Zitat von
Lookbehind
Nunja, du könntest per $_POST oder $_GET die Session-ID mit geben. Das ist aber vergleichsweise unsicher.
Naja, die einzige zusätzliche Unsicherheit dabei ist im Falle von GET-Requests (was für den Abruf eines Dokuments ja im Grunde auf der Hand liegt), die Session-ID direkt in der URL mit übergeben wird und somit sofort ersichtlich ist. Man könnte damit sicherlich irgendwas basteln, das wäre aus sicherheitstechnischer Perspektive bestimmt interessant, würde ich aber außerhalb von Experimenten nicht machen.
Wobei Cookies ohne https auch alles andere als Sicher sind.
... nicht dass das alles absolute Sicherheit implizieren würde. Aber für die meisten reichts.
Cookies sind auch mit https nicht sonderlich sicher. Klar, hausgebrauchssicher oder so. Aber Cookies sollten vom Server signiert sein, dann ist https theoretisch auch nicht mehr zwingend erforderlich (bzw. schon, aber aus anderen Gründen). Ich meine, dass in Cookies sowieso nie sensible Informationen stehen sollten (aber kann auch sein, dass es Fälle gibt, in denen es Sinn macht und ich die einfach nicht kenne - falls du was hast, wäre das interessant).
Für so Sachen gibt es ja auch genug Unterstützung in den Web-Frameworks für die jeweiligen Sprachen. Es ist also eher keine Raketenwissenschaft, solche Sicherheitsmechanismen zu benutzen. Und imo grob fahrläßig, es aus Bequemlichkeit zu unterlassen.
Cookies zu verlangen ist kein Unding, da würde ich mir gar keinen Kopp drum machen. Man muss sich überlegen, warum jemand von euch kein Cookie akzeptieren wollen sollte. Deine Anforderung betrifft ja eh nur Leute, die ein gewisses Vertrauen zu euch haben und ein Benutzerkonto anlegen, ihre Daten angeben um Dinge zu bestellen - das hat imo alles eine Höhere Vertrauenshürde als ein Cookie.