Mailinglisten-Archive |
> Hi, > > : > Gibt es eine praktikable Methode, Sessions zu verfolgen, ohne > : dabei Cookies > : > zu verwenden? > : > : Nein. > > mal so als Idee ohne gross drüber nachgedacht zu haben: > > ... eine MD5-Prüfsumme ermitteln, in einer mysql Tabelle "Sessions" einen > neuen Eintrag mit Angabe der Prüfsumme generieren, nun hat jeder Surfer > einen eigenen Datensatz, die Prüfsumme in die URL hängen, weitere > Seitenaufrufe holen ihre Daten dann aus der Tabelle mit dem Userbezogenen > Datensatz ... > > müsste doch gehen, oder hab ich nen Denkfehler? Klaro, aber das beseitigt nicht das leidige Referer-Problem. Da der Browser die ganze URL (mitsamt GET-Parameter) ungefragt an jeden Webserver schickt, auf den ich linke, entstehen durch Sessionid´s in der URL heftige Sicherheitslücken. Es scheint keine einfache Lösung zu geben: Cookies werden aus Datenschutzgründen oft abgeschaltet, ein Weiterleitungs-Skript für externe Urls ist relativ unpraktisch, Sequenznummern vertragen sich nicht mit dem normalen Surfverhalten (Back-Knopf). Und die gute alte HTTP-Authentifikation kann man nicht bei allen Providern nutzen. Bleibt also eigentlich nur die Cookielösung oder das Hinnehmen einer größeren Sicherheitslücke durch das Verschicken der Zugangsinfos im Referer. Da HTTP normalerweise ohnehin unverschlüsselt abläuft, ist das in vielen unkritischen Fällen durchaus noch akzeptabel (z.B. bei einem öffentlichen Laberforum ...). Gerald.
php::bar PHP Wiki - Listenarchive