ohne Cookies? Pustekuchen, das ist Absicht, wenn
> Du mich fragst. MS will die fragwuerdigen Cookies als Standard
> etablieren.

Sessions ohne Cookies sind ein Schmerz im Hintern. Man will das nicht
benutzen, selbst wenn Webserver und Scriptingsprache das automatisch 
machen w�rden (PHP kann das nicht automatisieren, Roxen und Pike k�nnen es).
Cookie based sessions sind genau die korrekte Anwendung von Sessions
und was der IIS da macht, ist vergleichsweise vorbildlich.


Um Ontopic zu bleiben: Der PHP-Weg, um Session-Variablen zu haben
und Sessions zu bilden, ist PHPLIB zu verwenden (http://phplib.shonline.de).
PHPLIB arbeitet wahlweise mit Cookie based sessions und dies ist die
ausdr�cklich empfohlene Weise, mit PHPLIB Sessions zu veranstalten.
PHPLIB kann auch auf andere Weise (GET-Variablen) Sessions veranstalten,
aber das will man nicht und es wird nur der completeness wegen unetrst�tzt.
Mu� man auch Cookie-lose Anwender supporten, sollte man per Default
Cookie based sessions verwenden und nur als Fallback GET-Sessions
aufmachen.

Datensicherheitstechnisch macht es keinen Unterschied: Wenn ich mich
entscheide, Daten �ber den Anwender zu sammeln und gegen Privacy-Grunds�tze
zu versto�en, dann kann ich das in PHPLIB auf die gleiche Weise
und f�r den Anwender gleich intransparent, ja sogar ohne �nderungen
am Code. Es sind nicht die Cookies, die b�se sind, sondern was mit
den Daten bassiert, die an eine Session gebunden werden.


Also sind Sessions b�se? Nein, sie sind notwendig. Ohne Sessions keine
Warenk�rbe, keine Authentisierung, keine Erinnerung auf Webseiten. Es
ist nur so, da� manche Kunden m�chten, da� man sich nicht zu lange an
sie erinnert.

Kristian

-- 
Kristian K�hntopp, NetUSE Kommunikationstechnologie GmbH
Siemenswall, D-24107 Kiel, Germany, +49 431 386 436 00
Using PHP3? See our web development library at
http://phplib.shonline.de/ (GPL)