[PUG] PHP Wembail Client

2011-05-09 Diskussionsfäden Stephan Schaffner

Hallo Leute,

ich habe eine kleine Frage. Mein neuer Anbieter hat ja einen Webmail 
Client der sich Roundcube nennt. Im großen und ganzen gefällt er mir 
schon, aber ich würde gerne wissen was es noch für alternativen gibt. 
Mein Webspace steht ja noch zur Verfügung ;)


Gibt es auch Clients die KEINE Cookies benötigen?

MfG

Stephan
--

PUG - Penguin User Group Wiesbaden - http://www.pug.org


Re: [PUG] PHP Wembail Client

2011-05-09 Diskussionsfäden Markus Schönhaber
09.05.2011 09:27, Stephan Schaffner:

  Gibt es auch Clients die KEINE Cookies benötigen?

Warum sollte man sowas haben wollen?
Eine Webmail-Anwendung ist typischerweise etwas, das eine
Session/Sitzung benötigt, bei dem man also einen Zustand über mehrere
HTTP-Requests hinweg transportieren bzw. mehrere Requests als
zusammengehörig erkennen muss. Da das HTTP-Protokoll dafür nun mal
keine im Standard definierte Möglichkeit bietet, muss man sich anders
behelfen. Gängiges Verfahren dabei ist, eine eindeutige Kennung bspw. in
einem Cookie oder als Parameter in der URL zu jedem Request hinzuzufügen.
Ich kann daran nichts schlimmes erkennen.

-- 
Gruß
  mks
-- 

PUG - Penguin User Group Wiesbaden - http://www.pug.org


Re: [PUG] PHP Wembail Client

2011-05-09 Diskussionsfäden Stephan Schaffner
Ich habe nichts gegen Cookies. Jedoch sind auf meiner Arbeit die Kekse gesperrt 
...

- Ursprüngliche Nachricht -
Von: Markus Schönhaber pug-t...@list-post.mks-mail.de
Gesendet: Montag, 9. Mai 2011 10:49
An: talk@pug.org
Betreff: Re: [PUG] PHP Wembail Client

09.05.2011 09:27, Stephan Schaffner:

  Gibt es auch Clients die KEINE Cookies benötigen?

Warum sollte man sowas haben wollen?
Eine Webmail-Anwendung ist typischerweise etwas, das eine
Session/Sitzung benötigt, bei dem man also einen Zustand über mehrere
HTTP-Requests hinweg transportieren bzw. mehrere Requests als
zusammengehörig erkennen muss. Da das HTTP-Protokoll dafür nun mal
keine im Standard definierte Möglichkeit bietet, muss man sich anders
behelfen. Gängiges Verfahren dabei ist, eine eindeutige Kennung bspw. in
einem Cookie oder als Parameter in der URL zu jedem Request hinzuzufügen.
Ich kann daran nichts schlimmes erkennen.

-- 
Gruß
  mks
-- 

PUG - Penguin User Group Wiesbaden - http://www.pug.org

-- 

PUG - Penguin User Group Wiesbaden - http://www.pug.org


Re: [PUG] PHP Wembail Client

2011-05-09 Diskussionsfäden Klaus Klein

Am 09.05.2011 10:49, schrieb Markus Schönhaber:

09.05.2011 09:27, Stephan Schaffner:

  Gibt es auch Clients die KEINE Cookies benötigen?

Warum sollte man sowas haben wollen?
Weil man keine Cookies haben möchte?  


Eine Webmail-Anwendung ist typischerweise etwas, das eine
Session/Sitzung benötigt, bei dem man also einen Zustand über mehrere
HTTP-Requests hinweg transportieren bzw. mehrere Requests als
zusammengehörig erkennen muss. Da das HTTP-Protokoll dafür nun mal
keine im Standard definierte Möglichkeit bietet, muss man sich anders
behelfen. Gängiges Verfahren dabei ist, eine eindeutige Kennung bspw. in
einem Cookie oder als Parameter in der URL zu jedem Request hinzuzufügen.
Ich kann daran nichts schlimmes erkennen.
Nur mal so zum Verständnis:  
Wie wird in dem beschriebenen Szenario eine 'eindeutige Kennung' aus einem Cookie in einem HTTP-Request übermittelt?


Ohne mich wirklich detailliert in HTTP-Protokoll auszukennen, denke ich das es 
letztendlich doch auf einen Parameter im Request hinausläuft.

Für eine bestehende Session wird sich die Applikation diese Kennung auch ohne 
Cookie merken können.

Somit sorgen Cookies, welche meines Wissens im persönlichen Bereich eines 
Benutzers abgelegt werden, eigentlich 'nur' für eine 'eindeutige' 
Wiedererkennung des Benutzers z.B. nach dem Beenden einer vorhergehenden 
Session.

Und damit kann ich mir so einiges schlimmes Vorstellen.

Gruß,
Klaus
--

PUG - Penguin User Group Wiesbaden - http://www.pug.org


Re: [PUG] PHP Wembail Client

2011-05-09 Diskussionsfäden Stephan Schaffner
Soweit ich ja weis lässt sich sowas auch per POST code verwalten. Das sieht man 
ja meistens mit ?sid= ...
-- 

PUG - Penguin User Group Wiesbaden - http://www.pug.org


Re: [PUG] PHP Wembail Client

2011-05-09 Diskussionsfäden Markus Schönhaber
09.05.2011 12:13, Klaus Klein:

 Am 09.05.2011 10:49, schrieb Markus Schönhaber:
 09.05.2011 09:27, Stephan Schaffner:
   Gibt es auch Clients die KEINE Cookies benötigen?
 Warum sollte man sowas haben wollen?
 Weil man keine Cookies haben möchte?  

Nun, einer so fundierten Argumentation wie wir wollen $FOO nicht haben,
weil wir $FOO nicht haben wollen, habe ich nichts entgegenzusetzen.

 Eine Webmail-Anwendung ist typischerweise etwas, das eine
 Session/Sitzung benötigt, bei dem man also einen Zustand über mehrere
 HTTP-Requests hinweg transportieren bzw. mehrere Requests als
 zusammengehörig erkennen muss. Da das HTTP-Protokoll dafür nun mal
 keine im Standard definierte Möglichkeit bietet, muss man sich anders
 behelfen. Gängiges Verfahren dabei ist, eine eindeutige Kennung bspw. in
 einem Cookie oder als Parameter in der URL zu jedem Request hinzuzufügen.
 Ich kann daran nichts schlimmes erkennen.

 Nur mal so zum Verständnis:  
 Wie wird in dem beschriebenen Szenario eine 'eindeutige Kennung' aus einem 
 Cookie in einem HTTP-Request übermittelt?

Etwa
Set-Cookie: bla=blubb; expires=...; path=...
im Response-Header und
Cookie: bla=blubb
in den folgenden Request-Headern.

 Ohne mich wirklich detailliert in HTTP-Protokoll auszukennen, denke ich das 
 es letztendlich doch auf einen Parameter im Request hinausläuft.

Was läuft auf einen Parameter im Request hinaus?

 Für eine bestehende Session wird sich die Applikation diese Kennung auch ohne 
 Cookie merken können.

Es geht nicht darum, dass sich irgendeine Applikation irgendeine Kennung
merkt. Es geht darum, dass aus Sicht des Servers zwei
aufeinanderfolgende HTTP-Requests prinzipiell nichts miteinander zu tun
haben. Eine bei den Requests (z. B. in einem Cookie oder sonstwie)
mitgesendete eindeutige Kennung hilft, verschiedene Requests als
zusammengehörig zu markieren.

 Somit sorgen Cookies, welche meines Wissens im persönlichen Bereich eines 
 Benutzers abgelegt werden, eigentlich 'nur' für eine 'eindeutige' 
 Wiedererkennung des Benutzers z.B. nach dem Beenden einer vorhergehenden 
 Session.

 Und damit kann ich mir so einiges schlimmes Vorstellen.

Nun, wenn Du nicht willst, dass Du von irgendwem Site-übergreifend
getracked wirst, nimm keine Cookies von Dritten an.
Wenn Du nicht willst, dass Site A evtl. auch nach einem Neustart Deines
Browsers herausfinden könnte, dass Du schon mal da gewesen bist, sorge
dafür, dass die Cookies von Site A beim Beenden des Browsers gelöscht
werden. Wenn Dir Cookies ganz und gar unheimlich sind, dann führe eine
Whitelist und wirf alle anderen weg.
Usw. usf.

Dass Cookies u. U. missbraucht werden können, ändert nichts daran, dass
sie nützlich sind. U. a. weil sie eine Möglichkeit darstellen, ein
ziemlich fundamentales Problem des HTTP-Protokolls zu umgehen. Man
sollte eben eher vernünftig mit ihnen umgehen anstatt sie grundsätzlich
zu verdammen.

Der mögliche Missbrauch irgendwelcher Cookies irgendwo im Netz begründet
aber eben nicht, warum man wilde Klimmzüge machen sollte, nur damit die
Webapplikation, die man selbst auf seinem eigenen Server installiert,
ohne Cookies auskommt.
Was stattdessen der Grund ist, Cookies in dieser Situation vermeiden zu
wollen, war meine Frage an den OP.

-- 
Gruß
  mks
-- 

PUG - Penguin User Group Wiesbaden - http://www.pug.org