09.05.2011 12:13, Klaus Klein: > Am 09.05.2011 10:49, schrieb Markus Schönhaber: >> 09.05.2011 09:27, Stephan Schaffner: >>> Gibt es auch Clients die KEINE Cookies benötigen? >> Warum sollte man sowas haben wollen? > Weil man keine Cookies haben möchte?
Nun, einer so fundierten Argumentation wie "wir wollen $FOO nicht haben, weil wir $FOO nicht haben wollen", habe ich nichts entgegenzusetzen. >> Eine Webmail-Anwendung ist typischerweise etwas, das eine >> Session/Sitzung benötigt, bei dem man also einen Zustand über mehrere >> HTTP-Requests hinweg transportieren bzw. mehrere Requests als >> "zusammengehörig" erkennen muss. Da das HTTP-Protokoll dafür nun mal >> keine im Standard definierte Möglichkeit bietet, muss man sich anders >> behelfen. Gängiges Verfahren dabei ist, eine eindeutige Kennung bspw. in >> einem Cookie oder als Parameter in der URL zu jedem Request hinzuzufügen. >> Ich kann daran nichts schlimmes erkennen. > Nur mal so zum Verständnis: > Wie wird in dem beschriebenen Szenario eine 'eindeutige Kennung' aus einem > Cookie in einem HTTP-Request übermittelt? Etwa Set-Cookie: bla=blubb; expires=...; path=... im Response-Header und Cookie: bla=blubb in den folgenden Request-Headern. > Ohne mich wirklich detailliert in HTTP-Protokoll auszukennen, denke ich das > es letztendlich doch auf einen Parameter im Request hinausläuft. Was läuft auf einen Parameter im Request hinaus? > Für eine bestehende Session wird sich die Applikation diese Kennung auch ohne > Cookie merken können. Es geht nicht darum, dass sich irgendeine Applikation irgendeine Kennung merkt. Es geht darum, dass aus Sicht des Servers zwei aufeinanderfolgende HTTP-Requests prinzipiell nichts miteinander zu tun haben. Eine bei den Requests (z. B. in einem Cookie oder sonstwie) mitgesendete eindeutige Kennung hilft, verschiedene Requests als zusammengehörig zu markieren. > Somit sorgen Cookies, welche meines Wissens im persönlichen Bereich eines > Benutzers abgelegt werden, eigentlich 'nur' für eine 'eindeutige' > Wiedererkennung des Benutzers z.B. nach dem Beenden einer vorhergehenden > Session. > Und damit kann ich mir so einiges schlimmes Vorstellen. Nun, wenn Du nicht willst, dass Du von irgendwem Site-übergreifend getracked wirst, nimm keine Cookies von Dritten an. Wenn Du nicht willst, dass Site A evtl. auch nach einem Neustart Deines Browsers herausfinden könnte, dass Du schon mal da gewesen bist, sorge dafür, dass die Cookies von Site A beim Beenden des Browsers gelöscht werden. Wenn Dir Cookies ganz und gar unheimlich sind, dann führe eine Whitelist und wirf alle anderen weg. Usw. usf. Dass Cookies u. U. missbraucht werden können, ändert nichts daran, dass sie nützlich sind. U. a. weil sie eine Möglichkeit darstellen, ein ziemlich fundamentales Problem des HTTP-Protokolls zu umgehen. Man sollte eben eher vernünftig mit ihnen umgehen anstatt sie grundsätzlich zu verdammen. Der mögliche Missbrauch irgendwelcher Cookies irgendwo im Netz begründet aber eben nicht, warum man wilde Klimmzüge machen sollte, nur damit die Webapplikation, die man selbst auf seinem eigenen Server installiert, ohne Cookies auskommt. Was stattdessen der Grund ist, Cookies in dieser Situation vermeiden zu wollen, war meine Frage an den OP. -- Gruß mks -- ---------------------------------------------------------------------------- PUG - Penguin User Group Wiesbaden - http://www.pug.org
