nicht angemeldet
Hallo!
Cookies können ausgeschaltet sein!
Sind sie aber sehr, sehr selten. Die Zeit wo alle Angst vor Cookies hatten ist IMHO vorbei.
Get Variablen nicht!
Dafür erhöht eine Session-ID in der URL die Gefahr von "Session-Hijacking" (also eine Übernahme einer fremden Session weil diese z.B. in Links, Logs, Mails... vorkommt).
Get Variablen als auch Cookies müssen auf E0chtheit geprüft werden.
Bilder kann ich per .htaccess und nur auf mein Server laufen lassen
Beispiel:<Files ~ ".(gif|jpe?g|png|csv)$">
SetEnvIfNoCase Referer ^http://.* Verboten
....
Sehe zwar grad nicht was Du damit vorhast, aber verlässt Du Dich hier auf den Referer? Das ist sehr viel unzuverlässiger als sich auf Cookies zu verlassen.
Ich möchte eine Möglichkeit finden mit guten Sicherheitsmerkmalen
bzw. einfache Handhabung.
Ich denke ein Bild 1x1px irgendwo als Hintergrund abgelegt erscheint mir super dafür geeignet.
Das bringt Dir aber nichts. Was hast Du davon, wenn das Bild eine Session-ID generiert? Nur wenn Du hier Cookies verwendest wird diese Session-ID im eigentlichen PHP-Script "ankommen". Die Session-ID wie auch immer zum Bild zu übertragen bringt Dir ja so ziemlich gar nichts. Du machst es Dir damit sogar nur unnötig kompliziert wenn Du im eigentlichen PHP-Script Sessions verwenden willst, aber keine eigene Session-ID generieren willst. Abgesehen davon funktioniert das mit der Übergabe per URL überhaupt nicht.
Zumal ich somit meine statischen URLs *.html überall erhalten kann.
Die Session-ID bekommst Du dann aber wirklich nur per Cookie zu den PHP-Scripten. Entweder Du verlässt Dich komplett auf Cookies (mache ich und viele andere Leute auch), dann kannst Du Sessions ganz normal in Deinen Scripten nutzen (und Trans-SID etc. in der php.ini abstellen). Wenn Cookies für Dich wegfallen, bist Du eben auf die Session-ID in der URL angewiesen, und da diese einzigartig ist, bekommst Du die entsprechenden Probleme mit der Suchmaschine.
Das einzige was mir noch einfiele, wäre es "zum Warenkorb hinzufügen" so zu implementieren, dass eine Suchmaschine dieses nicht kann (POST-Request?). Entsprechend erst an dieser Stelle eine Session-ID zuweisen, und schon bist Du aus dem Schneider.
Grüße
Andreas
SELFHTML Feature Artikel: http://aktuell.de.selfhtml.org/artikel/
MudGuard