Session nach 10minuten beenden

[phpBuddy]

Sichere Seiten und transportieren der Session ID via URL ist ein Widerspruch in sich selbst. Von daher sollte man, wenn man so penibel auf Session Zeit u.ä. achtet auch das benutzen von Cookies erzwingen und den Transport per URL unterbinden. Meiner Meinung nach stört das häufige regenerieren der Session ID dann auch nicht weiter. So handhabe ich das und hatte bisher noch keine Klagen gehört, da mir in den meisten Fällen Sicherheit über Benutzerbequemlichkeit (soll der User eben seine Paranoia ablegen und Session-Cookies erlauben oder er hat eben Pech gehabt) geht.
So hat aber jeder Programmierer seine eigenen Vorlieben und Ansichten, von denen auch mehrere ihre Daseinsberechtigung haben, nech?!

[Boris]

"Full ACK"

[DSB]

Jeder kann seine Anwendung so programmieren wie er möchte und die Voraussetzungen selbst setzen - ganz klar. Darum ging es mir nicht.

Worum es mir geht:
jemand fragt, wie er das mit den Sessions umsetzen möchte und Boris sagt etwas voreilig "Mach es so. Das funktioniert immer!".

Das stimmt aber nicht: es funktioniert eben nicht immer - nicht bei jedem Client unter jeder Voraussetzung. Wenn die Aussage gewesen wäre "Das funktioniert zuverlässig wenn Du voraussetzt, dass der Client Cookies erlaubt hat.", dann hätte ich damit kein Problem, aber so ist die Aussage technisch falsch. Und besonders wenn jemand um Hilfe bittet, ist das schmerzlich.

[phpBuddy]

Das stimmt aber nicht: es funktioniert eben nicht immer - nicht bei jedem Client unter jeder Voraussetzung. Wenn die Aussage gewesen wäre "Das funktioniert zuverlässig wenn Du voraussetzt, dass der Client Cookies erlaubt hat.", dann hätte ich damit kein Problem, aber so ist die Aussage technisch falsch. Und besonders wenn jemand um Hilfe bittet, ist das schmerzlich.

Stimmt. Wer hält ihn fest und wer ...



... ihn?

[Boris]

Jaaaaa, bitte ... mehr!