Frage zu Sessions

EM-Autotechnik

EM-Autotechnik

Erfahrenes Mitglied
Hi Leute!

Habe mir einige Beiträge zum Thema durchgelesen und bin zum Schluß gekommen, dass bei mir im Script bzw. Serverconfig etwas nicht stimmt.

$_SESSION => 'Serverseitig, funktionieren immer'!?

Also wenn ich in meinem Script eine $_SESSION setze kann ich die auch wunderbar wieder ausgeben.

Setzte ich den Schieberegler im IE zur COOKIE - Kontrolle aber auf 'alle Cookies sperren' wird auch keine $_SESSION mehr ausgegeben...

Kann mir einer erklären, ob ich da den Unterschied zwischen COOKIES und SESSIONs nicht richtig verstanden habe, oder wo das Problem liegt?

Wäre Euch sehr dankbar!

MfG Sebastian
 
Habe wohl ansatzweise das gleiche Problem wie > hier <...

Nun dann muß ich meine Sitzungkontrolle anpassen...

Hätte dazu mal eine Frage:

Ich übergebe mit einem recht sicheren Verfahren eine SID per $_GET Methode.

Könnte diese SID nun für eine sichere (im Sinne von Datensicherheit) Sitzung gut verwenden.
Leider müssen erst einige Sicherheitsvorkehrungen getroffen werden.
Also SID ist in der DB und muß irgendwie mit dem Browser des Users verglichen werden.

COOKIE nein.
SESSION nein.

Wie dann mit IP Kontrolle und delete bei Zeitüberschreitung
Problem: der HTTP_Header wird nicht immer unterstützt.
neue InternetSecurity Progs unterdrücken den Header sogar!

Ich brauche ein sicheres Sitzungs/Login Verfahren - unbedingt!

Kann mir da einer Helfen, bzw. Tips oder Links geben?
Wäre Euch echt super-dankbar
 
Grundsätzlicher Unterschied:

Cookies werden bei dir gespeichert, Sessions auf dem Server


Aber soweit warst du ja schon ;-)

Womit ich mir das, was du ansprichst, erklären könnte - und damit lehne ich mich aber aus dem Fenster - ist folgendes:

Damit eine Session auf dem Server registriert werden kann, benötigst du eine Art Duftmarke deines Nutzers. Diese Duftmarke erkläre ich mir als das geöffnete Browserfenster, denn wenn du dieses schließt, dann ist die Session im Normalfall terminiert.
Wenn du jetzt deine Cookies sperren lässt (im Übrigen kannst du Session-Cookies ja auch explizit erlauben), dann verbietest du die Speicherung deiner Duftmarke.

So erklär ich mir das zumindest.

Über Berichtigungen freue ich mich natürlich :)

cu shutdown
 
Das Problem, das du mit deinem Link beschreibst, lässt sich ganz einfach dadurch lösen, dass du die Cookies für deine Seite explizit erlaubst - und schon passt wieder alles :)

Wenn du mal ein bisschen rumsurfst, dann wirst du merken, dass alle größeren Internetplattformen einfach Alarm schlagen, wenn beim Anmeldevorgang Cookies deaktiviert sind.

Bau einfach eine ähnliche Aufforderung bei dir ein und überlasse den Rest deinen Usern!

shutdown
 
Hi,
danke zunächst für Deine Darstellung!

Ich bin leider ziemlich entäuscht von unserer heutigen Technik - aber das ist ein anderes Thema :) !

Ich wäre echt dankbar, wenn ich irgendwelche Hinweise zu einem proffesionellen/sicheren Loginverfahren bekommen würde...

Dabei ist mir der Aufwand usw. ganz gleich! Die notwendige Erfahrung mit PHP habe ich allemal!

Leider fehlt mir die Übersicht über die Möglichkeiten.

Mich würde auch die nüchterne Antwort 'es gibt keine Sichere Methode - der User ist immer gezwungen seine Cookies / Sessions zu zulassen' freuen!

MfG Sebastian
 
Zuletzt bearbeitet:
Um antworten zu können musst du eingeloggt sein.

Neue Beiträge

Zurück