---

Hej NG,

Nu har vi snakket lidt om sessions den seneste tid, og jeg syntes
debatten er spændende og også ret vigtig.

- jeg benytter selv sessions til stort set alt hvad jeg laver, men det
betyder jo bare at jeg har problemer hvis jeg gør det forkert ;)


Så her er et oplæg til debat.


sessions via URI eller Cookies
- brugere kan ikke tvinges til at sætte en cookie, selv om dette (efter
sigende) skulle være den mest sikre metode. Da man ikke kan komme til at
sende sit session id videre til en af sine "venner" som man kan ved brug
af URI metoden.

- URI metoden har den fordel at du er (næsten) 100% sikker på at session
id'et altid kommer med retur, den har så den svaghed at hvis man
copy/paster et link kommer session'en med, og det er vi jo ikke
instresseret i...

se evt:
http://dk2.php.net/session og
http://www.acros.si/papers/session_fixation.pdf

Her står en masse om session sikkerhed og "Dos and dont's"


- er der nogen der ligger inde med skræk-senarier som vi andre kan ha
glæde af at læse om ?
- nogen der har geniale metoder til at sikre sig ifbm. at man bruger
cookies, men en bruger afslår at sætte den ?
- ect.


Håber vi kan få en god debat.
--
>> ulrik nielsen
excuse of the day : Plasma conduit breach
from bofh : http://www.cs.wisc.edu/~ballard/bofh/