[vienna.pm] Session management
Stefan Heinecke
nosleep at ircelite.org
Mon Dec 10 14:45:29 CST 2001
* * * vienna-pm-list * * *
> Nur kriegt einE normaleR UserIn Cookies ohne aktives Zutun (oder Wissen,
> dass ein Cookie gesetzt wird) reingeschoben (weshalb sie IMO so einen
> schlechten Ruf haben), waehrend eine basic auth vollkommen offensichtlich
> vor sich geht.
Das Argument BasicAuth einzusetzen, weil es offensichtlich ist ein klassisches
Nullargument. Weil Cookies "einen schlechten Ruf" haben weil Sie von der
"Bannerindustrie" persistent eingesetzt werden und sich damit hervorragend
zum Usertracken einsetzen lassen ist auch auch sehr nahe Null, es gibt
Session Cookies, die entsprechend funktionien. Nur weil DAU nicht in der
Lage ist sich mit seiner Software auseinanderzusetzen möchte man nicht
auf Sicherheit verzichten.
> Klar. Deshalb habe ich auch auf Apache::AuthDBI hingewiesen, da ist das
> UserManagement in der Applikation.
Wiegesagt, es ist primär Authentifikation, das Cookies und HTTP Basic
Auth beide HTTP Header Felder benutzen ist richtig. Aber eigentlich
möchte man nicht ein Base64 encodetes Passwort mit jedem Request
mitsenden.
> ? Den Absatz hab ich nicht wirklich verstanden.
Es gibg darum das der Client für seine Einstellungen und Software verantwortlich
ist. Auf lange Sicht rentiert es sich https in solchen Fällen einzusetzen, das
löst die Problematik sehr einfach.
###
You are subscribed to vienna-pm-list as "Stefan Heinecke" <nosleep at ircelite.org>
http://www.fff.at/fff/vienna.pm/
More information about the Vienna-pm
mailing list