Hi Tom.

Ich bin der Meinung, dass das eher "works as designed" ist.

Dem stimme ich zu. Bei jeder Art von Session-Mechanismus ist man nun mal darauf angewiesen, dass der Client mitspielt und sich - wie auch immer - zu erkennen gibt. Wenn man es als Designfehler bezeichnen mag, dann vom HTTP, aber sicher nicht von PHP.

Die Webentwickler müssen sich nur langsam mal von der irrigen Meinung frei machen, dass sie eine Leistung auch dann anbieten müssen, wenn der Client diese gar nicht unterstützen will.

Ich möchte aber gerade mal dran erinnern, dass PHP-Sessions auch ohne Cookies funktionieren. Und der hier besprochene Anwendungsfall ist einer, in dem die damit verbundenen Sicherheitseinschränkungen unproblematisch sind.

Viele Grüße,
der Bademeister