Mailinglisten-Archive |
Hi, > * Gerald Grote wrote: > > Umständen als Refererer in den logfiles fremder Websites > auftauchen. Dessen > > Webmaster muss also nur seine Logfiles nach diesen URLs scannen und die > > Seite schnell genug aufrufen, bevor die Session ausläuft. > > Deswegen hält man Session-Zeiten relativ kurz, zum Beispiel 10 > oder 15 Minuten. Oder du stellst die Gültigkeit auf 5 Minuten > ein. 10 Minuten halte ich für das kürzeste Zeit, besonders bei einem Forum oder bei längeren Texten sind 5 Minuten zu wenig. Aber ob ich 5 oder 15 Minuten einstelle, ist eigentlich auch egal. Ein böswilliger BAFH scannt seine Referer-Logs einfach kontinuierlich auf Schlüsselwörter wie "sid=", "sessionid=", "uid=" etc. und kann damit viel "Spass" haben, auch wenn die Session nur 3 Minuten gültig bleibt. > > Gibt es eine praktikable Methode, Sessions zu verfolgen, ohne > dabei Cookies zu verwenden? > > Nein. Ok, dann werde ich wohl dabei bleiben. Es ist schon paradox, das einerseits Cookies als potentielles Sicherheitsrisiko gelten, der Verzicht auf Cookies aber unter Umständen viel unsicherer ist. Gerald.
php::bar PHP Wiki - Listenarchive