hi julian,
die session wird gelöscht, war das erste was ich kontrolliert hab. um das ganze genauer zu erklären:

die webseite ist ein frameset, 2 frames, oben einer unten einer.

oben sitzt die topmenu.php die aus db-navigationsdaten ein dhtml-menu generiert, unten werden bloss noch reine html seiten reingeladen.
das frameset selbst ist ebenfalls ein php file, dort wird der session kram gemacht und die sessionID and das topmenu.php übergeben.

so kommt es, daß der nutzer bei klick auf den back button zu einem (eigentlich geschützten) frameset zurückkommt, da der browser einfach in seiner history zurückgeht und nicht das script neu anfordert. im oberen frame sitzt dann eine komplett funktionstüchtige navigation, wie gesagt dhtml, die seite muß während des navigierens also auch nicht neu geladen werden. so kann er lustig alle inhalte abrufen, obwohl seine session gelöscht ist.

das wollte ich durch besagte meta tags bereits im frameset.php verhindern, das ergebnis kennst du ja...

so langsam glaub ich, daß man dieses verhalten gar nicht durch meta tags zum cache controlling umgehen kann.

Hallo Sven,

Da du keine Verschlüsselung benutzt, können die auf der Seite angezeigten Daten ja nicht so kritisch sein, daß sie niemand sehen darf - denn sonst hättest du SSL benutzt, oder?

Schon mal dran gedacht, dass nicht jeder seinen Server bei Sich zuhause stehen hat und installieren kann, was er will? Nehen wir beispielsweise einen Terminkalender eines Vereins. Da will ich eben nicht, dass jeder Daten eintragen kann, andererseits ist die Kosten/Nutzen-Rechnung für SSL-Einsatz eindeutig.

Grüße aus Würzburg
Julian

Moin!

auf der homepage, an der ich gerade arbeite, kann man sich vom öffentlichen bereich in einen geschützten bereich einloggen. dabei wird mit php eine sessionID erzeugt, max. lebensdauer 4 h, und in einer db gespeichert.
verlassen kann man diesen bereich nur über 'logout', womit die sessionID dann auch gelöscht wird. soweit funktioniert das prima, wird keine gültige sessionID in der db gefunden, nippelt das script per #die('session expired etc. pepe') ab.

nach erfolgtem logout kommt man wieder in den öffentlichen bereich. nun habe ich das problem, dass man per browser back-button doch wieder in den geschützten bereich zurückkommt.

Du willst wissen, wie man verhindern kann, daß nachträglich die bereits angeschauten Seiten nochmal hervorgekramt werden.

Antwort: Garnicht. Deine Seiten landen immer im Browsercache. Die Zurücktaste ruft die Seiten aus dem Cache erneut auf - wobei zu beachten ist: Der Standard definiert, daß man die Seiten durch "zurück" exakt so sieht, wie man sie vorher schon gesehen hat - ein erneuter Abruf vom Server ist nicht vorgesehen und wird beispielsweise von Opera auch nicht vorgenommen. Alle Versuche, das Caching der Seite auf Null zu setzen funktionieren deshalb nicht, weil einfach die alte, gespeicherte Seite genommen wird. Wer will, kann die Seiten im Zweifel immer aus dem Cache aufrufen.

Was du als einziges verhindern kannst ist, daß die Seite nach dem Logout noch irgendwie funktioniert. Ohne gültige Session sind alle Links tot und tun nichts mehr.

Da du keine Verschlüsselung benutzt, können die auf der Seite angezeigten Daten ja nicht so kritisch sein, daß sie niemand sehen darf - denn sonst hättest du SSL benutzt, oder?

• Sven Rautenberg

hi sven, danke für ansage, so langsam hatte es bei mir auch schon gedämmert :)))
jetzt weiss ich wenigstens definitiv daß es so <u>nicht</u> geht.

gruß, micha