Hallo,
bräuchte mal wieeder Rat von euch. ;) Ich arbeite momentan an einem etwas größerem Projekt. Kurzgesagt, eine Newsseite.
Da ich in Zukunft individuelle Werbung schalten möchte, habe ich vor Daten über Aktivitäten von Nutzern in einem selbstentwickeltem Sessionsystem aufzuzeichen und ihm durch Cookies und HTTP-GET-Variablen wieder zuzuordnen.
Mit Aktivitäten meine ich das Abgeben von Bewertungen, Kommentieren, Ansehen von Inhalten etc.
Für jeden Besucher wird in einer Datenbank ein Datensatz eingefügt, er enthält eine Session-ID (welche auch in Cookie und HTTP-GET-Variable vorkommt, besteht aus Kleinbuchstaben und Zahlen, Länge etwa 50 Zeichen), sowie ggf. Name und Emailadresse (sofern in zum Beispiel einem Kommentar eingegeben). Dieser Datensatz wird mit anderen DB-Tabellen verknüpft (Kommentare, Bewertung, Klicks...).
Da ich kein Login-System für Besucher möchte, sollte der Nutzer während seines gesamten Aufenthalt auf der Seite, und bei jedem weiteren Besuch identifiziert werden können. Dazu wird die Session-ID in einem Cookie gespeichert und als zusätzliche Sicherheit (falls zum Beispiel Zugriff per Handy) noch über die URL übermittelt.
Wenn man Cookie und URL löscht, habe ich leider Pech gehabt, versteht sich.
Meine Fragen:
Ist diese Vorstellung sicher, bezüglich der Laufzeit der Session-ID? Ein Hacker könnte schließlich andere Session-ID's eingeben um eine andere Identität zu erlangen. Oder ist das bei einer Stringlänge von etwa 50 Zeichen ausgeschlossen?
Ergibt 1.956763353*10^80 Möglichkeiten... das sollte locker reichen?
Ist das System, so wie ich es mir denke, für einen gesunden Einsatz bereit? Könnte es durch den Datenaustausch Engpässe geben? Sonst was auszusettzen?
Bin über Verbesserungsvorschläge ebenfalls offen.
Vitus
bräuchte mal wieeder Rat von euch. ;) Ich arbeite momentan an einem etwas größerem Projekt. Kurzgesagt, eine Newsseite.
Da ich in Zukunft individuelle Werbung schalten möchte, habe ich vor Daten über Aktivitäten von Nutzern in einem selbstentwickeltem Sessionsystem aufzuzeichen und ihm durch Cookies und HTTP-GET-Variablen wieder zuzuordnen.
Mit Aktivitäten meine ich das Abgeben von Bewertungen, Kommentieren, Ansehen von Inhalten etc.
Für jeden Besucher wird in einer Datenbank ein Datensatz eingefügt, er enthält eine Session-ID (welche auch in Cookie und HTTP-GET-Variable vorkommt, besteht aus Kleinbuchstaben und Zahlen, Länge etwa 50 Zeichen), sowie ggf. Name und Emailadresse (sofern in zum Beispiel einem Kommentar eingegeben). Dieser Datensatz wird mit anderen DB-Tabellen verknüpft (Kommentare, Bewertung, Klicks...).
Da ich kein Login-System für Besucher möchte, sollte der Nutzer während seines gesamten Aufenthalt auf der Seite, und bei jedem weiteren Besuch identifiziert werden können. Dazu wird die Session-ID in einem Cookie gespeichert und als zusätzliche Sicherheit (falls zum Beispiel Zugriff per Handy) noch über die URL übermittelt.
Wenn man Cookie und URL löscht, habe ich leider Pech gehabt, versteht sich.
Meine Fragen:
Ist diese Vorstellung sicher, bezüglich der Laufzeit der Session-ID? Ein Hacker könnte schließlich andere Session-ID's eingeben um eine andere Identität zu erlangen. Oder ist das bei einer Stringlänge von etwa 50 Zeichen ausgeschlossen?
Ergibt 1.956763353*10^80 Möglichkeiten... das sollte locker reichen?
Ist das System, so wie ich es mir denke, für einen gesunden Einsatz bereit? Könnte es durch den Datenaustausch Engpässe geben? Sonst was auszusettzen?
Bin über Verbesserungsvorschläge ebenfalls offen.
Vitus