Hallo!
Ich habe ein kleines Loginsystem auf einer Seite implementiert.
Nun wollte ich besonders nutzerfreundlich sein und auch Browser erlauben die keine Cookies akzeptieren, dazu habe ich bei jedem Link auf der Seite die Session ID mitgegeben. Das ganze funktioniert auch wunderbar, aber nun gibts da einen kleinen Konflikt:
Wenn sich jemand nicht ordnungsgemäß ausloggt, dann könnte ein Nutzer der nach ihm kommt über die Browser History, einfach sein "Profil" öffnen, weil ja die Session ID im Link steht.
Ich kann also entweder nur das eine oder das andere haben.
Sehe ich das richtig? Von Timeouts bei Sessions halte ich in meinem Fall nicht viel.
Ich habe ein kleines Loginsystem auf einer Seite implementiert.
Nun wollte ich besonders nutzerfreundlich sein und auch Browser erlauben die keine Cookies akzeptieren, dazu habe ich bei jedem Link auf der Seite die Session ID mitgegeben. Das ganze funktioniert auch wunderbar, aber nun gibts da einen kleinen Konflikt:
Wenn sich jemand nicht ordnungsgemäß ausloggt, dann könnte ein Nutzer der nach ihm kommt über die Browser History, einfach sein "Profil" öffnen, weil ja die Session ID im Link steht.
Ich kann also entweder nur das eine oder das andere haben.
Sehe ich das richtig? Von Timeouts bei Sessions halte ich in meinem Fall nicht viel.
Kommentar