Session-Cookies.
Für normale Besucher.
Nicht gut.
Es ist sicher super bequem, wenn man einfach session_start() aufrufen kann, um dann ein paar Daten von Seite zu Seite zu schauffeln. Aber ich bin da ein bißchen eigen, und find das mal caching- und datenschutztechnisch bedenklich.
Ich will auf meiner Seite überhaupt niemandem eine Tracking-ID verpassen. Wozu auch? Die Leute sollen ja nur gucken, und interaktive Spiränzchen brauch ich im Moment keine.
Ich hab mal versucht diese Sessions abzuschalten (außer für mich, das ging ja noch). Aber ohne $_SESSION ist dann scheinbar die Kommentarfunktion ins Wanken gekommen. "Kommentar wurde gespeichert" aber in der DB tat sich nichts.
Ich geb zu, ich hab mir jetzt die comment-Funtionen nicht angeschaut, und wo und wie und ob wirklich auf irgendwelche $_SESSION-Felder zugegriffen wird.
Bei der Kommentarbox ist es natürlich verständlich, daß die womöglich von Cookies abhängig ist. Gut find ich das aber nicht. Das CAPTCHA war nicht eingeschalten, und selbst wenn, sollte es auch ohne funktionieren.
Ich hab gerade die beta-3.
Wo und was muß ich denn anpassen?
Und zweite Geschichte zu den Cookies. Der Patch gegen session fixation ist auch nicht ganz ok. Bei mir schickt der auf jeden Fall zu viele Cookies raus:
Code: Select all
HTTP/1.1 200 OK
Date: Mon, 16 Jul 2007 18:25:38 GMT
Server: aEGiS_nanoweb/2.2.8 (Linux; PHP/5.2.1)
Content-Type: text/html; charset=UTF-8
X-Powered-By: PHP/5.2.1
Set-Cookie: PHPSESSID=00baa10b1629f80d619257a1f1cd386f; path=/
Set-Cookie: PHPSESSID=37d597eca6cc0113e13b6d604d9471da; path=/
X-Session-Reinit: true
X-Blog: Serendipity
Cache-Control: private, pre-check=0, post-check=0, max-age=0
Expires: 0
Pragma: no-cache
Connection: close
Code: Select all
// Patch by David Vieira-Kurz of majorsecurity.de
if (isset($_COOKIE["PHPSESSID"]) && !isset($_SESSION['SERVER_GENERATED_SID'])) {
session_destroy();
Aber für "PHPSESSID" gabs wohl mal irgendne Konstante, oder ini-Wert, ..?