Søgemaskiner og session ids

Efter min mening er den absolut bedste løsning _kun_ at bruge cookies til session_id (og dermed bare bruge den almindelige opsætning).

Det er meget få brugere der har cookies slået fra, langt størstedelen vil være bots. Og for de brugere der har det slået fra, så er det bare ærgerligt. Du kan evt. lave et tjek, og give brugeren en besked om at cookies skal være slået til (brug javascript til det, så søgemaskinerne ikke ser den tekst).

Ved at tillade session_id at blive sendt som en del af URL'en, åbner du for forskellige session-hijacking sårbarheder, som du skal håndtere. Ud fra det og kompleksiteten med søgemaskinerne som du har problemer med, vil jeg ikke mene, at det er besværet værd for de par brugere med cookies slået fra.

Hmm hvis du mener det er en så lille del så er det måske værd at gøre som du siger.

Hvilke sårbarheder har du i tankerne ?
Jeg har selvfølgelig sørget for at sessionen kun kan loades hvis klienten er fra den IP som sessionen blev oprettet fra.
Hvilket betyder at hackeren skal være fra samme ip som klienten hvis kan skal kunne hacke den, eller er der noget jeg har overset ?

At tjekke IP adressen kan løse mange af de problemer der opstår. Men flere personer kan dele en IP adresse, og ISP'en kan også ændre en IP adresse løbende imens man er online, hvilket vil gøre at brugeren bliver logget af.

Okay tak for info'en, tror jeg holder mig til din cookie-only løsning så :)

Tak for hjælpen