Hi!

Ich glaube nicht, dass Ebay, Google, Yahoo etc. 2 Wochen lang die Session laufen lassen.
Warum nicht? Amazon lässt monatelang eine Session laufen - das Cookie von Google hat gar eine Haltbarkeit von teilweise mehreren Jahrzehnten[sic!].

Ob das was dahinter steckt eine Session ist oder nicht beziehungsweise ob man das so nennt oder nicht, ist egal. Im Grunde genommen geht es nur darum, den Client bei jedem Request wiederzuerkennen und ihm serverseitig vorgehaltenen Daten zuzuordnen. "Session" impliziert oftmals den PHP-Weg der Ablage von Daten in temporären Dateien. Stattdessen kann man die Daten ja auch in einer Datenbank für beliebig lange Zeit festhalten.

Ich denke, man kann ruhig erst einmal die Art der serverseitigen Datenhaltung in den Hintergrund stellen (aber nicht ganz außer Acht lassen) und zunächst ein Konzept zur Wiedererkennung auszuarbeiten. Wenn man das so tut, kann man auch die Problematik Benutzerdaten versus (Session-)ID etwas entspannter sehen. Wie dort gesagt, ob Benutzerdaten (Name und Passwort) oder nur eine ID übertragen werden, beides ist für eine Entführung auf dem Übertragungsweg in etwa gleichermaßen betroffen. Je länger die ID gültig ist, desto weniger Unterschied ist zwischen gestohlenen Benutzerdaten und einer gestohlenen ID. Auch mit einer ID authentifiziert kann man entzogene/geänderte Rechte gleich zur Wirkung kommen lassen, wenn man die serverseitig zu einer ID festgehaltenene Daten erst einmal auf Benutzernamen und Passwort beschränkt, anhand dieser die Autorisierung ermittelt und erst dann den Zugriff auf weitere Daten gestattet.

Lo!