[vienna.pm] Session management

Thomas Klausner domm at zsi.at
Thu Dec 6 12:33:55 CST 2001


* * * vienna-pm-list * * *


Hi!

On Wed, Dec 05, 2001 at 11:39:25PM +0100, Stefan Heinecke wrote:
> URI ist schlecht, die Sessions stehen dann im Logfile von Webserver
> und ggf. im Proxylog und auf der Festplatte des Clients, ich glaube
> besser kann man es nicht propagieren ;))
So wie ich Sessions verstehe, sollten die doch sowieso ein TimeOut haben,
d.h. nach einer (eher kurzen) Zeitspanne fangt niemand mehr irgendwas mit
der SessionID an. Und Session Highjacking kann mit Cookies genauso
passieren.
Und mit Cookies stehen sie auch auf der Client-Platte (ausser
nicht-permanenten Cookies, klarerweise).


> > Eine weitere sehr einfache Methode, die allerdings fuer die User eher
> > unpraktisch ist, waere Basic Authentication (bzw noch besser Apache::AuthDBI
> > http://search.cpan.org/search?dist=ApacheDBI )
> > Sobald der/die UserIn eingeloggt ist, ist die UserId abrufbar, und mit der
> > koennen dann die Session-Daten verknuepft werden.
> Naja, http basic auth ist auch nur ein http Header, Cookies sind nicht 
> viel anders, wobei Authentifikation != Session, aber in einem zustandslosen 
> Protokoll geht das Hand in Hand ;)
Nur kriegt einE normaleR UserIn Cookies ohne aktives Zutun (oder Wissen,
dass ein Cookie gesetzt wird) reingeschoben (weshalb sie IMO so einen
schlechten Ruf haben), waehrend eine basic auth vollkommen offensichtlich
vor sich geht.


> Theoretisch kann man den Usernamen und das Kennwort für die Session
> nehmen, aber eigentlich möchte man das nicht im Webserver sondern
> in der Applikation haben - imho.
Klar. Deshalb habe ich auch auf Apache::AuthDBI hingewiesen, da ist das
UserManagement in der Applikation.

> Nach eingehender Betrachtung von http wird man feststellen das das nicht
> für "e-commerce" taugt, trotz pseudo-state mit Cookies die dazu "abused" werden
> User zu tracken, dazu wurden sie entwickelt, aber persistente Cookies kann
> man spätestens beim nächsten Reboot oder händisch im Client löschen.
? Den Absatz hab ich nicht wirklich verstanden. 

-- 
 D_OMM      +---->  http://domm.zsi.at <-----+
 O_xyderkes |       neu:  Arbeitsplatz       |   
 M_echanen  | http://domm.zsi.at/d/d162.html |
 M_asteuei  +--------------------------------+


###
You are subscribed to vienna-pm-list as Thomas Klausner <domm at zsi.at>
http://www.fff.at/fff/vienna.pm/



More information about the Vienna-pm mailing list