hallo klaus, hallo michael

Auf den unzureichenden Grundlagen von HTTP selbst ein Sitzungsprotokoll aufbauen, indem Du irgendwelche Informationen ständig hin- und her schickst.

@All:
'unzureichend' ist m.E. der falsche Begriff, da HTTP bewußt kein sessionfähiges Protokoll ist.

das war mir klar und auch nicht das ziel (erklaerung, siehe unten)

@Siramon:
Und Computernamen sind auch bei sitzungsorientierten Protokollen kein geeignetes Mittel, um sicherheitsrelevante Methoden zu implementieren. Erstens ist nicht gesagt, daß jerder Rechner einen eindeutigen Namen hat, zweitens gibt es unzählige Rechner, an denen mehr als ein Benutzer arbeitet.

du hast die sicherheit angesprochen.

kurze erklaerung worum es mir ging.

bei meiner website benutze ich ein "normales" autorisations system. d.h. der benutzer loggt sich ein und hat die moeglichkeit das cookie (die autorisation) auf 3 monate zu verlaengern. ich rate davon ab. aber die moeglichkeit gebe ich. (ich kenne mein surfverhalten ;-)

um das cookie sichere zu machen, wollte ich eine benutzerspezifische information im sicherheitsstring (jetzt bestehend aus passwort und login) mitverschluesseln.

ich haette natuerlich abgefragt, ob ein computername vorhanden ist oder nicht.

das ganze war eigentlich mehr gedacht, um ein kopieren eines cookies auf eine andere maschine, oder das abfangen des cookiepacketes zu erschweren.
diese moeglichkeit faellt natuerlich jetzt weg. (technisch so nicht moeglich)

natuerlich waere das einloggen mit falschem rechnername nicht verunmoeglich worden. der user koennte ja auch mal von einem andern compi aus die seite besuchen. das cookie wuerde geloescht und eine neue autorisation waere erforderlich.

ich werde jetzt das ganze wahrscheinlich mit einer ip abfrage realisieren - natuerlich nur fuer benutzer mit einer eigenen ip (kabelmodembesitzer oder so) - optional versteht sich.

fuer andere ideen waere ich euch sehr dankbar.

tx a lot

gruesse

Siramon