session über url und cookies?

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • session über url und cookies?

    Hallo!
    Weil manche Benutzer keine Cookies zulassen weicht man ja darauf aus, die session über url mitzugeben. Ich habe hier gelesen das die meisten das nur optional anwenden, d.h. wenn Session-Cookies nicht zugelassen werden.
    Ist das wirklich eine gute Entscheidung? Ich meine wenn man es eh schonmal eingebaut hat über Urls mitzuschicken dann kann man es doch immer so machen? Oder ist der Weg über Session Cookies besser und schneller?
    Wenn man es über Url macht, ist es sinnvoll es mit trans sid zu machen? Das ist natürlich komfortabler aber ich habe gelesen das es von der Performance her schlecht ist.

    Simon

  • #2
    1. url
    pro:
    - wird von allen akzeptiert

    contra:
    - kann über browser history etc. gestohlen werden
    - kann unter favoriten gespeichert werden und u.u. immer für die selbe sid sorgen (sicherheitsproblem)

    2. cookie
    pro:
    - schwieriger zu stehlen

    contra:
    - wird manchmal nicht akzeptiert

    viel mehr ist das nicht, denn "url sieht besser aus" und "ist einfacher zu realisieren" sind für mich keine argumente.

    ergänzt jemand?

    Kommentar


    • #3
      hallo,

      wenn man die Session zeitlich begrenzt und an eine ip bindet, verschwinden fast die contrapunkte der sid übergabe per url.

      so schwer sind cookies auch nicht zu stehlen


      Was mich allerdings interessieren würde ist, wie es mit der performance der PHP eingebauten Sessionverwaltung ausschaut. Die Sessions werden gewöhnlich im Filesystem abgelegt, was Performance frisst.
      Gibts da Vergleiche / Tests zwischen dieser Session und einer reinen Übergabe der SID und Neuaufbau der Objekte aus der DB? Natürlich hängts von der Datenmenge ab.

      Gruß
      Cry

      Kommentar


      • #4
        [...] wenn man die Session zeitlich begrenzt und an eine ip bindet [...]
        letzteres ist wiederum unsicher...

        [...] Vergleiche / Tests zwischen dieser Session und einer reinen Übergabe der SID und Neuaufbau der Objekte aus der DB [...]
        zwischen was??

        Kommentar


        • #5
          etzteres ist wiederum unsicher...
          Warum ist es unsicher eine sid an eine IP zu binden? Ich kann keinen Einwand erkennen.

          Ein Problem ergibt sich bei manchen ISPs (zb AOL), die mal gerne öfter im laufendem Betrieb neue IP's ihren Kunden zuweisen.

          IP-gebundene und zeitlich begrenzte (z.B. 30min gültig seit letzter Aktivität) Sessions sind schon sehr sicher imho.

          Gruß
          Cry

          Kommentar


          • #6
            ip-bindung ist nicht eindeutig, weil es proxy-server gibt.

            OffTopic:
            tausend mal von aol gehört, aber niemals verstanden, wo das problem liegt. nahezu JEDER provider vergibt bei der einwahl eine neue ip. und das ist völlig verständlich und legitim. kann sich denn niemand an die dialup-zeiten erinnern?

            Kommentar


            • #7
              Hab dazu mal ne Frage, ich hab ein kleines Login Script nur für mich selber geschrieben, d.h. ich muss nur ein Passwort abfragen, habe dann einfach als <form action die datei angegeben in der geprüft wird ob das eingegebene pw mit dem das in einer sql datenbank liegt richtig ist oder nicht, also habe nichts von wegen SID in der url weitergeben etc.

              ist das nun ein erhebliches sicherheitsrisiko ?
              Wer glaubt etwas zu sein. hat aufgehört etwa zu werden!

              Das beliebteste Haustier der Deutschen ist und bleibt das halbe Hähnchen

              Kommentar


              • #8
                ja... nein... such dir eine antwort aus, die dir gefällt.
                ist es gefährlich auto zu fahren?

                Kommentar


                • #9
                  Oh ja

                  Nein ich mein das es nicht 100%ig sicher ist weiss ich schon...mich hat das nur grad zum Grübeln gebracht verstehste? Alle reden von Cookies oder SessionID und ich hab nix von beidem...
                  Wer glaubt etwas zu sein. hat aufgehört etwa zu werden!

                  Das beliebteste Haustier der Deutschen ist und bleibt das halbe Hähnchen

                  Kommentar


                  • #10
                    aber meine frage wurde leider noch nicht richtig beantwortet. ich wollte wissen ob es besser ist zusätzlich mit session cookies zu arbeiten oder ausschließlich session über url. und ob trans sid besser ist als selber per code die session anzufügen.

                    Kommentar


                    • #11
                      ich glaube nicht, dass es eine antwort auf eine solche frage gibt.
                      überlege dir, was du brauchst, was du erreichen willst, was du dabei vernachlässigen darfst. jede lösung ist individuell.
                      und ob trans sid besser ist als selber per code die session anzufügen.
                      diese frage ist nicht korrekt gestellt und kann nicht beantwortet werden. versuch's noch mal.

                      Kommentar

                      Lädt...
                      X