Hallo,

Ich persönlich sehe bei Sessions eigentlich zwei Probleme:

Erstens potentielle Datenlecks, indem die Session-ID in Referern auftaucht.

Ok, ich geb' mich geschlagen. Da muss man dann schon eine Seite dazwischen schalten, falls ein Link nach außen geht. (und das erfordert wieder Aufwand)

Zweitens dadurch, daß man meist einen selbstgestrickten Mechanismus entwerfen muß, dessen Sicherheit nicht unbedingt garantiert ist. .htaccess funktioniert einfach.

Das ist natürlich wahr. Und die Sicherheit eines solchen Systems liegt dann nicht im Konzept, sondern in der Implementierung. Und wenn die sich austricksen lässt, dann ist es aus mit der Sicherheit.

Die Frage ist: Welche Daten sollen gesichert werden? Denn je nach der Schwere der Folgen eines Einbruchs ist HTTPS unerläßlich, weil unverschlüsselte Daten abgefangen werden könnten.

Das sowieso.

Fazit: Die Gefahr, dass man was falsch macht, ist bei Sessions größer als bei HTTP-Authentication.

Grüße,

Christian