nicht angemeldet
Neue "Session-ID" bei jedem Seitenaufruf
Hallo,
jetzt habe ich schon wieder eine Frage zum Thema Session-ID:
ist es eurer Meinung nach sinnvoll bei jedem Seitenaufruf dem Benutzer eine neue "Session-ID" zu geben? Mir ist klar dass der Name Session-ID dann natürlich ein bisschen irreführend ist. So wäre eine Session-ID immer bloß für einen Seitenaufruf gültig (mir geht es auch nur darum den User als eingeloggt zu erkennen), so dass es praktisch unmöglich wäre, dass die Session-ID in Logfiles gefunden und dann benutzt wird.
MfG
Michel
-
Hi,
ist es eurer Meinung nach sinnvoll bei jedem Seitenaufruf dem Benutzer eine neue "Session-ID" zu geben?
nein. Eine Request-ID schon eher ;-) aber auch das relativiert sich:
(mir geht es auch nur darum den User als eingeloggt zu erkennen),
Und woran erkennst Du, um _welchen_ User es sich handelt? Diese Information muß in der ID drin stecken, ansonsten kannst Du sie auch weglassen und durch "login=true" ersetzen. Das wäre kaum weniger sicher.
so dass es praktisch unmöglich wäre, dass die Session-ID in Logfiles gefunden und dann benutzt wird.
Wenn die Session-ID aus der Request-ID berechnet werden kann, ist das eigentlich egal. Außerdem läßt sich auch eine Request-ID aus dem Logfile herausnehmen.
Ich sehe ehrlich gesagt keinen Vorteil in so einem Vorgehen, aber vielleicht habe ich Deine Idee einfach noch nicht richtig verstanden.
Cheatah
-
Hi,
ist es eurer Meinung nach sinnvoll bei jedem Seitenaufruf dem Benutzer eine neue "Session-ID" zu geben?
nein. Eine Request-ID schon eher ;-)
Genau sowas hab ich gemeint :-)
(mir geht es auch nur darum den User als eingeloggt zu erkennen),
Und woran erkennst Du, um _welchen_ User es sich handelt? Diese Information muß in der ID drin stecken, ansonsten kannst Du sie auch weglassen und durch "login=true" ersetzen. Das wäre kaum weniger sicher.
Ups, ich habe wohl vergessen zu sagen, dass ich das ganze mit einer User-ID kombinieren wollte...
so dass es praktisch unmöglich wäre, dass die Session-ID in Logfiles gefunden und dann benutzt wird.
Wenn die Session-ID aus der Request-ID berechnet werden kann, ist das eigentlich egal. Außerdem läßt sich auch eine Request-ID aus dem Logfile herausnehmen.
Ja klar, nur wenn es für jeden Seitenaufruf eine neue gibt ist die Chance das man eine gültige Request-ID hat ziemlich gering.
MvG
Michel-
Hi,
Ups, ich habe wohl vergessen zu sagen, dass ich das ganze mit einer User-ID kombinieren wollte...
wie gesagt wäre das dann berechenbar.
Ja klar, nur wenn es für jeden Seitenaufruf eine neue gibt ist die Chance das man eine gültige Request-ID hat ziemlich gering.
Wie sieht Dein Konzept aus? Wie willst Du beispielsweise einen Reload von einem "Fremdaufruf" unterscheiden?
Cheatah
-
-