nicht angemeldet
Session-ID einbauen
Hi,
ich wollte mal fragen wie ihr die Session-IDs in die Links auf eurer Homepage integriert?
Ich habe mir überlegt einfach seite.pl?sessionid=$SESSION$ in die Seite einzubauen und dann $SESSION$ durch die Session-ID zu ersetzen. Habt ihr vielleicht eine bessere Lösung?
MfG
Moldawian
-
Hallo,
ich nutze dieses Konzept (ist verbreitet):
1. Beim Einloggen werden in einer DB die SessionID (Zufallsgenerator), die IP des Users und die Loginzeit vermerkt.
2. Ich übergebe den Seiten wie von Dir beschrieben die SessionID, überprüfe aber beim Aufruf der Folgeseite immer zuerst ob die SessionID mit der IP übereinstimmen und ein evtl. Timeout noch nicht abgelaufen ist.
Damit geht es eigentlich ganz gut. Ich schlage Dir noch vor die Daten per Post zu übermitteln, da dies etwas diskreter ist.
Gruß Jan
-
Hi,
- Ich übergebe den Seiten wie von Dir beschrieben die SessionID, überprüfe aber beim Aufruf der Folgeseite immer zuerst ob die SessionID mit der IP übereinstimmen und ein evtl. Timeout noch nicht abgelaufen ist.
Funktioniert dann aber nicht mir Proxies!
Damit geht es eigentlich ganz gut. Ich schlage Dir noch vor die Daten per Post zu übermitteln, da dies etwas diskreter ist.
Heißt das, du rufst jede Seite mit einem hidden-Formular auf?
MfG
Moldawian-
- Ich übergebe den Seiten wie von Dir beschrieben die SessionID, überprüfe aber beim Aufruf der Folgeseite immer zuerst ob die SessionID mit der IP übereinstimmen und ein evtl. Timeout noch nicht abgelaufen ist.
Funktioniert dann aber nicht mir Proxies!
Na, ja - funktionieren schon, es ist nur so das Leute die über den selben Proxie gehen einfach eine andere Session übernehmen können. Ist aber nicht so tragisch. (Meine ich.) Einloggen können sich ja trotz gleicher IP mehrere Leute.
Eine Alternative bieten hier sicherlich Cookies, die mag ich aber nicht.
Damit geht es eigentlich ganz gut. Ich schlage Dir noch vor die Daten per Post zu übermitteln, da dies etwas diskreter ist.
Heißt das, du rufst jede Seite mit einem hidden-Formular auf?Ja, so ist es - war bei mir bisher immer gut machbar.
Gruß Jan
-
Hi,
- Ich übergebe den Seiten wie von Dir beschrieben die SessionID, überprüfe aber beim Aufruf der Folgeseite immer zuerst ob die SessionID mit der IP übereinstimmen und ein evtl. Timeout noch nicht abgelaufen ist.
Funktioniert dann aber nicht mir Proxies!
Na, ja - funktionieren schon, es ist nur so das Leute die über den selben Proxie gehen einfach eine andere Session übernehmen können. Ist aber nicht so tragisch. (Meine ich.) Einloggen können sich ja trotz gleicher IP mehrere Leute.
Nein, ich meinte, dass manche Leute pro Session dann mehrere IPs haben, wodurch ja die Session-ID ungültig würde.
Eine Alternative bieten hier sicherlich Cookies, die mag ich aber nicht.
Wer mag die schon? :-)
MfG
Moldawian-
Hallo,
Nein, ich meinte, dass manche Leute pro Session dann mehrere IPs haben, wodurch ja die Session-ID ungültig würde.
Da gebe ich Dir recht, die haben bei mir einfach ein Problem da die Sicherheit vorgeht. :o)
(Größere Anbieter wie Puretec machen es genauso...)Gruß Jan
-
Hallo Jan,
Nein, ich meinte, dass manche Leute pro Session dann mehrere IPs haben, wodurch ja die Session-ID ungültig würde.
Da gebe ich Dir recht, die haben bei mir einfach ein Problem da die Sicherheit vorgeht. :o)
(Größere Anbieter wie Puretec machen es genauso...)Woher hast Du diese Information? Kannst Du vielleicht einen Link posten?
Bei einem Shop wäre es imho schon lästig, wenn ich einen Warenkorb anlege, der ständig "gelöscht" wird, weil mein Proxy die IP wechselt wie andere Leute die Unterwäsche ;-). Imho machen es vor allem Shops (wie Amanzon.de oder http:/www.genealogie-shop.de/; letzterer von mir programmiert) nicht so. Bei meiner Sessionverwaltung wird auch der Timeout bei jeder Aktion neu gestartet, weil es imho ungünstig wäre wenn man im Shop stöbert, den Warenkorb füllt, und nach 2 Stunden auf einmal alles weg ist ;) Außerdem kann man imho so den Timeout kürzer gestalten, da die Pause zwischen zwei Aktionen sicherlich kürzer ist, als die Spanne vom "Einloggen" bis zum Abschicken der Bestellung.Gruß Alex
-
Hallo,
Woher hast Du diese Information? Kannst Du vielleicht einen Link posten?
Welche Information?
Die von mir beschriebene Sessionverwaltung gilt für normale Seiten, in Shops kann ich Dein Problem verstehen. Jedoch wechseln die Proxies nun nicht aller Sekunden die IP sondern im Normalfall doch nur bei Inaktivität. Somit ist es bei Konfigartionsmenüs meiner Meinung nach durchaus vertretbar mit meiner Methode zu arbeiten.
Gruß Jan
-
Hallo Jan,
Hallo,
Woher hast Du diese Information? Kannst Du vielleicht einen Link posten?
Welche Information?
(Größere Anbieter wie Puretec machen es genauso...)
Diese Information meinte ich :)
Die von mir beschriebene Sessionverwaltung gilt für normale Seiten, in Shops kann ich Dein Problem verstehen. Jedoch wechseln die Proxies nun nicht aller Sekunden die IP sondern im Normalfall doch nur bei Inaktivität. Somit ist es bei Konfigartionsmenüs meiner Meinung nach durchaus vertretbar mit meiner Methode zu arbeiten.
Imho kommte es immer auf den Proxy und dessen Konfiguration an, wann er wie und warum er die IPs neu vergiebt. Auch bei Konfigurationen wäre es extrem lästig, wenn meine Einstellungen futsch sind, weil ich nicht vor dem Wechsel der IP durch meinen Proxy gespeichert habe. Z.B. habe ich gestern bei GMX meinem Spamfilter eine paar Emailadressen hinzugefügt, die ich aber erste in verschiedenen Dateien auf meinem Rechner zusammensuchen musste (hatte nicht bedacht, daß die so verstreut standen). Trotz zwischenzeitlicher Trennung vom Netz durch meinen Provider konnte ich trotzdem problemlos mit der Konfiguration fortfahren. Jetzt habe ich entweder bei der Neueinwahl zufällig wieder die gleiche IP bekommen (isch `abe gar keine Proxy ;), oder GMX verlässt sich nicht auf die IP.
Gruß Alex
-
Hallo Alex,
um die Argumentation jetzt einmal abzuschliesen:
1. Bei Puretec habe ich bemerkt das ich bei Neueinwahl aus dem Kundenmenü geworfen werde.
2. Ansonsten gebe ich Dir durchaus recht das diese Lösung auch negative Seiten hat, ich mag aber keine Cookies.
Gruß Jan
-
-
-
-
-