Smart eller bare for dumt ?

Du skal minimum være opmærksom på at det ikke kan sidestilles med sessions variabler i PHP, ASP.NET og lignende, hvor de opbevares på serveren, og ikke kan ses af brugeren.

Risikoen for session hijacking bliver derimod elimineret (forudsat at du ikke eksponerer følsomme data til klienten)

Session hijacking ved at gætte (eller snyde sig til) et session id kan ikke gøres. Til gengæld vil både brugeren, og dem der lytter med på konversationen, få direkte adgang til alle data.

Selvom man ikke gemmer data i server side session, saa vil langt de fleste web apps stadig bruge session til at kontrollere login d.v.s. at session hijacking er stadig muligt.

Det er et sjovt trick, men efter min bedste overbevisning med begraenset brugbarhed.

Hvis din web app er "classic" saa vil du hellere have dine data server side, fordi al logikken er server side.

Hvis din web app er "pure AJAX", saa har du alligevel kun en side hvor indholdet styres af JavaScript.

Tricket er kun brugbart hvis du har logik client side i JavaScript men alligevel laver hyppige side skift.

Erik & Arne > Det er et par gode pointer. Jeg siger tak :)

Erik >>
Jeg er helt med på at jeg ikke kan sammenligne det med server sessions, ideen er at bruge det til kontrol af aktive menu punkter i et treeview på tværs af sider. Således kan jeg via javascript angive hvilke menu punkter der skal være åbne og hvilke der skal være lukket.

Arne >>
Uanset om jeg bruger klassiske data sider eller benytter ajax til at generere sider med, ja så er og bliver min data serverside.

Det primære med denne tråd var blot at finde ud af om det var helt hen i vejret at bruge dette lille trick og det lader det jo til ikke skulle være noget problem i.

Smart trick, men jeg ville nu nok foretrække cookies så længe der er plads nok i dem.

Nu har jeg ikke lige fået testet, men skifter jeg til en webside på et andet domæne vil jeg vel kunne aflæse værdierne, hvis de er anbragt på denne måde. Det gælder ikke ved cookies (og sessions baseret på cookies).

ebusiness >>
Som jeg har forstået det kan du kun lave 4 cookies af 20 kb hvilket jo også er en del, ikke desto mindre syntes jeg stadigt det er et smart trick ;o)

Erik >>
Det kan du ja eller i hvert fald så længe at du har samme browser vindue åbent, så ikke noget med at gemme sensitive data på denne måde, men det gør man jo heller ikke i cookies/sessions ;o)

Det er sådan set omvendt, 20 cookies på op til 4kB tilsammen er den sikre grænse.

Ok, havde lige læst det omvendt ;o)

arne og erik smid et svar.

Jeg samler slet ikke på point, tak.

"så ikke noget med at gemme sensitive data på denne måde,"  ... nej, men problemet opstår allerede, når man kan finde ud af om en person har besøgt en bestemt hjemmeside, på en anden, ikke-relateret, hjemmeside.

(Og det er der så allerede nogle sjove hacks til, men man behøver jo ikke ligefrem forstærke problemet)

I mit tilfælde er der tale om en menu på en admin del. Når www.minside.dk/admin/ forlades tømmer jeg indholdet jeg har gemt så der ikke trækkes noget med videre til andre sider.

Men klart er det et trick til at lave client side sessions med som man skal bruge med omtanke ;o)

Forlades?  Også hvis brugeren bare skriver et andet domænenavn i adresselinien?

Ja der har du fat i noget, i det tilfælde kan jeg ikke gøre så meget.

svar fra mig