Moin!

auf der homepage, an der ich gerade arbeite, kann man sich vom öffentlichen bereich in einen geschützten bereich einloggen. dabei wird mit php eine sessionID erzeugt, max. lebensdauer 4 h, und in einer db gespeichert.
verlassen kann man diesen bereich nur über 'logout', womit die sessionID dann auch gelöscht wird. soweit funktioniert das prima, wird keine gültige sessionID in der db gefunden, nippelt das script per #die('session expired etc. pepe') ab.

nach erfolgtem logout kommt man wieder in den öffentlichen bereich. nun habe ich das problem, dass man per browser back-button doch wieder in den geschützten bereich zurückkommt.

Du willst wissen, wie man verhindern kann, daß nachträglich die bereits angeschauten Seiten nochmal hervorgekramt werden.

Antwort: Garnicht. Deine Seiten landen immer im Browsercache. Die Zurücktaste ruft die Seiten aus dem Cache erneut auf - wobei zu beachten ist: Der Standard definiert, daß man die Seiten durch "zurück" exakt so sieht, wie man sie vorher schon gesehen hat - ein erneuter Abruf vom Server ist nicht vorgesehen und wird beispielsweise von Opera auch nicht vorgenommen. Alle Versuche, das Caching der Seite auf Null zu setzen funktionieren deshalb nicht, weil einfach die alte, gespeicherte Seite genommen wird. Wer will, kann die Seiten im Zweifel immer aus dem Cache aufrufen.

Was du als einziges verhindern kannst ist, daß die Seite nach dem Logout noch irgendwie funktioniert. Ohne gültige Session sind alle Links tot und tun nichts mehr.

Da du keine Verschlüsselung benutzt, können die auf der Seite angezeigten Daten ja nicht so kritisch sein, daß sie niemand sehen darf - denn sonst hättest du SSL benutzt, oder?

• Sven Rautenberg

hi sven, danke für ansage, so langsam hatte es bei mir auch schon gedämmert :)))
jetzt weiss ich wenigstens definitiv daß es so <u>nicht</u> geht.

gruß, micha