Kalle_Worms: Sessions OHNE Cookies

Beitrag lesen

SELF-Forum

Sessions OHNE Cookies

Kalle_Worms
Informationen zu den Bewertungsregeln

Hallöle,

ich habe hier so einen Mix aus Grundsatzdiskussion und Fragen im Detail und bedanke mich schon mal bei jedem, der dies mit konstruktiver Kritik begleitet. Da ich allein arbeite, ist dieses Forum für mich sehr wichtig, um Ideen auszutauschen und Gedanken zu ordnen.

Ich programmiere Seiten, für die ich mit dem Auftraggeber nach erfolgten Zugriffen abrechne. Wer als Surfer (oder datenpflegender Mitarbeiter) zugreift, hat dann eine Zeiteinheit x, bevor der Abrechnungszähler eins weiterschaltet. Vergleichbar mit dem Minutentakt beim Telefonieren.

Diese Technik ist nur ein Unterpunkt (Frame) beim Webauftritt des Auftraggebers, ich bin also nicht Herr über das Ganze.

Problem:
--------
Die Wiedererkennung des Users hatte ich zunächst per Cookie gelöst, was im Test prima funktionierte. Aber der Auftraggeber selbst hat Cookies gesperrt und nun tickt für ihn alle paar Sekunden bei jedem Seitenaufruf der Zähler weiter. Ausserdem kann er keine Einstellungen vornehmen, weil die per Cookie weitergegeben werden. Klar, dass er damit nicht einverstanden ist.

Und Cookies zulassen ? Auf keinen Fall - Sicherheitsrisiko !

Auch ein Surfer könnte Cookies gesperrt haben und kann dann diese Seiten nicht nutzen.

(ganz nebenbei: Auf JavaScript kann man sich nicht verlassen, kein Flash, dann gibt's scheinbar Browser ohne Frames und nun brechen auch noch die Cookies weg ...).

Lösungsansatz:
--------------
gestern wurde mir empfohlen, mit Sessions zu arbeiten, damit auch User ohne Cookies ihre Einstellungen zumindest für eine Sitzung behalten können.

Habe festgestellt, dass PHP ganz automatisch hinter jedem FORM- Tag so etwas einfügt:

<input type="hidden" name="PHPSESSID" value="a497a448a81286db3ee53fe3a2b3d87b" />

Problem bei Sessions:
---------------------
Wenn ein Besucher die Einstiegsseite erneut von extern aufruft (Klick auf den Link im Menü- Frame), wird eine neue Session-ID vergeben und alle Einstellungen sind verloren.

Es muss aber auch anders gehen: Wenn ich mich bei meinem Datenbank- Programm mysqladmin anmelde (dreimal Cookies verweigert), kann ich in einem anderen Browser- Fenster vollkommen neu einsteigen und bin trotzdem bekannt.

Frage:
------
Welche Möglichkeiten gibt es denn noch, sich gegenüber dem Web-Server zu identifizieren ?

Die IP kenne ich schon, sie gilt aber ja für ein ganzes Firmennetz hinter dem Router.

Lieben Gruß, Kalle

Beitrag melden
Informationen zu den Bewertungsregeln