Session-ID in Suchmaschinen-Ergebnis verhindern?

**ghostgambler** · 21.05.2006, 09:20

Einstellung verändern:
session.use_only_cookies = 1
Nur kann dann jemand der Cookies abgeschaltet hat, nicht mehr auf deine Website ... was mich aber spontan nicht daran hindern würde die Einstellung zu setzen ^^,

**derHund** · 21.05.2006, 13:49

das ist weniger ein sicherheitsrisiko als ein ärgernis (doppelte inhalte etc.). starte die session nur, wenn der besucher keine suma ist (machs am user-agenten oder der ip fest).

ghostgamblers vorschlag hat den von ihm beschriebenen nachteil.

**hamoda108** · 21.05.2006, 14:23

@ ghostgambler: bist du sicher, dass die ganze website dann nicht mehr funktioniert, oder heißt dass nur, dass die funktionen, die von der session abhängig sind, nicht mehr funktionieren? session.use_only_cookies = 1 ist doch auch eine einstellung in der php.ini und keine php-anweisung, oder?

@ derHund: welchen wert haben sumas denn als user-agent? muss ich jetzt alle ips aller sumas überprüfen?

in einem anderen zusammenhang wurde ich darauf aufmerksam gemacht, dass die variablen-abfrage nur mit $_SESSION['xyz'] funktioniert, wenn Safe Mode aktiviert ist (hat mit dem SID-Problem jetzt nichts zu tun). das hat dazu geführt, dass ich ein paar skripte überarbeiten musste. dabei habe ich auch erfahren, dass in einem solchen fall keine registrierung über session_register() mehr notwendig wäre. jetzt die frage: könnte diese maßnahme (session_register gegen $_SESSION[] tauschen) das problem mit der SID auch lösen? dann könnte ich mir die abfrage von ips und user-agenten sparen... (sorry für meine unfachmännischen formulierungen)

**ghostgambler** · 21.05.2006, 15:41

Original geschrieben von hamoda108
@ ghostgambler: bist du sicher, dass die ganze website dann nicht mehr funktioniert, oder heißt dass nur, dass die funktionen, die von der session abhängig sind, nicht mehr funktionieren? session.use_only_cookies = 1 ist doch auch eine einstellung in der php.ini und keine php-anweisung, oder?

session funktioniert halt nicht mehr, so wie du annimmst und das andere ist auch richtig

dabei habe ich auch erfahren, dass in einem solchen fall keine registriejetzt die frage: könnte diese maßnahme (session_register gegen $_SESSION[] tauschen) das problem mit der SID auch lösen?

nein

**derHund** · 21.05.2006, 17:31

@ derHund: welchen wert haben sumas denn als user-agent? muss ich jetzt alle ips aller sumas überprüfen?

der ua der sumas ist von suma zu suma unterschiedlich

name und ip erhälst du sehr einfach aus deinen logs, wenn du deine seite ein wenig analysierst, findest du das ganz schnell.

**hamoda108** · 22.05.2006, 12:53

session.use_only_cookies = 1 scheint mir da dann doch die praktikablere lösung zu sein. dazu noch zwei fragen:

1. kann ich die php.ini über mein skript beeinflussen oder muss das der admin vom server machen?
2. gibt es eine möglichkeit zu überprüfen, ob der besucher cookies ausgeschaltet hat, und wenn ja welche?

vielen dank!

**jahlives** · 22.05.2006, 13:06

gibt es eine möglichkeit zu überprüfen, ob der besucher cookies ausgeschaltet hat, und wenn ja welche?

Ja die gibt es. Starte die Session (setz den Cookie) und leite den Besucher auf die soeben aufgerufene Seite weiter. Wenn dann isset($_COOKIE['name_der_session']) true ergibt, dann akzeptiert der Client anscheinend Cookies. Nun hast du das Problem, dass es im Falle von abgelehnten Cookies vermutlich eine unendliche Weiterleiterei gibt. Du solltest auch die Session ID in der Weiterleitung anhängen, damit du feststellen kannst ob die Seite zum ersten Mal oder bereits einmal aufgerufen wurde (wenn bereits aufgerufen dann muss isset($_SESSION['session_name']) oder isset($_COOKIE['session_name']) true ergeben )

Gruss

tobi

**pippo** · 22.05.2006, 13:18

Original geschrieben von hamoda108
1. kann ich die php.ini über mein skript beeinflussen oder muss das der admin vom server machen?

ja so z.B.

PHP-Code:


ini_set('session.use_cookies',1);

session_start();

das Problem von google daß seite mit session indixiert kannst du vielleicht mit einen robot.txt file lösen:

User-agent: *
Disallow: /*?

**hamoda108** · 22.05.2006, 14:01

ja, vielen dank, das sind viele gute tipps, werde ich alle mal ausprobieren, ist mir aber neuland, seis drum...

zum thema robots.txt:

http://www.bjoernsworld.de/suchmasch...obots-txt.html

Was mit der robots.txt nicht geht:

Bei den Disallow: sind keine wildchars wie ? oder * erlaubt.

**derHund** · 22.05.2006, 15:02

zum thema robots.txt:

wenn du mal bei google schaust, siehst du, daß google durchaus wildcards in der robots.txt erlaubt. problem wird eher sein, daß durch o.g. ausschluß google gar keine seiten mehr aufnehmen wird (da ja alle mit ? ausgeliefert werden).

**Wurzel** · 22.05.2006, 15:08

ich benutze eine einfache if/else konstruktion mit dem schnipsel hier:
http://www.php-resource.de/forum/sho...threadid=13043

- bist du sumabot = kein session_start()
- bist du ein email-collector = zeige eine email-liste bekannter abmahnanwälte *scherz* => die();
- der rest = session_start() und gut ist

keine 100%ige genauigkeit, allerdings bislang zuverlässig keine seiten mit session-ids in den suchmaschinen.

**hamoda108** · 23.05.2006, 08:10

also ich hab das mit session.use_cookies versucht, aber der SID-String bleibt nach wie vor angezeigt. ich habe dann das verhalten der einträge in der php.ini untersucht, indem ich das skript geändert habe (s. http://www.gauranga.de/problem) und habe dabei festgestellt, dass die änderung nur für die dauer der einen seite erhalten bleiben, dann aber offenbar auf den ursprungswert zurückgesetzt werden. das gleiche gilt für session.use_only_cookies (man kann das auf der seite relativ anschaulich ausprobieren). vermutlich habe ich da irgendwo einen denkfehler, aber wo?

immerhin wird eine meldung angezeigt, wenn man cookies deaktiviert, das klappt schon mal...

php.ini: http://www.gauranga.de/info.php

**YourHammer** · 25.05.2006, 12:56

Hallo.

Ich versuche auch schon Ewigkeiten die PHPSESSIONID los zu werden.

In meinen Header:

PHP-Code:




if(preg_match("#Googlebot#i", getenv("HTTP_USER_AGENT"))){

@ini_set("url_rewriter.tags", "");

}



ob_start();

@session_start();

Ich hab auch schon die andere Variante probiert und hab keinen Erfolg.

Log:
25/May/2006:13:38:30 +0200] "GET /8986/_5.html&PHPSESSID=1983ed9f7d1534948277308af7bdf1c7 HTTP/1.1" 200 14651 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http

Hat noch wer eine Idee?

Update:

PHP-Code:


if(preg_match("#Googlebot#i", getenv("HTTP_USER_AGENT"))){



@ini_set("url_rewriter.tags", "");



} else {



ob_start();

@session_start();



}

**derHund** · 25.05.2006, 13:17

keine session starten, wenn ein (suma-)bot auftaucht. es gibt keine situation, in der ein bot eine session bräuchte.

Session-ID in Suchmaschinen-Ergebnis verhindern?