Hallo!
> Was passiert, wenn ein User ein Bookmark auf eine cookielose
> Session-Seite setzt und sie dann sp�ter wieder aufruft. Funktioniert
> es dann mit dem virtuellen Verzeichnis noch oder gibt es eine
> Fehlermeldung?
Normalerweise wird ohne Fehlermeldung eine neue Session und damit eine neue
SessionId erzeugt.
> Kann man mit den cookielosen Sessions eine Identifikation �ber den
> Session-Timeout realisieren (speichern in DB und falls n�tig
> auslesen)?
In der Web.Config kannst Du einstellen, wie verfahren werden soll:
<sessionState mode="InProc" stateConnectionString="tcpip=127.0.0.1:42424"
sqlConnectionString="data source=127.0.0.1;Trusted_Connection=yes"
cookieless="false" timeout="20" />
Bei mode="InProc" werden SessionIds erzeugt und in einem Dictionary-Objekt
abgelegt. Dann gibt es noch mode="Off", so dass Du selber SessionIds, z. B. in
der Global.asax erzeugen und verwalten kannst. Interessant ist wohl auch
mode="SqlServer", weil da die SessionIds in der Datenbank abgelegt werden. F�r
z. B. mehrere Server im Cluster gibt es dann noch mode="StateServer".
Wenn Du mit den Standards nicht auskommst, musst Du wohl ein eigenes
SessionStateModule bauen (abgeleitet von IHttpModule).
Einem Benutzer sollte allerdings klar sein, dass er verschiedene Daten
wiederholt eingeben muss, wenn er keine Cookies akzeptiert. Wenn Du die
Benutzerdaten von den Sessiondaten trennst und die BenutzerId als Cookie speicherst,
m�sste das doch ausreichen. Wenn die Benutzerdaten eh in der Datenbank sind,
reicht ohne Cookie auch ein Login, um diese wieder zu aktivieren.
Also eigene Sessions zu verwalten erscheint mir halt als ziemlich aufwendig
und in den seltensten F�llen angemessen. Wenn man zudem die SessionId �ber
die Url auch wieder "reaktivieren" k�nnte, entsteht doch auch ein neues
Sicherheitsproblem, oder? Deshalb ist es gut, wenn abgelaufene Sessions nicht mehr
reaktiviert werden k�nnen und Benutzerdaten durch Authentifizierung gesichert
werden. Und f�r das Auto-Login kann man auch Cookies verwenden, das ist dann
komfortabel und auch sicher, wenn diese in den eigenen Einstellungen im PC eh
durch ein Passwort gesch�tzt sind. Andererseits kann man auch niemandem
verbieten, seinen Schl�ssel im Auto stecken zu lassen.
Freundliche Gr��e
Joachim van de Bruck
_______________________________________________
Asp.net mailing list
[EMAIL PROTECTED]
http://www.glengamoi.com/mailman/listinfo/asp.net
