sessioni solo con i cookie, perchè?

[cescoh]

Da alcune prove che ho fatto pare che sul sito di ebay, le sessioni vengano mantenute SOLO tramite cookies infatti, disabilitandoli sul browser, ebay dice che devono essere abilitati ecc. ecc.

Mi chiedo: se ebay (che credo sia uno dei siti più cliccato a livello mondiale) ha scelto di poter essere fruito solo se si hanno i cookie abilitati, perchè altri siti si preoccupano di propagare le sessioni tramite SID nel caso in cui non siano disponibili i cookies?

D'altro canto Amazon.com (altro sito pigliatutto) ignora completamente i cookie (almeno relativamente alle sessioni) e propaga sempre il SID via URL.

Un altro sito con alta visibilità (anche se non credo ai livelli dei sopracitati), ibs.it, funziona solo con i cookie e, peggio che mai, semplicemente NON FUNZIONA se vengono disabilitsti i cookie.

Per concludere, dovendo attivare su un sito delle funzionalità di carrello elettronico che chiaramente necessitano delle sessioni, per quale delle soluzioni viste propendere?

Buon lavoro

[piero.mac]

cookies e sessioni su database.

[cescoh]

pardon, non ho capito :master:

[piero.mac]

Originariamente inviato da cescoh
pardon, non ho capito :master:

http://freephp.html.it/articoli/view_articolo.asp?id=97

[cescoh]

Ok, grazie

L'articolo è interessante ma non risponde alla domanda che mi ponevo io.

Al di là dei metodi più o meno sicuri utilizzati per gestire le sessioni,
mi chiedevo quale sistema fosse meglio adottare per propagare lo stato: i cookies o la propagazione tramite URL, GET o POST di un SID.

In un primo momento avrei pensato ad integrarli uno con l'altro, poi ho fatto le prove di sui sopra su siti importanti scoprendo in particolare che ebay ad esempio usa solo i cookie e se ne frega se tu vuoi tenerli disabilitati.

In pratica vorrei capire per quale motivo ebay se ne infischia ed io invece dovrei far funzionare le sessioni senza cookie.

[piero.mac]

Guarda che ti stai fasciando la testa senza avertela rotta.....

Perche' e-bay usa i cookies dovresti chiederlo a loro. Tieni presente che per i cookies via URL viene utilizzato non solo il modo esclusivo, ma anche in modo alternativo al cookie nel caso fosse disabilitato sul browser.

Se pretendi il cookie, il browser deve abilitarli, altrimenti rinuncia alla connessione. cosa che viene normalmente richiesta da tutti i siti che trattano argomenti sensibili (cookies abilitati).

Sono scelte motivate dalla propria esperienza, il perche' della scelta puo' essere mille e una volta diverso. In altre parole, non esiste il metodo migliore, ma quello piu' consono ai tuoi bisogni.

[cescoh]

Originariamente inviato da piero.mac
... Tieni presente che per i cookies via URL viene utilizzato non solo il modo esclusivo, ma anche in modo alternativo al cookie nel caso fosse disabilitato sul browser.

Scusa ma non ho capito bene cosa intendi

[piero.mac]

http://www.php.net/manual/it/ref.session.php

vedi alla voce: Ci sono due metodi per propagare l'id di sessione

in realta' sono poi tre.

1) i cookie di sessione (solo cookie - default).
2) Cookie, se non abilitati sul browser allora SID (automaticamente).
3) Solo SID (cookie disabilitati nel php.ini).

Anzi 4. Salvare le sessioni su db, ma questo hai detto non fa al tuo caso.

[cescoh]

Quindi se ho capito bene ci sono i cookie e i cookie di sessione che sono due cose diverse!?

[Fabio Heller]

Ciao,
Le sessioni utilizzano i cookie o il passaggio nell'url per mantenere la persistenza

ebay usa soltanto i cookie perchè il passaggio del sid nell'url può comportare pratiche poco sicure se non si sta attenti (session hijacking, session fixation) . Infatti anche PHP di default disabilità il trans_id.

La questione su dove salvare i dati di sessione è leggermente diversa: lo puoi fare su qualsiasi tipo di supporto presente sul server.

La più performante resta l'uso dei file di testo, la più sicura (se ti trovi su un server condiviso) e versatile è l'utilizzo del database