[nabonid]

hallo,

ich hab gelesen dass eine gute forensoftware keine session ids haben soll.

1. hat mybb session ids?
2. was ist daran so schlimm wenn es session ids gibt bei einem forum gibt? ich vermute mal wegen der sicherheit, aber warum?

mfg

[frostschutz]

Ja, MyBB arbeitet da ausschließlich mit Cookies, wie alle anderen Seiten auch die Userlogins behandeln müssen...

Manche Foren hauen dir zusätzlich ein ?PHPSESSID=... Parameter in die URL, und das hat eben Vor- und Nachteile. Vorteil, es funktioniert auch wenn der Besucher keine Cookies zulässt. Nachteil, wenn du jemandem eine URL mit deiner PHPSESSID drin kopierst, hat er deinen Login. Alternativ muss man dich dann eben auch auf eine IP festnageln.

Weiterhin verursacht PHPSESSID Probleme mit Google, weil dann Seiten auf einmal doppelt und dreifach indiziert werden (immer mit neuer PHPSESSID), aber das ist beherrschbar indem man Google sagt, daß es diesen Parameter zu ignorieren hat.

Ansonsten sieht das einfach nur bekloppt aus sowas in der URL zu haben. Wer keine Cookies verwenden will hat halt Pech gehabt.

Zur Sicherheit: Wenn jemand deine Cookies klaut, dann hat er auch deinen Login geklaut. Das ist halt das Problem dabei... aber die Alternative dazu ist, daß du dich jedes Mal neu einloggen darfst und das wollen die meisten Nutzer halt eben auch nicht.

[StefanT]

Interessant, was du gelesen hast. Vielleicht hättest du mal schauen sollen, was das überhaupt ist... Wie frostschutz schon sagte, sieht man das sofort.