zu viele Cookies

Glaubenskrieg? Weis nicht wie du dazu kommst dieses Wort
in diesem Zusammenhang zu verwenden.

Eine Session ist Serverseitig gespeichert
und kann vom Script immer wieder abgefragt werden.

Natürlich sollte man auch dort nur das Nötigste zwischenspeichern.
Jedoch sind sensible Daten nicht für Cookies gedacht.
Diese werden wenn sie den unbedingt müssen in der Session Abgelegt.

Diese wird durch die Session-ID wieder hergestellt wenn diese ausläuft,
falls dies erwünscht ist bzw. diese Grundlage vom Script her gegeben ist.

Cookies hingegen sind Clientseitig gespeichert,
werden bei jedem aufruf wieder an den Server gesendet
und vorallem können sie auch Manipuliert werden.


---------------------------------

Hier wurde nach einer Alternative für Cookies gefragt,
in welcher mehr Daten abgelegt werden können => Session.
Die Session kann ruhig mehr Daten enthalten.
z.B. Benutzerinformationen die ständig abgefragt werden,
werden in dieser zwischengespeichert.
Da sonst die Datenbank abfragen zu viel Performance fressen würden.
Natürlich sollte man keine ganze Datenbank darin speichern.
Aber in Cookies sollte diese schon garnicht landen,
was insbesondere für sensible Daten wie Passwörter gilt.

Chewbacca hat gesagt.:
Eine Session kann nur funktionieren, wenn ein Cookie gesetzt ist oder woher bekommst du die SID vom User? Ach ja SID als Get.... was hatte ich nochmal geschrieben....
Zum Vergrößern anklicken....

Eine Session funktioniert auch ohne Cookie.
Ohne Cookie kann sie nur nicht wiederhergestellt werden,
wenn eben diese Session ausgelaufen ist.

GET und POST variablen können am einfachsten manipuliert werden.
Für die Leute, welche nun denken häää man kann POST variablen nicht verändern,
guckt euch mal zum Beispiel das Addon "Temper Data" für Firefox an. ;)
Davon ma abgesehen kann ich es überhaupt nicht leiden,
wenn ich auf einer Seite bin und sich die url mit jedem klick verlängert
und ich am ende ne 500 stellige Url kopieren muss.
Die URL sollte möglichst sauber bleiben
um die weitergabe eines Links zu vereinfachen.


Abwägen welche Daten man
zwischenspeichert oder übergibt,
sollte man in jedem fall.


Soo, wer Rechtschreib oder Gramatik fehler findet darf sie behalten.
Gerade keine Zeit nochmal alles durch zu lesen was ich geschrieben habe. ;)
 
Wir sind doch einer Meinung...:) aber wir können weiter Spass machen.... also für Gets länger 500 Zeichen gibt es tinyurl... :)

Klar kann ich jeden Get oder Post ändern, aber habe dich das nicht schon geschrieben? Es wird nur bei eindeutiger Aithentifizierung ausgeliefert.

Session sind nur für die Sitzung gültig, damit hast du Recht. Bringt die Sache aber nicht weiter...

OK...:) Ein Plus für Sessions ist, ein Dateizugriff geht schneller als eine DB Abfrage. Weshalb wir ja auch nur Daten mit denen wir weiterarbeiten wollen in der DB speichern.

Jetzt stelle dir mal vor ich kapere dein Cookie und damit deine SID... huchu freie Auswahl überall...:)

Schlusswort: Session mit den Wiedererkennungs Cookie sinnvoll einsetzen, super alles andere leichter Irrglaube. es gibt ein Haufen Tools die die Wahrheit an das Licht bringen. Aber macht was ihr wollt, bevor es ihr ein Off Topic wird...:)
 
Zuletzt bearbeitet von einem Moderator:
Gegen Session Hijacking kann man nicht viel machen.
Höchstens die Session an eine Netzwerkaddresse binden
und oder an den Browser Agent.

Aber die Person kann auch wenn er/sie die Session gekapert hat,
nicht die Daten aus eben dieser auslesen.
Und wenn du so argumentierst,
was ist den sicherer?
.. Passwort abfrage bei jeder Aktion auf der Seite?
ähhh ne danke xD

Und nur ma so am rande...
Ich halte nichts von TinyURL ^^
Davon abgesehen wer will die url
immer erst da rein kopieren?
Hätt ich kein bock zu. <.<
 
/Offtopic

Chewbacca hat gesagt.:
OK...:) Ein Plus für Sessions ist, ein Dateizugriff geht schneller als eine DB Abfrage. Weshalb wir ja auch nur Daten mit denen wir weiterarbeiten wollen in der DB speichern.
Zum Vergrößern anklicken....

Die Datenbank lädt einige Daten in den Arbeitsspeicher, von daher kann es schon dazu kommen, dass der Zugriff auf die DB schneller ist.
Aber gut - das sind eh so wenige Millisekunden, das macht nichts aus !


@stikmata:

Hat sich denn das Problem jetzt erledigt?
 
War ja auch nur Spass, ich halte auch nichts von den services. Die sind einfach zu schnelllebig(tolles wort mit drei l...:) )

Was hälst du von einer guten und sinnvollen "csrf protection"... ist zumindest mal ein Anfang.
 
Zuletzt bearbeitet von einem Moderator:
Das schnall ich jetzt nicht... wie kann der Zugriff einer DB schneller sein? Eine DB ist eine Datei und wird durch die DB Engine geparst.... kopfkratz...
 
Chewbacca hat gesagt.:
Das schnall ich jetzt nicht... wie kann der Zugriff einer DB schneller sein? Eine DB ist eine Datei und wird durch die DB Engine geparst.... kopfkratz...
Zum Vergrößern anklicken....

Durch verschiedene Caching-Techniken kann der Zugriff eines RDBMS auf Datensätze durchaus schneller sein, als der Zugriff in eine Zeile X der Datei Y.

Außerdem sind RDBMS-Dateizugriffe dahingehend optimiert, dass sie auf jeden Fall schneller sind, als der Otto-Normal-Zugriff auf eine Datei. Die Daten sind in den Dateien indiziert und damit kann das RDBMS mit einer großen Wahrscheinlichkeit in sehr viel kürzerer Zeit einen Datensatz im Dateistrom finden.
 
Da hast du natürlich Recht und es stellt auch keiner in Frage, aber es gilt nur für große Dateien. Eine Indexierung macht wenn z.B. x nur einmal vorkommt, keinen Sinn oder?

Hier noch was zum Thema, schauen wir doch mal was Facebook macht.

attachment.png
 
@Chewbacca: Meinen letzten Beitrag hast du verkehrt verstanden.
Ich meinte eben Nicht-Sessions...

Und da das hier alles ziemlich OT wird,
@stikmata: Hat sich das Problem erledigt?

Für "Glaubenskriege" uÄ. bitte einen eigenen Thread in zB. Smalltalk machen.
 
Dann verschiebe es doch als Forumpolizei in Smalltalk Thema "Glaubenskrieg"! Also ich finde es schon interessant die Antworten zu hören.
 
Um antworten zu können musst du eingeloggt sein.

Neue Beiträge

Zurück