Ohne Session Cookies arbeiten

von Michael Roth » Dienstag, 7. Oktober 2003



Hallo,

könnte Jemand gucken ob die vergehensweise richtig ist ?

Cookie Less Sessions
===============================

------------------------------------------------------
schauen ob eine SessionID über QueryString übergeben wurde

wenn ja:

schauen ob diese in der datenbank gespeichert ist

wenn ja:

schauen ob die IP Adresse die mit der Session in der DB gespeichert ist
gleich dem aktuellen Benutzer ist

wenn ja:

alles ist ok die session ist sicher
[session Timestamp aktualisieren]

wenn nicht:

die session gehoert dem benutzer nicht
[sessionID generieren und mit der BenutzerIP in die Datenbank ablegen]

wenn nicht:

die session ist veraltet oder es wurde vom benutzer selbst angegeben
[sessionID generieren und mit der BenutzerIP in die Datenbank ablegen]

wenn nicht:

[sessionID generieren und mit der BenutzerIP in die Datenbank ablegen]
------------------------------------------------------

------------------------------------------------------
[aufraeumen]
jede session wird mit einem timestamp gespeichert (bei jedem seitenaufruf
wird der aktualisiert)
wenn er timestamp aelter als 15min ist dann wird die session aus der db
geloescht
------------------------------------------------------

bei jeder seite dann linken mit seite.asp?sessionID=<%=SessionID%>



gruss
Michael Roth





Re: Ohne Session Cookies arbeiten

von Olaf Lüder [MVP] » Dienstag, 7. Oktober 2003



Hallo Michael,




Sollte so ok sein; wobei es halt die Möglichkeit gibt, dass der User
aufgrund eines Proxys bei jedem Zugriff eine andere IP hat (bei AOL ist
das wohl z.B. so) - insofern kann es Probleme geben, wenn Du die
IP-Adresse mit als Gültigkeitskriterium heranziehst.

--
Gruß, Olaf
MS MVP ASP / ASP.NET



Re: Ohne Session Cookies arbeiten

von Michael Roth » Dienstag, 7. Oktober 2003



Danke Olaf,

aber in diesem Fall ist es mir zu problematisch und da muss ich leider aufs
ASP verzichten.

Ich greife mal zu PHP ich denke damit habe ich die Probleme nicht mehr oder
?

grüsse
Michael Roth











Re: Ohne Session Cookies arbeiten

von Olaf Lüder [MVP] » Mittwoch, 8. Oktober 2003



Hallo Michael,




Was? Dass die IP-Adresse u.U. nicht während der gesamten Sitzung gleich
bleibt?


Das hat nichts mit ASP zu tun.


Doch, da dieses 'Problem' schon weit vor dem Web-Server, nämlich beim
Client oder besser gesagt beim Proxy entsteht.
Ich würde, wie schon gesagt, die Überprüfung der IP-Adresse einfach
weglassen. Wenn es um ganz vertrauliche Daten geht, solltest Du auf SSL
zurückgreifen, um die Sitzung(sID) zu schützen.

--
Gruß, Olaf
MS MVP ASP / ASP.NET



Re: Ohne Session Cookies arbeiten

von Michael Roth » Mittwoch, 8. Oktober 2003



Hi Olaf,

Ich programmiere ein Foren System und möchte nicht das wenn Jemand
beispielsweise einen Link zu einem Beitrag an einen Kolleg per ICQ schickt
(mit der sessionID), der gibt das im Browser ein und wenn er dummerweise die
gleiche IP Adresse hat dann habe ich ein Problem. Aber das ist ja nicht das
einzige Problem da gibts ja noch viele eben wie du gesagt hast automatisch
generierte ip's bei aol. Wenn so ein User Cookies abgeschaltet hat dann
könnte er sich nicht einloggen..

in PHP ist es aber so ähnlich...

ich denke die richtige Lösung ist .NET da gibt es scheinbar volle
unterstützung für coockieless Sessions..
und ich denke ich werde da nicht so viel Zeit brauchen um mich da
einzuarbeiten weil ASP kenne ich ziemmlich gut, in PHP habe ich zwar schon
einiges gemacht und mySQL find ich toll aber .NET wird sich sicherlich
weiterentwickeln und den Marktanteil wieder erobern :)
Ich schau mich mal in der .net NG um :)

grüsse
Michael Roth






oder





Re: Ohne Session Cookies arbeiten

von Olaf Lüder [MVP] » Mittwoch, 8. Oktober 2003



Hallo Michael,




Funktioniert vom Prinzip her genauso wie

http://nogetec.de/asp/filter/sessionid

Die SitzungsID wird hier als virtuelles Verzeichnis im URL-Pfad
versteckt. Das bringt aber im Prinzip die gleichen Probleme mit sich.


Das kann nicht schaden ;-)

--
Gruß, Olaf
MS MVP ASP / ASP.NET



If you have any questions, you can contact us: admin#mofeel.net     Spam Report