Reiti: Sessionhandling mit Cookies, oder Cookies eher vermeiden?

Da ich gerade an nem größeren Projekt arbeite, stellt sich mir eine viell. sehr simple Frage, bezgl Session-Handling.

Mir persönlich gefällt dir Variante per Cookie um einiges besser weil es mehr flexibilität zulässst, die Frage ist allerdings wie Benutzerfreundich ist das ganze in der heutigen Zeit der Panikmache?

Würdet Ihr eher mit Cookies arbeiten und die Seite ohne Cookie schlichtweg nicht betretbar machen, oder eher dann doch auf Querystrings zurückgreifen?

Habe nun schon einige Webapplicationen gesehn wo mal das eine mal das andere versucht wurde und das ganze letztendlich in einem codeseitigem Disaster geendet ist, das will ich vermeiden, im grossen u ganzen ist das Handling per Querystring mühsam,anfällig für Fehler auf beiden Seiten (browserhistory etc).

gut, ich schweife aus ;) die frage ist, wie seht ihr das in der heutigen zeit, ist es zumutbar Cookies zwingend zu akzeptieren um den vollen Funktionsumfang einer Seite benutzen zu können?

Ich würde "ja" sagen sofern man dem User entsprechende Hilftestellung gibt, wie er das denn tut. Ist sicher auch ein Schritt in Richtung weg von Panikmache..

  1. hi,

    Mir persönlich gefällt dir Variante per Cookie um einiges besser weil es mehr flexibilität zulässst, die Frage ist allerdings wie Benutzerfreundich ist das ganze in der heutigen Zeit der Panikmache?

    Wer macht denn bitte Panik?
    In Sachen Cookies doch hoffentlich niemand (mehr).
    Die Möglichkeiten, Cookies fallabhängig anzunehmen oder abzuweisen (anhand der Domain, für Third Party Cookies gesondert, etc.), sind doch in heutigen Browserversionen sehr viel differenzierter als früher.

    Würdet Ihr eher mit Cookies arbeiten und die Seite ohne Cookie schlichtweg nicht betretbar machen, oder eher dann doch auf Querystrings zurückgreifen?

    Das muss kein entweder-oder sein.

    Habe nun schon einige Webapplicationen gesehn wo mal das eine mal das andere versucht wurde und das ganze letztendlich in einem codeseitigem Disaster geendet ist, das will ich vermeiden, im grossen u ganzen ist das Handling per Querystring mühsam,anfällig für Fehler auf beiden Seiten (browserhistory etc).

    Wenn das in einem "Desaster" endet, dann hat der Entwickler Mist gebaut.

    In PHP beispielsweise stellt das ganze gar kein großes Problem dar - PHP kann, entsprechend konfiguriert, selbstständig versuchen, die Session-ID per Cookie weiterzugeben - und wenn das nicht klappt, dann auf den Fallback per GET im Querystring oder in einem versteckten Feld bei Formularen zurückgreifen - ohne dass du als Entwickler überhaupt noch viel dazutun musst.

    Und die in anderen gängigen serverseitigen Sprachen oder Frameworks implementierten Session-Mechanismen dürften vermutlich vergleichbares bieten.

    gut, ich schweife aus ;)

    Das wollen wir nicht hoffen - abzuschweifen sei dir noch gegönnt, aber aus muss nicht sein ;-)

    die frage ist, wie seht ihr das in der heutigen zeit, ist es zumutbar Cookies zwingend zu akzeptieren um den vollen Funktionsumfang einer Seite benutzen zu können?

    Ich würde es nicht machen, wenn dazu keine unausweichliche Notwendigkeit besteht.

    (Bedenke an dieser Stelle aber, dass eine Session bei Übergabe der ID per GET leichter "gekidnapped" werden kann - der User sendet einen Link, der sie enthält weiter, oder sie taucht als Referrer in den Logs fremder Server, von denen beispielsweise Bilddateien, externe Javascripte o.ä. eingebunden werden, auf ...
    Wenn also "absolute Sicherheit" - wir wissen natürlich, dass es die nicht gibt, nicht geben kann - gefordert ist, dann kann die Übergabe ausschließlich per Cookie ggf. vorteilhafter sein - aber für eine Applikation mit "durchschnittlichen" Anforderungen in dieser Hinsicht würde ich den Fallback der Übergabe neben dem Cookie nicht unbedingt unterbinden wollen, wenn ich dadurch eine größere Anzahl an Nutzern bedienen kann.)

    Ich würde "ja" sagen sofern man dem User entsprechende Hilftestellung gibt, wie er das denn tut.

    Die nützt ihm nichts, wenn er keine Kontrolle über das System hat - weil er bspw. in einem administrierten Netzwerk sitzt.

    Ist sicher auch ein Schritt in Richtung weg von Panikmache..

    Wenn du zwingend die Akzeptanz von Cookies von mir verlangen würdest, wäre das für mich eher ein Schritt in Richtung des Suspekten, wo ich ggf. genauer hinschauen würde, welche Daten du da abzulegen versuchst (vielleicht noch mehr außer nur einer ID ...), und von wo aus überall Zugriff darauf erlaubt sein soll.

    gruß,
    wahsaga

    --
    /voodoo.css:
    #GeorgeWBush { position:absolute; bottom:-6ft; }