Hallo!

Das musst Du mir mal näher erklären! Der einzige Zweck der Session ist doch, den Client eindeutig wiederzuerkennen von Request zu Request, um ihm die richtigen Daten zuzuleiten.

sehr richtig.

Was sollte denn sonst der Anwendungsfall für Sessions sein?

ich habe genau obiges gemeint.

Und diese Wiedererkennung kann man nun ganz einfach halten,

wie das die meisten Leute(PHP-Anwender) machen...

man kann vorher darüber nachdenken, was man tut,

das habe ich auch, dank Dir sogar mehrfach und tiefer als ich es je sonst gemacht hätte

und man kann auch den durchaus vertretbaren Aufwand einer Echtheitsprüfung für die Session durchführen.

was ist das? PHP prüft selbst ob vom Client eine gültige SessionID übermitelt wurde. Ich kenne auch das problem mit vor und zurück, daher funktionieren viele Sesion-basierte Seiten nicht korrekt, da dies bei der Benutzerführung nicht bedacht wurde. Ich stimme auch vollkommen überein das Cockies besser geeignet sind, aber es gibt genügend Anwendungsfälle wo es wichtiger ist Besucher(Kunden) nicht bzgl. Browsereinstellung(Cockies an) zu bevormunden, sondern diejenigen die Cockies deaktiviert haben(je nach Klientel mehr oder weniger) mit dem vor/zurück Problem zu "belasten". Dafür gibt es ja Trans-SID, die miesten Besucher haben somit keine Probleme, die anderen sind selbst schuld dass sie keine Cockies verwenden wollen und müssen dann auch mit den Konsequenzen leben. Die Leute kenne meist das Problem und werden im Fall eines Verlustes Ihrer Session wissen wieso das passiert ist, aus Erfahrung. Bei einer typischen Anwendung wie einem Warenkorb ist dieses "Risiko" in vielen Fällen durchaus gerechtfertigt, wie ich finde. Ich wollte nicht alle Käufer ausschließen die keine Cockies verwenden möchten - aus welchen Gründen auch immer.

Das hat alles noch nichts mit einer "Authentifizierung" von in Nutzerkonten registrierten Nutzern zu tun.

Jepp.

Ich möchte niemals gezwungen sein, mein Leben oder auch nur meine Gesundheit einem DEINER Programme anvertrauen zu müssen.

Das verlangt auch keiner von Dir ;-) Bei Warenkörben & Co. geht es aber meist nicht um Leben und Tod, da gelten andere Voraussetzungen. Und gerade sowas sind doch die Standard-Anwendungen für Sessions, oder?

Deine ganzen Aussagen zui diesem Thema deuten immer wieder darauf hin, dass Du Dir über Fehlertoleranz noch nie Gedanken gemacht hast, oder aber das Wort falsch verstanden hast.

ich bin kein Informatiker, aber ich weiß zu unterscheiden wo ich welche Anforderung an die Fehlertoleranz stellen sollte, zumindest für mein Verständnis.

Also nochmal zum Mitschreiben: Programme mit hoher Fehlertoleranz sind solche, die auf Übertragungsfehler, Benutzerfehler etc. intelligent reagieren können und es bedeutet NICHT, dass jede Schlampigkeit oder Faulheit des Programmierers zu tolerieren ist.

Wie oben beschreiebn gibt es auch andere Arggumente die wichtiger sein können, das kommt wie gesagt auf die spezielle Anwendung an. Bei einer Authentifizierung würde ich das niemals so machen, unter anderem aus diesen Gründen, aber auch aus anderen.

Ermahnende Grüße aus http://www.braunschweig.de

Wird man jetzt schon ermahnt wenn man nicht Deiner Meinung ist? Es tut mir Leid, aber in einigen Punkten teile ich Deine Ansicht bzgl. Sessions nunmal nicht. Aber gerade durch verscheidenen Ansichten entstehen IMHO interessante Diskussionen, oder nicht?

Viel Grüße
Andreas