![]() Mailinglisten-Archive |
Oliver Kummerow wrote: > Ich habe gerade erfahren, dass man bei ASP serverseitig Cookies nicht > abschalten kann. Du kannst bei ASP die Cookies schon abschalten, aber nur global f�r den ganzen IIS (Mir ist nicht bekannt, ob und wie man mehrere Instanzen von IIS auf einer Hardware laufen lassen kann und ob und wie diese Instanzen dann unterschiedliche Konfigurationen verarbeiten k�nnen. Ich wei�, das mit Apache so etwas m�glich w�re.) oder auf jeder Seite neu. Die Abschaltung wird mittels des Registry-Keys HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\ASP\Parameters\AllowSessionState vorgenommen global vorgenommen (http://support.microsoft.com/support/kb/articles/Q163/0/10.asp) oder aber auf jeder Seite neu mit "Disable the Session object on a page-by-page basis with the <%_(at)_ EnableSessionState=False %> statement. This declarative allows ASP to process scripts concurrently, rather than sequentially." (http://msdn.microsoft.com/library/sdkdoc/bdg/bdgapp03_3rhv.htm) Mir ist nicht bekannt, ob das auch das Senden des Session-Cookies verhindert. Davon mal abgesehen: > Keine Sessions moeglich ohne Cookies? Pustekuchen, das ist Absicht, wenn > Du mich fragst. MS will die fragwuerdigen Cookies als Standard > etablieren. Sessions ohne Cookies sind ein Schmerz im Hintern. Man will das nicht benutzen, selbst wenn Webserver und Scriptingsprache das automatisch machen w�rden (PHP kann das nicht automatisieren, Roxen und Pike k�nnen es). Cookie based sessions sind genau die korrekte Anwendung von Sessions und was der IIS da macht, ist vergleichsweise vorbildlich. Um Ontopic zu bleiben: Der PHP-Weg, um Session-Variablen zu haben und Sessions zu bilden, ist PHPLIB zu verwenden (http://phplib.shonline.de). PHPLIB arbeitet wahlweise mit Cookie based sessions und dies ist die ausdr�cklich empfohlene Weise, mit PHPLIB Sessions zu veranstalten. PHPLIB kann auch auf andere Weise (GET-Variablen) Sessions veranstalten, aber das will man nicht und es wird nur der completeness wegen unetrst�tzt. Mu� man auch Cookie-lose Anwender supporten, sollte man per Default Cookie based sessions verwenden und nur als Fallback GET-Sessions aufmachen. Datensicherheitstechnisch macht es keinen Unterschied: Wenn ich mich entscheide, Daten �ber den Anwender zu sammeln und gegen Privacy-Grunds�tze zu versto�en, dann kann ich das in PHPLIB auf die gleiche Weise und f�r den Anwender gleich intransparent, ja sogar ohne �nderungen am Code. Es sind nicht die Cookies, die b�se sind, sondern was mit den Daten bassiert, die an eine Session gebunden werden. Also sind Sessions b�se? Nein, sie sind notwendig. Ohne Sessions keine Warenk�rbe, keine Authentisierung, keine Erinnerung auf Webseiten. Es ist nur so, da� manche Kunden m�chten, da� man sich nicht zu lange an sie erinnert. Kristian -- Kristian K�hntopp, NetUSE Kommunikationstechnologie GmbH Siemenswall, D-24107 Kiel, Germany, +49 431 386 436 00 Using PHP3? See our web development library at http://phplib.shonline.de/ (GPL)
php::bar PHP Wiki - Listenarchive