Hallo,
Die Kennung (vulgo: Session-ID) als Parameter in die URL zu stecken anstatt in ein Cookie (wo sie hingehört) ist ein altbekanntes wie weit verbreitetes Problem; einerseits, weil es den Datenbestand von Suchmaschinen unnötig erhöht ...
das Problem sind hier meist die Betreiber der entsprechenden Seiten, die jedem Besucher -ob nötig oder nicht- gleich bei seinem ersten Seitenaufruf eine Session auf den Bauch patschen. Das hat mich auch schon bei vielen Seiten gestört: Ich habe noch keine Informationen eingegeben, die zu merken sich lohnen würden, trotzdem kriege ich sofort "auf Verdacht" eine Session verpasst. Es wäre immer noch früh genug, wenn ich das erste Formular ausfülle und absende.
Beispiel: Ich besuche einen Webshop und sehe mir interessehalber ein paar Artikel an. Eine Session aufzumachen, ist frühestens dann sinnvoll, wenn ich anfange, Artikel in meinen Warenkorb zu legen oder wenn ich mir die Shop-Ansicht individuell einstelle.
... andererseits, weil es eine Sicherheitslücke darstellt. Da eine solche URL einen Benutzer A identifiziert, erlaubt sie es grundsätzlich jedem beliebigen Benutzer B, sich nur durch Erlangen dieser URL als Benutzer A auszugeben
Ja, der Aspekt ist richtig, wird aber IMHO meistens maßlos übertrieben. Denn sehr oft sind die Informationen, die in der Session gespeichert sind (überhaupt gespeichert *sein können*) weder personenbezogen, noch irgendwie sicherheitsrelevant.
Wird kein weiterer Sicherheitsmechanismus eingesetzt, ist Identitätsdiebstahl Tür und Tor geöffnet.
Der in vielen Fällen keine größere Bedeutung als der sprichwörtliche Reissack in China hätte. Aber das sollte man als Betreiber einer Seite im Einzelfall abwägen - es muss eben nicht immer gleich der Rundumschlag mit SSL, HTTP-AUTH, Sessions etc.pp. sein.
So long,
Martin
--
Der Alptraum jedes Computers:
"Mir war, als hätte ich gerade eine 2 gesehen."