Mailinglisten-Archive |
Oliver Kummerow wrote: > Ich habe gerade erfahren, dass man bei ASP serverseitig Cookies nicht > abschalten kann. Du kannst bei ASP die Cookies schon abschalten, aber nur global für den ganzen IIS (Mir ist nicht bekannt, ob und wie man mehrere Instanzen von IIS auf einer Hardware laufen lassen kann und ob und wie diese Instanzen dann unterschiedliche Konfigurationen verarbeiten können. Ich weiß, das mit Apache so etwas möglich wäre.) oder auf jeder Seite neu. Die Abschaltung wird mittels des Registry-Keys HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\ASP\Parameters\AllowSessionState vorgenommen global vorgenommen (http://support.microsoft.com/support/kb/articles/Q163/0/10.asp) oder aber auf jeder Seite neu mit "Disable the Session object on a page-by-page basis with the <%_(at)_ EnableSessionState=False %> statement. This declarative allows ASP to process scripts concurrently, rather than sequentially." (http://msdn.microsoft.com/library/sdkdoc/bdg/bdgapp03_3rhv.htm) Mir ist nicht bekannt, ob das auch das Senden des Session-Cookies verhindert. Davon mal abgesehen: > Keine Sessions moeglich ohne Cookies? Pustekuchen, das ist Absicht, wenn > Du mich fragst. MS will die fragwuerdigen Cookies als Standard > etablieren. Sessions ohne Cookies sind ein Schmerz im Hintern. Man will das nicht benutzen, selbst wenn Webserver und Scriptingsprache das automatisch machen würden (PHP kann das nicht automatisieren, Roxen und Pike können es). Cookie based sessions sind genau die korrekte Anwendung von Sessions und was der IIS da macht, ist vergleichsweise vorbildlich. Um Ontopic zu bleiben: Der PHP-Weg, um Session-Variablen zu haben und Sessions zu bilden, ist PHPLIB zu verwenden (http://phplib.shonline.de). PHPLIB arbeitet wahlweise mit Cookie based sessions und dies ist die ausdrücklich empfohlene Weise, mit PHPLIB Sessions zu veranstalten. PHPLIB kann auch auf andere Weise (GET-Variablen) Sessions veranstalten, aber das will man nicht und es wird nur der completeness wegen unetrstützt. Muß man auch Cookie-lose Anwender supporten, sollte man per Default Cookie based sessions verwenden und nur als Fallback GET-Sessions aufmachen. Datensicherheitstechnisch macht es keinen Unterschied: Wenn ich mich entscheide, Daten über den Anwender zu sammeln und gegen Privacy-Grundsätze zu verstoßen, dann kann ich das in PHPLIB auf die gleiche Weise und für den Anwender gleich intransparent, ja sogar ohne Änderungen am Code. Es sind nicht die Cookies, die böse sind, sondern was mit den Daten bassiert, die an eine Session gebunden werden. Also sind Sessions böse? Nein, sie sind notwendig. Ohne Sessions keine Warenkörbe, keine Authentisierung, keine Erinnerung auf Webseiten. Es ist nur so, daß manche Kunden möchten, daß man sich nicht zu lange an sie erinnert. Kristian -- Kristian Köhntopp, NetUSE Kommunikationstechnologie GmbH Siemenswall, D-24107 Kiel, Germany, +49 431 386 436 00 Using PHP3? See our web development library at http://phplib.shonline.de/ (GPL)
php::bar PHP Wiki - Listenarchive