fenster-infos

>
> > derwissende schrieb am 10. November 2006 9:59
> >
> > > Naja, ich sehe den Vorteil in einer Registrierung darin das sich der
> > > Kunde seine Bestellungen nochmal aufrufen kann und sie auch ändern
> > > kann.
> Das ist böse! Sitzungsschlüssel sollten nicht in URLs stehen, weil
> sie dadurch über den HTTP-Referer weitergegeben werden können.
Das muß man abwägen. Es gibt IMHO keinen Mechanismus der das
Entführen der Sessions verhindern könnte, wenn man nicht https
verwendet und die Sitzungsschlüssel nur innerhalb der verschlüsselten
Daten verwendet.
Wenn man http verwendet, brauch nur jemand die Daten mitzuschnüffeln
und kann die Session übernehmen. Immer.
> Außerdem sollte eine Sitzung nach relativ kurzer Zeit der Inaktivität
> beendet werden, weil sonst die Gefahr steigt, dass die Sitzung
> entführt wird.
Bleibt die Frage:
Warum sollte jemand Sitzungen entführen?
und:
wie kommt eine ordentliche Authentifizierung und Bestätigung des
$customers zustande?
> Dann lieber alles (außer dem Sitzungsschlüssel) in einen Cookie
> packen.
Und das hilft jetzt genau wofür?
ervin

Der Beitrag wurde am Dienstag, den 16. September 2008 um 09:01 Uhr veröffentlicht und wurde unter Allgemein abgelegt. du kannst die Kommentare zu diesen Eintrag durch den RSS 2.0 Feed verfolgen. du kannst einen Kommentar schreiben, oder einen Trackback auf deiner Seite einrichten.