Moin!

Hallo, nur mal so ne Frage: denkt ihr, es gibt eine Möglichkeit, einen relativ sicheren Login auch ohne die Verwendung von Sessions oder Cookies zu erstellen? Dachte da an solche Sachen wie eine selbst geschriebene "Quasi" Sessionverwaltung oder die Kopplung von time() und IP, usw. Geht das oder sollte man sich doch eher an Sessions/Cookies halten??? Das Problem ist halt, dass ich nicht will, dass ein User auf meiner Seite Cookies akzeptieren muss und das Mitschleifen der Session-ID in der URL ist mir zu unsicher...

Du hast folgendes Problem zu lösen: Damit du den Benutzer bei jeder Anforderung von Seiten oder auch Grafiken wiedererkennst, muß er bei jedem Request eine eindeutige Kennung mitschicken.

HTTP bietet dafür eigentlich nur drei verschiedene Methoden an:
1. Cookies
2. HTTP-Authentifizierung
3. Daten in GET (sichtbar per URL) oder POST (unsichtbar, aber auch unpraktisch für normale Links).

Eine dieser drei grundlegenden Methoden mußt du dir aussuchen. Keine ist gegenüber einer anderen sicherer oder unsicherer. Immer kann dir passieren, dass die gesendeten Daten, die ja unverschlüsselt übermittelt werden, abgefangen und mißbraucht werden. Bei besonders schlechten Mechanismen kann es dir obendrein noch passieren, dass man auch raten kann, welche Zugangsdaten für einen erfolgreichen Angriff notwendig sind.

Insbesondere wegen diesem letzten Punkt halte ich es für ratsam, langerprobte und bekannte Mechanismen einzusetzen, anstatt sich irgendwas selbst auszudenken. Wahlweise also HTTP-Auth oder PHP-Sessions. Damit hast du dann alle drei Fälle abgedeckt, die man mit HTTP überhaupt machen kann. PHP-Sessions verwenden bevorzugt Cookies und steigen nur dann auf URL-Parameter um, wenn keine Cookies möglich sind. Du hast dabei sogar die Möglichkeit, den Einsatz der URL-Parameter ganz fein zu steuern, wenn du nicht Trans-SID benutzt (das fügt die Parameter automatisch an alle lokalen URLs an).

- Sven Rautenberg