ACHTUNG. Das ist ein Archiv des alten forum.ruby-portal.de. Die aktuelle Mailingliste gibt es auf lists.ruby-lang.org/pipermail/ruby-de.

NOTICE. This is a ready-only copy of the old forum.ruby-portal.de. You can find the current mailing list at lists.ruby-lang.org/pipermail/ruby-de.

Die Programmiersprache Ruby

Blog|

Forum|

Wiki  


Alle Zeiten sind UTC + 1 Stunde [ Sommerzeit ]

Ein neues Thema erstellen Auf das Thema antworten  [ 27 Beiträge ]  Gehe zu Seite 1, 2  Nächste
Autor Nachricht
 Betreff des Beitrags: Sessions unabhaengig von cookies
BeitragVerfasst: 10 Nov 2005, 14:16 
Offline
Geselle
Benutzeravatar

Registriert: 14 Aug 2005, 23:03
Beiträge: 120
Wohnort: Stuttgart
Hi,

ich versuche mich zurzeit an Rails und da is mir aufgefallen das das ganze session system von Rails mehr oder weniger von cookies abhaengt. Nu stellt sich fuer mich die frage supportet Rails auch ein alternatives system welches einen vor usern schuetzt die cookies deaktiviert haben oder muss ich mir da quasi mein eigenes kleines session handling schreiben?

danke und gruesse

TDO


Nach oben
 Profil  
 
 Betreff des Beitrags:
BeitragVerfasst: 10 Nov 2005, 14:46 
Offline
Böser Admin
Benutzeravatar

Registriert: 29 Jul 2005, 22:41
Beiträge: 2065
Wohnort: Beijing
Die Standard Session Verwaltung gibt sowas nicht her. Btw. wäre auch jede andere Lösung aus Sicherheitsgründen zu vermeiden. Hast du ne grobe Statistik wieviele User es mit einer solchen konfiguration gibt (Cookies deaktiviert)?



der
Daniel


Nach oben
 Profil  
 
 Betreff des Beitrags:
BeitragVerfasst: 10 Nov 2005, 15:37 
Offline
Geselle
Benutzeravatar

Registriert: 29 Mär 2005, 19:03
Beiträge: 198
Für Cookies gibt's eigentlich wenig gute Alternativen.
IDs in URLs zu packen, sieht extrem häßlich aus und ist auch ein Sicherheitsrisiko, wenn das bei den Daten ein Kriterium ist (*hust*OBSOC*hust*).
IPs merken bricht an Proxies, die von mehr als einem Client benutzt werden.
HTTPAuth (natürlich Digest) für die ganze Seite ist nur eine Lösung, wenn sich sowieso alle einloggen (müßen).
Auf HTTPS umstellen und die Fingerprints der Clients merken, geht, wenn man den Overhead von SSl bezahlen kann, wird IMO aber nirgends verwendet.

_________________
Every OS sucks!


Nach oben
 Profil  
 
 Betreff des Beitrags:
BeitragVerfasst: 10 Nov 2005, 15:44 
Offline
Geselle
Benutzeravatar

Registriert: 14 Aug 2005, 23:03
Beiträge: 120
Wohnort: Stuttgart
naja in PHP hab ichs immer so gemacht das ich halt nen md5 codierten string hinten an der URL als variable mit uebergeben habe ... und dann halt selbst via script session files bei mir aufm server erstellt die die infos haben ... die dann aber nach einer gewissen zeit geloescht werden ...

naja sieht doof aus stimmt schon ... aber so kann wenigstens jeder rein egal cookie oder ned ... dachte vielleicht in rails gibts da ne tollere methode ... aber dann werd ich das wohl wieder so in der art machen muessen ... oder halt eben doch die sessions benutzen muessen :-/

falls noch jemandem was tolles einfaellt ich bin fuer gute vorschlaege zu haben :)

gruesse TDO


Nach oben
 Profil  
 
 Betreff des Beitrags:
BeitragVerfasst: 10 Nov 2005, 16:14 
Offline
Böser Admin
Benutzeravatar

Registriert: 29 Jul 2005, 22:41
Beiträge: 2065
Wohnort: Beijing
Naja die SessionStrings nicht in der URL zu halten vermindert anbei das Risiko das ein Benutzer unbeabsichtigt durch posten seiner URL seinen Account freigibt.

Um den Session String via URL durch deine Applikation zu schleifen schau dir mal diese Mail aus der RailsML an.


der
Daniel


Nach oben
 Profil  
 
 Betreff des Beitrags:
BeitragVerfasst: 10 Nov 2005, 17:48 
Offline
Geselle

Registriert: 05 Mai 2005, 14:15
Beiträge: 107
Cookies zu verwenden ist die technisch korrekte Lösung, wenn der verwendete Client das nicht unterstützt, dann ist er halt fehlerhaft.


Nach oben
 Profil  
 
 Betreff des Beitrags:
BeitragVerfasst: 10 Nov 2005, 18:38 
Offline
Schüler

Registriert: 06 Nov 2005, 04:20
Beiträge: 25
oracle2025 hat geschrieben:
Cookies zu verwenden ist die technisch korrekte Lösung, wenn der verwendete Client das nicht unterstützt, dann ist er halt fehlerhaft.


Wieso sollte so ein Client fehlerhaft sein? Vielleicht möchte nur jemand solche Cookies wie von google verhindert und deaktiviert sie deshalb oder hat ein Handy, das Cookies nicht unterstützt?


Nach oben
 Profil  
 
 Betreff des Beitrags:
BeitragVerfasst: 10 Nov 2005, 18:44 
Offline
Obfuscator

Registriert: 20 Jul 2003, 22:14
Beiträge: 597
DanielBovensiepen hat geschrieben:
Naja die SessionStrings nicht in der URL zu halten vermindert anbei das Risiko das ein Benutzer unbeabsichtigt durch posten seiner URL seinen Account freigibt.


Darum sollte man auch noch zusätzlich die IP abfragen und schauen ob diese gleich mit der ist als der Hash erstellt wurde...


Nach oben
 Profil  
 
 Betreff des Beitrags:
BeitragVerfasst: 10 Nov 2005, 19:17 
Offline
Ex-Admin
Benutzeravatar

Registriert: 12 Mai 2003, 18:49
Beiträge: 890
Wohnort: Kiel
Moin!

Die IP kann sich aber z. B. bei der Verwendung eines Proxyclusters während einer Sitzung ändern, AOL macht das imho so. Wobei die meisten Proxies den Header "X-Forward-For" setzen. Ein gutes Kriterium ist imho auch die Browserkennung (USER_AGENT), der ändert sich im Betrieb nicht. Allerdings ist er auch sehr einfach zu fälschen.

Johannes

_________________



# Kein Kommentar!!


Nach oben
 Profil  
 
 Betreff des Beitrags:
BeitragVerfasst: 10 Nov 2005, 22:31 
Offline
Böser Admin
Benutzeravatar

Registriert: 29 Jul 2005, 22:41
Beiträge: 2065
Wohnort: Beijing
lifeguard hat geschrieben:
Wieso sollte so ein Client fehlerhaft sein? Vielleicht möchte nur jemand solche Cookies wie von google verhindert und deaktiviert sie deshalb oder hat ein Handy, das Cookies nicht unterstützt?


Also wer seine Cookies deaktiviert kann nicht in einem Shop einkaufen gehen. Wer keinen HTML konformen Browser hat kann sich genausowenig eine HTML konforme Seite in voller Pracht anschauen (arme IE User). Ich bin zwar sehr für barrierefreies Internet aber Cookies stellen wohl kaum eine Barriere da. Selbst Handys können schon seit Ewigkeiten Cookies abspeichern. Wenn also ein User ohne Cookie Support auf meine Seite kommt dann muss ich annehmen das er nicht willens ist das volle Spektrum meiner Applikation zu nutzen. Und mal ehrlich, ich glaube die meißten Webseitenbetreiber schränken mehr Leute durch properitäre Datenformate und nicht barrierefreies Markup (Stichpunkt Sehbehinderungen) ein als durch eine Cookiepflicht.


der
Daniel


Nach oben
 Profil  
 
 Betreff des Beitrags:
BeitragVerfasst: 10 Nov 2005, 22:37 
Offline
Schüler

Registriert: 06 Nov 2005, 04:20
Beiträge: 25
Das mag ja sein aber wieso sollte ein Client deswegen fehlerhaft sein? Und statt Cookie kann man sonst auch auf Post umsteigen und die Information darüber austauschen.

An der Uni lernt man jedenfalls im Rahmen von Servletprogrammierung darauf zu achten, das es auch ohne geht...


Nach oben
 Profil  
 
 Betreff des Beitrags:
BeitragVerfasst: 10 Nov 2005, 22:48 
Offline
Böser Admin
Benutzeravatar

Registriert: 29 Jul 2005, 22:41
Beiträge: 2065
Wohnort: Beijing
lifeguard hat geschrieben:
Das mag ja sein aber wieso sollte ein Client deswegen fehlerhaft sein? Und statt Cookie kann man sonst auch auf Post umsteigen und die Information darüber austauschen.

An der Uni lernt man jedenfalls im Rahmen von Servletprogrammierung darauf zu achten, das es auch ohne geht...


Also fehlerhaft ist wohl ein wenig übertrieben. Er ist halt nur etwas veraltet. Ich meine selbst Lynx untersützt Cookies. Natürlich ist es wunderschön wenn deine Applikation auch noch auf einem Rechner läuft der schon ein paar Jahre mehr auf dem Buckel hat (und ein Rechner der einen Browser mit Cookie Support nicht mehr unterstützt muss ja schon sehr alt sein :P). Aber wenn ich mir da eine kleine Kosten-Nutzen Rechnung erstelle dann sehe ich keinen Gegenwert der so hoch ist, dass sich die Anpassung und Pflege eines solchen 'dualen' Systems lohnt.



der
Daniel


PS: Die Tatsache das Asp.net so ein Feature bietet verschweige ich mal lieber (-:


Nach oben
 Profil  
 
 Betreff des Beitrags:
BeitragVerfasst: 11 Nov 2005, 01:11 
Offline
Ex-Admin
Benutzeravatar

Registriert: 12 Mai 2003, 18:49
Beiträge: 890
Wohnort: Kiel
Moin!

lifeguard hat geschrieben:
Das mag ja sein aber wieso sollte ein Client deswegen fehlerhaft sein? Und statt Cookie kann man sonst auch auf Post umsteigen und die Information darüber austauschen.


Halte ich aus Usabilitygründen für schlecht. Im Internet verwendet man Buttons nur für Formulare, ansonsten Links. Und du willst Cookies doch wohl nicht mit Javascript austreiben, oder? ;)

Aber gerade beim Onlineshop sehe ich die Sache so, dass man es sich meist einfach nicht leisten kann, auf die Kunden mit dem "fehlerhaften Clienten" zu verzichten. Ich hab auch lange von Seite zu Seite entschieden, ob ich Cookies zulasse oder nicht, da diese sich eben auch zum Erstellen von Nutzerprofilen eignen. Wenn sich mir dann eine Seite sich mangels Cookies verweigert hat, hab ich je nach Situation auch durchaus mal die Konkurrenz besucht.

iGEL

_________________



# Kein Kommentar!!


Nach oben
 Profil  
 
 Betreff des Beitrags:
BeitragVerfasst: 11 Nov 2005, 01:44 
Offline
Geselle

Registriert: 05 Mai 2005, 14:15
Beiträge: 107
Naja, das ist halt schon eine Frage was für eine Seite man macht, und was man für Anforderungen stellt.

Die "korrekte" Lösung für eine Seite die Benutzer-Authentifizierung braucht, und einfache Dateneingabe kann z.B. mittels HTTP-Auth und POST gelöst werden.

Allerdings stören sich wohl einige Webdesigner an dem Passwort Dialog des Web-Browsers, weswegen das Login Formular in die Seite eingebaut wird, und eben Cookies verwendet werden. Abgesehen davon brauchen viele Seiten (eben z.B. Web-Shop) nicht sofort eine feste User-Zuordnung, den Warenkorb kann man ja auch schon mal anonym füllen.

Für einen einfachen WebShop ohne Benutzer-Login kann man sicher den Warenkorb auch mit einer Session-ID in der URL realisieren, allerdings sollten dann halt keine User-Daten wie Adresse oder Kredit-Karten-Nummer in der Session gespeichert werden, sondern diese nur einmal mittels eines POST Formulars absenden.

Aber das ist halt doch auch einfach ein Workaround für etwas dass man auch wesentlich bequemer lösen kann.

Und nur etwas nicht zu bestellen weil der Web-Shop Cookies verlangt ist halt auch schon etwas extrem.


Nach oben
 Profil  
 
 Betreff des Beitrags:
BeitragVerfasst: 11 Nov 2005, 08:16 
Offline
Interpreter

Registriert: 15 Mär 2005, 19:26
Beiträge: 6142
Wohnort: Karlsruhe
oracle2025 hat geschrieben:
Und nur etwas nicht zu bestellen weil der Web-Shop Cookies verlangt ist halt auch schon etwas extrem.

... Da laufen aber reichlich viele potentielle Kunden im Land rum die genau so reagieren. Die überwiegende Mehrzahl der Nutzer sind Laien, die durch Infos der Form "Vorsicht vor ..." verunsichert werden.

Ich hatte vor garnicht so langer Zeit für eine CGI-Anwendung die Vorgaben: "Session muss, Cookies und Script darf nicht".

Es ist nun mal schwierig vom Nutzer ein Verhalten zu verlangen, während man ihm gleichzeitig etwas verkaufen will.

_________________
WoNáDo.set_state!(:retired)


Nach oben
 Profil  
 
Beiträge der letzten Zeit anzeigen:  Sortiere nach  
Ein neues Thema erstellen Auf das Thema antworten  [ 27 Beiträge ]  Gehe zu Seite 1, 2  Nächste

Alle Zeiten sind UTC + 1 Stunde [ Sommerzeit ]


Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 10 Gäste


Du darfst keine neuen Themen in diesem Forum erstellen.
Du darfst keine Antworten zu Themen in diesem Forum erstellen.
Du darfst deine Beiträge in diesem Forum nicht ändern.
Du darfst deine Beiträge in diesem Forum nicht löschen.
Du darfst keine Dateianhänge in diesem Forum erstellen.

Suche nach: