ACHTUNG. Das ist ein Archiv des alten forum.ruby-portal.de. Die aktuelle Mailingliste gibt es auf lists.ruby-lang.org/pipermail/ruby-de.

NOTICE. This is a ready-only copy of the old forum.ruby-portal.de. You can find the current mailing list at lists.ruby-lang.org/pipermail/ruby-de.

Die Programmiersprache Ruby

Blog|

Forum|

Wiki  


Alle Zeiten sind UTC + 1 Stunde [ Sommerzeit ]

Ein neues Thema erstellen Auf das Thema antworten  [ 27 Beiträge ]  Gehe zu Seite Vorherige  1, 2
Autor Nachricht
 Betreff des Beitrags:
BeitragVerfasst: 11 Nov 2005, 11:16 
Offline
Geselle

Registriert: 05 Mai 2005, 14:15
Beiträge: 107
WoNáDo hat geschrieben:
... Da laufen aber reichlich viele potentielle Kunden im Land rum die genau so reagieren. Die überwiegende Mehrzahl der Nutzer sind Laien, die durch Infos der Form "Vorsicht vor ..." verunsichert werden.


Vermutlich unterschätze ich einfach das Halb-Wissen der Allgemeinheit.

Zitat:
Ich hatte vor garnicht so langer Zeit für eine CGI-Anwendung die Vorgaben: "Session muss, Cookies und Script darf nicht".


Also bleibt nur die Session-ID in der URL und das ist von einem "Daten-Integritäts-Sicherheits, was auch immer" Standpunkt aus gesehen genauso "böse" wie ein Cookie, wenn nicht sogar noch schlechter.

Zitat:
Es ist nun mal schwierig vom Nutzer ein Verhalten zu verlangen, während man ihm gleichzeitig etwas verkaufen will.


Naja, andere Anforderungen werden ja auch leichtfertig gestellt, ich meine jeder Web-Shop sollte doch mindestens ein Interface bieten das man auch mit Telnet abfragen kann, schliesslich kann man nicht einfach *verlangen* das jeder Benutzer extra einen Web-Browser installiert. :roll:


Nach oben
 Profil  
 
 Betreff des Beitrags:
BeitragVerfasst: 11 Nov 2005, 12:18 
Offline
Interpreter

Registriert: 15 Mär 2005, 19:26
Beiträge: 6142
Wohnort: Karlsruhe
oracle2025 hat geschrieben:
Vermutlich unterschätze ich einfach das Halb-Wissen der Allgemeinheit.

Das ist ein schwieriges Thema. Ich habe in den letzten 15 Jahren immer wieder im Nachbars- oder Bekanntenkreis geholfen. Die Altersgruppe lag zwischen 25 und 70. Ich selber bin 52 und habe 1972 Programmieren an der Uni gelernt. Zu dem Zeitpunkt gehörte ich zu den sehr wenigen Exoten im Computerbereich - Dass irgend jemand in der Kneipe über Computer sprach war praktisch ausgeschlossen.

Wenn ich das mal ein bischen weiter abschätze sind die Leuts, die Mitte der 70er 20 Jahre alt waren normalerweise nicht in der Schule oder Uni mit Computern in Berührung gekommen (ausser natürlich die prozentual wenigen Techniker und Mathematiker).

Daraus folgt, dass die Mehrzahl der heute über 45-50 jährigen Computer erst später - meist sehr viel später - irgendwie kennengelernt hat.

Ich rede jetzt von Rechnern im Büro oder Einzel-PCs zuhause. Einen am Internet hängenden Rechner haben die meissten doch vor 7-8 Jahren noch nicht gehabt.

Wenn so jemand ein Problem hat muss er in die Werkstatt oder halt Bekannte um Hilfe bitten.

Die Dialoge im Themenfeld dieses Threads laufen dann oft nach dem Schema

"... da solltest Du Cookies aktivieren ..." - "... Cookies kenn ich aus der Sesamstrasse, was soll das hier bedeuten?" - "Dann kann der Betreiber der Seite die Du aufrufst auf Deinem Rechner hilfreiche Informationen speichern ..." - "Auf meinem Rechner? - Kommt nicht in Frage! - Weiss der Geier was die dann da machen."

Wenn ich es einiger massen richtig abschätze und die normalen Benutzer (=Lieschen Müller, Bin Keinguru, ...) nehme, sind das bestimmt über 90% der potentiellen Kunden im Netz - also die Leute, die man erst mal irgendwie gewinnen will.

Ich bin kein Kaufmann, habe aber im Laufe der Jahre viel mit solchen zu tun gehabt. So jemand wird vom Techniker eine Lösung verlangen und nicht versuchen dem Kunden ein Verhaltensmuster aufzuzwingen (das können nur de-facto-Monopolisten).

_________________
WoNáDo.set_state!(:retired)


Nach oben
 Profil  
 
 Betreff des Beitrags:
BeitragVerfasst: 11 Nov 2005, 14:07 
Offline
Ex-Admin
Benutzeravatar

Registriert: 12 Mai 2003, 18:49
Beiträge: 890
Wohnort: Kiel
Moin!

oracle2025 hat geschrieben:
Und nur etwas nicht zu bestellen weil der Web-Shop Cookies verlangt ist halt auch schon etwas extrem.


Du siehst das ganze viel zu sehr aus Programmierersicht. Im Internet ist der nächste Shop meistens nur zwei Klicks weiter (Zurück + nächsten Googleergebnis), wenn ich mit der Bedienung nicht zurecht komme, mir die Seite suspekt aussieht oder der Shop mich belehren will (Sie müssen Cookies aktivieren, blablabla), sinkt meine Kauflust schnell. Ich will doch nur was kaufen und mich nicht mit technischen Details rumschlagen müssen. Halbwissen sollte man vielleicht in anderen Situationen austreiben.

Ausserdem können ja Werbefirmen Trackingcookies setzen und bei gewisser Verbreitung recht gute Nutzerprofile erstellen. Doubleclick macht das z. B. und ich denke, das wird nicht jedem schmecken.

Johannes

_________________



# Kein Kommentar!!


Nach oben
 Profil  
 
 Betreff des Beitrags:
BeitragVerfasst: 11 Nov 2005, 14:18 
Offline
Geselle

Registriert: 05 Mai 2005, 14:15
Beiträge: 107
Also ich werde auf jeden Fall ab sofort nie etwas bestellen wenn der Web-Shop Session-IDs in der URL speichert. ;) :P


Nach oben
 Profil  
 
 Betreff des Beitrags:
BeitragVerfasst: 11 Nov 2005, 14:46 
Offline
Geselle
Benutzeravatar

Registriert: 14 Aug 2005, 23:03
Beiträge: 120
Wohnort: Stuttgart
mal ne ganz doofe idee die mir grad gekommen ist ... man koente doch die doofen session-ids mit nem rewrite rausfiltern oder zumindest ansehnlicher machen...

dann haette man imho das problem mim copy and paste nimmer

oder liege ich da grad ganz falsch

gruesse TDO


Nach oben
 Profil  
 
 Betreff des Beitrags:
BeitragVerfasst: 11 Nov 2005, 15:19 
Offline
Geselle

Registriert: 05 Mai 2005, 14:15
Beiträge: 107
Naja, es gibt genau zwei Möglichkeiten,

1. Session-Id IN der URL

2. Session-Id NICHT IN der URL

und mit rewriting kann man daran auch nichts ändern.

ausser halt so:

Statt so:
http://example.com/?id=SDFLKSD4L234424234

So:
http://example.com/SDFLKSD4L234424234


Nach oben
 Profil  
 
 Betreff des Beitrags:
BeitragVerfasst: 11 Nov 2005, 16:13 
Offline
Interpreter

Registriert: 15 Mär 2005, 19:26
Beiträge: 6142
Wohnort: Karlsruhe
Sorry, I'm lost...

Irgendetwas verstehe ich an der ganzen Diskussion nicht. Es geht doch um Sicherheit, genauer gesagt darum, dass Dritte nicht die Daten einsehen und verwenden können, die im Rahmen der Session ausgetauscht / benutzt / ... werden. So habe ich es jedenfalls verstanden.

Aber - das funktioniert doch unter dem Klartextprotokoll http sowieso nicht.

Gibt es dafür nicht die Secure bli bla-Protokolle wie https?

Mein Provider fährt jedenfalls alle Sessions mit denen ich mein Profile bearbeiten kann so.

Wo ist denn das Problem mit GET/POST, wenn es über eine sichere Verbindung läuft?

... oder ...

Wie geht denn ein sicherer Datenaustausch über http überhaupt?

???

_________________
WoNáDo.set_state!(:retired)


Nach oben
 Profil  
 
 Betreff des Beitrags:
BeitragVerfasst: 11 Nov 2005, 16:28 
Offline
Geselle
Benutzeravatar

Registriert: 14 Aug 2005, 23:03
Beiträge: 120
Wohnort: Stuttgart
Wanado .. du hast das wohl ned ganz verstanden bzw. der thread hat sich in eine andere richtung entwikelt .. der grund warum ich den thread erstellt hab war das ich wissen wollte ob rails nur sessions nur mit cookies kennt oder ob des da noch andere moeglichkeiten hat.
naja es scheint so das rails eben sessions nur mit cookies kennt und damit war der erste teil des threads eigentlich schon beendet.
Allerdings hat sich mir dann die frage aufgetan "welche alternativen gibt es eigentlich dazu" und es scheint die einzig praktikable alternative ist es die session-id in der url zu uebergeben. Bzw. beide loesungen zu benutzen ... das bei den leuten die sessions aus haben eben die session-id an der URL landet und bei den anderen halt im cookie.

naja somit waeren zumindest fuer mich alle fragen geklaert. Falls jemand doch noch was tolles kennt ... immer her damit :-D

gruesse TDO


Nach oben
 Profil  
 
 Betreff des Beitrags:
BeitragVerfasst: 11 Nov 2005, 17:39 
Offline
Geselle

Registriert: 05 Mai 2005, 14:15
Beiträge: 107
WoNáDo hat geschrieben:
Wo ist denn das Problem mit GET/POST, wenn es über eine sichere Verbindung läuft?


Das Problem ist der Benutzer, wenn er per Mail den Link zu der aktuellen Seite verschickt, kann der Empfänger seine Session übernehmen.


Nach oben
 Profil  
 
 Betreff des Beitrags:
BeitragVerfasst: 11 Nov 2005, 18:17 
Offline
Interpreter

Registriert: 15 Mär 2005, 19:26
Beiträge: 6142
Wohnort: Karlsruhe
oracle2025 hat geschrieben:
WoNáDo hat geschrieben:
Wo ist denn das Problem mit GET/POST, wenn es über eine sichere Verbindung läuft?


Das Problem ist der Benutzer, wenn er per Mail den Link zu der aktuellen Seite verschickt, kann der Empfänger seine Session übernehmen.

Nur noch mal ganz kurz ehe ich den Thread in eine völig andere Richtung jage :lol:

Meinst Du beispielsweise, dass jemand etwas wie https://www.blibla.com/next.rb?id=fwlzgvwd7231uhfd weiterschickt?

Dann ist es natürlich klar, dass ein Cookie sicherer ist.

_________________
WoNáDo.set_state!(:retired)


Nach oben
 Profil  
 
 Betreff des Beitrags:
BeitragVerfasst: 11 Nov 2005, 19:14 
Offline
Geselle

Registriert: 05 Mai 2005, 14:15
Beiträge: 107
genau


Nach oben
 Profil  
 
 Betreff des Beitrags:
BeitragVerfasst: 12 Nov 2005, 18:26 
Offline
Schüler

Registriert: 06 Nov 2005, 04:20
Beiträge: 25
oracle2025 hat geschrieben:
Das Problem ist der Benutzer, wenn er per Mail den Link zu der aktuellen Seite verschickt, kann der Empfänger seine Session übernehmen.


Was aber nur zum Problem wird, wenn der andere Benutzer in sehr kurzer Zeit danach den Link aufruft. Hier sollte man sich einen vernünftigne Wert für das Timeout überlegen.
Wobei hier eigentlich das einzige Problem liegt. Die Wahrscheinlichkeit durch raten eine fremde Sessionid zu erraten liegt ansonsten nahe Null. (Ich gehe von der Länge einer Javasession-Id aus.)


Nach oben
 Profil  
 
Beiträge der letzten Zeit anzeigen:  Sortiere nach  
Ein neues Thema erstellen Auf das Thema antworten  [ 27 Beiträge ]  Gehe zu Seite Vorherige  1, 2

Alle Zeiten sind UTC + 1 Stunde [ Sommerzeit ]


Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 10 Gäste


Du darfst keine neuen Themen in diesem Forum erstellen.
Du darfst keine Antworten zu Themen in diesem Forum erstellen.
Du darfst deine Beiträge in diesem Forum nicht ändern.
Du darfst deine Beiträge in diesem Forum nicht löschen.
Du darfst keine Dateianhänge in diesem Forum erstellen.

Suche nach: