cookies disabilitati & sessioni

[enricoska]

riguardo questo argomento ne ho lette di tutti i colori sul forum, e non si sa più a chi credere...
se si cerca "cookies disabilitati sessioni" su HTML.it si trovano solo 2 link che dicono uno la cosa opposta dell'altro:

da http://freeasp.html.it/guide/lezione.asp?id=80
"Come ultima nota, bisogna ricordare che le variabili session si appoggiano ai cookies. Nel caso l'utente finale avesse i cookies disabilitati, il funzionamento di questa tipologia di variabili è garantita in quanto il server attiva un cookies speciale che ne consente la gestione."

da http://freeasp.html.it/articoli/view...olo.asp?id=147
"Molti sviluppatori, temono che su C.S. i cookies siano disabilitati ed è per quello che prediligono l'uso delle sessioni. So che con la prossima frase sfaterò un mito, ma è giusto che si sappia, non solo per completezza del discorso. Le variabili di sessione NON funzionano se i cookies sono disabilitati. So che sembra un forte controsenso, ma è la verità."

Qaulcuno ha una spiegaizione valida o una risposta certa o dei link attendibili?

[rixx]

l'ho sentita anche io questa ma secondo me è una leggenda metropolitana, in quanto le sessioni funzionano con i cookies disabilitati, per questo non ho nemmeno approfondito l'argomento

[Baol74]

In linea teorica è vera la seconda.

Facciamo un ragionamento semplice.

Premesso che il web è senza stato, abbiamo 2 possibilità per mantenere le informazioni dell'utente : cookies e sessioni.

Ma la sessione come fa a mantenere lo stato in relazione all'utente? Chiaramente con un cookie che si chiama ASPSESSIONIDXXXXXXX che potete visualizzare stampando Request.ServerVariables("ALL_HTTP").

Ora se i cookie sono disabilitati come fa a scriverlo?

Forse potrebbe essere vera l'affermazione che il server scrive un cookies speciale, ma deduco che questo (se accade) possa essere scritto solo in ambiente window con internet explorer.

PS:
Ho fatto un test, e disabilitando i cookies, le sessioni non funzionano.

Dopodichè Explorer ha un check che consente di accettare sempre i cookie della sessione. Come a dire: bloccami tutti i cookies, ma le sessioni asp mi vanno bene

Salut

[Gioba66]

con i cookies disabilitati le variabili di sessione funzionano ma SOLO nella stessa pagina dove sono state create; con i cookies abilitati le variabili di sessione durano tutta la sessione del browser e quindi si propagano anche alle pagine successive.

[Baol74]

"con i cookies disabilitati le variabili di sessione funzionano ma SOLO nella stessa pagina dove sono state create"

Ok. Ma i passaggi sono:

1.Diabilita i cookie.
2.Riapri explorer
3.Apri una pagina

Le sessioni non funzioneranno.
La sessione dipende dal Cookies ASPSESSIONID e se questo non c'è , le sessioni non funzionano.

L'afferamzione che hai fatto è un po' forviante (funzionano ma SOLO nella stessa)

Si può affermare che se i cookies sono disabilitati, le sessioni non funzionano. Aggiungerei però che I.E. ha un'opzione(Accetta sempre i cookies di sessione) che consente il blocco di tutti i cookies tranne quelli di sessione

[enricoska]

quest'opzione da quale versione di explorer c'è?

immagino che sia un' opzione che si trova in "avanzate"... se l'utente disabilita i cookies senza addentrarsi in "avanzate" (col service pack 2 mi pare ce ci sia pure un alert ti chiede se disabilitarli) quest'opzione per le session come viene settata?

[Baol74]

Strumenti, Opzioni , Privacy , Avanzate .

Credo che ci sia già almeno dalla 5
Io comunque ho la 6.0

[Gioba66]

L'afferamzione che hai fatto è un po' forviante (funzionano ma SOLO nella stessa)

se in una pagina metto

<%

session("pippo") = "pippo"
response.write session("pippo")

%>

anche con i cookies disabilitati ti accorgi che le session funzionano.
quindi, come ho affermato, le session funzionano ma SOLO nella stessa pagina dove sono state create. se provi a valorizzare session("pippo") in una pagina successiva, essa risulterà vuota, se i cookies sono disabilitati.

[enricoska]

stesso discorso coi cookies, nella stessa pagina funzionano anche se disabilitati.

inoltre ho testato su IE 6 che fino a "Privacy Alta" (cioè tutti i livelli eccetto "Blocca tutti i cookie") sia le session che i cookies funzionano (ma mi pare di aver capito che dipenda anche dalle "compact policies" che fornisce il server - io ho testato su aruba)

[Baol74]

1.Una session che funziona SOLO nella stessa pagina non è una session. Lo scopo ed il senso del concetto di sessione viene a cadere quindi è solo una variabile collection già creata dal sistema.
Dire che la session funziona ma solo all'interno della stessa pagina, ripeto a mio parere , è forviante, perchè il sistema delle sessioni non funziona!

2.Privacy alta non disabilita i cookies, ma solo una parte!
Prova a disabilitarli veramente:
Strumenti-Opzioni-Privacy-Avanzate

Se il server non può scrivere il coookie di sessione, il sistema delle sessioni non può funzionare. Ne asp, ne in php ne in asp.net. Neanche fancendo riferimento al viewstate ed al meccanismo di postback.