Cookies VS. Sessions.

[Dingsi]

Was'n sicherer? o.o
Also bei User-Daten-Sachen. Logins und so. Benutzername und Passwort. Ne? So Zeug halt.

Ööhm.. ups. oO. Falsches Forum. xD *schieb*

[Crash-Override]

Ich würd mal sagen das das eher ins Web-Forum gehört...

Ansonsten muss man sagen das beides in der norm gleich sicher ist, nur das Cookies auf manchen Rechnern nicht so ganz funken...

[dadie]

Ich sage Cookies !

Klar muss man den Cookie annehmen aber ich finde Cookies aus 3 Gründen besser :

Grund 1 :
Ich sehe was im Board X wo ich als Y angemeldet bin habe keine anung von dem Webprogrammierung Kramm also Poste ich im Forum halt http://adresse.endung?sid=XYZ

Genau das kann mit Cookies nicht passieren leider kann man aber Cookies dafür ganz leich abfangen bzw. auf einen 2 Rechner Kopieren das ist aber mit einem Grossen aufwand verbunden (wenn man nett weiss wie es geht und der Server scheisse sicher ist)* und den tuhn sich zum Glück nur wennige an ^^

Grund 2:

Einfach zu Coden sorry aber warum soll ich 10 Zeilen für Session benutzen wenn ich es mit Cookie in 4 schieffe ?

Grund 3:

Langlebichkeit ein Cookie kann wenn man will für Quasi immer da sein bei na Session ist das etwas schwer

Naja aber wenn etwas Wirklich 100% Sicher sein soll muss man Session nutzen diese aber besser verstecken als in der Adresszeile z.B. in einem Cookie wobei ich beim Thema Symbiose bin .

Ich sehe das so Es ist nicht Cookies VS. Sessions. sondern Cookies und Sessions.

Warum sie gegen einander ausspielen wenn mann von beiden die Forteile nutzen kann.
Wichtige und sicherre dinge in einer versteckten Session Speichern und gleichzeitig
mit Cookies nebensächliche sachen Speichern.


*=Dazu ist noch zu sagen ich habe 3 Jahre meines Leben verschwende nur um zu Versuchen überhaupt herrauszufinden WANN ein Cookie versended wird Gott ich habe es nie geschafft Nur zur Infos es war ein Eigener Server also denkt jetzt nett Dadie das Hobby H4X0r kiddy <_<

[Chocwise]

Ich sage Cookies !

Klar muss man den Cookie annehmen aber ich finde Cookies aus 3 Gründen besser :

Grund 1 :
Ich sehe was im Board X wo ich als Y angemeldet bin habe keine anung von dem Webprogrammierung Kramm also Poste ich im Forum halt http://adresse.endung?sid=XYZ
Genau das kann mit Cookies nicht passieren

...

Wenn man so beknackt ist und die Session nicht gegen Übernahme absichert durch IP-Vergleich: klar.

leider kann man aber Cookies dafür ganz leich abfangen bzw. auf einen 2 Rechner Kopieren das ist aber mit einem Grossen aufwand verbunden (wenn man nett weiss wie es geht und der Server scheisse sicher ist)* und den tuhn sich zum Glück nur wennige an ^^

...

Nicht?
Ich hab in meiner FH gerne mal vergessene Cookies durchwühlt um zu schauen was die Kommilitonen so getrieben haben.
Cookies portieren hab ich schon einen Monat nach meinem ersten Aufenthalt im INet drauf gehabt.
Und wie willst du einen Cookie Serverseitig vor Portierung schützen?

Grund 2:

Einfach zu Coden sorry aber warum soll ich 10 Zeilen für Session benutzen wenn ich es mit Cookie in 4 schieffe ?

...

Jo, das stimmt.
Obwohl...
Nö, wenn man root-Zugang zum Server hat und alles zentral in der php.ini einstellen kann braucht man nicht mehr die eigenen Sessioneinstellungen im Script iniziieren.
Dann ist es sogar weniger als man bei Cookies an Code tippseln müsste.
Session starten, Session-Variablen definieren und ggf. eine Session destroyen beim Logout.

Grund 3:

Langlebichkeit ein Cookie kann wenn man will für Quasi immer da sein bei na Session ist das etwas schwer

...

Falsch. man kann eine Session Serverseitig abspeichern und später über die ID wieder aufrufen und aktivieren... glaub ich, habs selbst nie gemacht, nur kurz überflogen.


BTW: Sehr gut dadie, du machst dich. Da waren auffällig wenige Fehler in deinem Text.

[Kessel]

Wenn man so beknackt ist und die Session nicht gegen Übernahme absichert durch IP-Vergleich: klar.

...

Also Sessions nur über die IP zu vergleichen ist genauso sinnlos.
Was machen z.B. AOL User die wechselnde IPs haben, sollen die sich immer wieder neu einloggen?
Oder Firmen/Schulen wo viele Leute die selbe IP nutzen, da ist eine übernahme noch einfacher.
Also Sessions per IP sicherer machen ist auch nicht das wahre.

[dead_orc]

Ich würde (fast) immer beides anbieten. Beides ist in etwa gleich sicher (wenn man nicht gerade den Link http://www.example.com/?sid=12345678...34567890abcdef postet!)

@Sessions sind kompliziert
Das kann ich nun wirklich nicht bestätigen

PHP-Code:

<?php
# Mit Sessions...
session_start();
if($_SESSION['a'] != 'a')
{
   $_SESSION['a'] = 'a';
}

# Mit Cookies...
if($_COOKIE['a'] != 'a')
{
   $_COOKIE['a'] = 'a';
}
?>

Ganz ohne php.ini mit einer Zeile mehr - schlimm, oder?

[Chocwise]

Also Sessions nur über die IP zu vergleichen ist genauso sinnlos.
Was machen z.B. AOL User die wechselnde IPs haben, sollen die sich immer wieder neu einloggen?

...

Pech. Wer so Nooby ist den AOL-Browser zu benutzen, der AFAIK an der Shared-IP schuld ist, hat Pech gehabt.

Oder Firmen/Schulen wo viele Leute die selbe IP nutzen, da ist eine übernahme noch einfacher.
Also Sessions per IP sicherer machen ist auch nicht das wahre.

...

Sessions nur wegen AOL's Schwachsinns-Shared-IP-Systems überhaupt nicht zu versuchen abzusichern, noch weniger.

[Manni]

Ich würde es mit einer Mischung aus Cookie/Session machen:
Im Prinzip Sessions mit IP-Speicherung und einem Cookie, der dafür sorgt, das bei geänderter IP-Adresse die IP der Session aktualisiert wird...

[dead_orc]

Das würde nix bringen, da ich mir den Cookie mit der Angabe zu Änderung der IP genau so gut klauen kann, wie einen, der Username und Passwort enthält