Moin!

Nein, die Session kann man auch problemlos noch starten, nachdem Benutzername und Passwort für gültig erklärt wurden. Meiner Meinung nach sollte man das sogar, denn erstens bedeutet dann schon die Existenz einer Session in jedem Fall einen angemeldeten Benutzer, während bei der Methode Session-schon-vor-Login die Session auch für Leute existieren würde, die sich noch überhaupt nicht identifiziert haben. Und zweitens hasse ich unnötige Cookies.

Die Existenz einer Session darf kein Kriterium für einen angemeldeten Besucher sein. Das wäre im höchsten Maße gefährlich, weil man sich Sessions jederzeit selbst starten kann. Kleiner Seitenhieb am Rande: Wie man Sessions und Userzugangsberechtigungen nicht prüfen sollte, hat die Telekom ja gerade mit ihrem OBSOC gezeigt.

Es hilft der Realisierung, wenn man jedem Besucher der Site standardmäßig eine Session verpaßt. Ob der Besucher als eingeloggt zu betrachten ist, muß in den Session-Daten drinstehen.

Angesichts der Tatsache, dass es sich um ein Redaktionssystem handelt, ist dein Einwand bezüglich überflüssiger Cookies unbedeutend: Wer auf so eine Seite geht, will sich in der Regel einloggen. Wer hingegen böse Absichten hegt, der muß eben unter dem Cookie leiden - das ist Pech. ;)

- Sven Rautenberg