Donnerstag, 16. März 2006, 11:01 Uhr

Session-Handling auf Party-Sites

Als Hilfe für die Partyguide-Sicherungsspezialisten hier ein kleiner Überblick, wie es die anderen Schweizer Party-Sites denn so machen:

Partyguide

Hier bereits zu Genüge diskutiert:

  • PHPSESSID: Eindeutige ID der Session
  • c_ip: IP-Adresse des Benutzers
  • c_plz: Postleitzahl
  • sess_psw: Passwort
  • sess_member_id: Benutzer-ID
  • sess_login: Benutzernamen

Vor noch nicht allzulanger Zeit hatte man in den Cookies auch noch das Geschlecht, das Geburtsdatum und den Kanton gespeichert. Aus „Performance-Gründen“, wie man mir gesagt hat. Wieso speichert man das nicht in die Session?! Wurde jetzt wohl auch als bessere Lösung entdeckt.

Tilllate

Tilllate.ch

Kurzkritik: Fürchterliches Design, Urgestein der Party-Sites, gesponsert von Sony, in Zürich weit verbreitet, kürzlich Medienpräsenz bei Schweiz Aktuell.

Session-Variablen:

  • tilllateAutoLogin: Ein 56-Zeichen langer String, urlcodiert, der bei mir neben Buchstaben und Zahlen auf ein /, + und zwei == enthält. Ich werde nicht ganz schlau daraus. Ob die Sonderzeichen benutzt werden, um Hashes von Userid und Passwort voneinander zu separieren?
  • tlsid: Die eigentliche ID, um den User während seiner Sitzung zu identifizieren (verfällt am Ende der Session).

Die anderen zwei Cookies, track_cookie und tilllate_stat2, dienen meiner Vermutung nach dazu, das Benutzerverhalten für Werbezwecke aufzuzeichnen. Sie laufen erst im 2007 resp. 2008 ab.

Usgang.ch

Usgang.ch

Kurzkritik: Sehr frisches und ansprechendes Design (IMHO das beste hier in der Schweizer Szene), Ursprünglich Schwerpunkt auf Zürich, danach Expansion, deshalb Unterteilung in Regionalsites (guter Ansatz!), grösste und schärfste Fotos im Vergleich zu den anderen Anbieter (bezogen auf Fokus, nicht die Frauen! *grins*). Sponsor: Canon, wohl als Gegenpol zu Sonys tilllate.

Session-Variablen:

  • PHPSESSIONID: Nach dem Login wird der User durch diesen 32 Zeichen langen String identifiziert.
  • cautologin: Enthält den Usernamen und den MD5-Hash des Passwortes, getrennt mit einem Komma.

Lautundspitz

Lautundspitz

Kurzkritik: Ansprechendes Design, zusammen mit Usgang.ch deutlich vor Tilllate und Partyguide, ursprünglich auf Nord- und Ostschweiz beschränkt, nun 7 Regionen.

Session-Variablen:

  • PHPSESSID: Nach dem Login wird der User durch diesen 32 Zeichen langen String identifiziert.
  • lus_last_visit: Unixtime des letzten Logins – falls dies beim nächsten Autologin wirklich auch beachtet wird (indem man auf dem Server dieselbe Unixtime auch in die Datenbank speichert) – Chapeau. Sehr gute Idee, wieder etwas gelernt.
  • lus_access: 20 Zeichen langer String. Evtl. Zusammenfassung von Usernamen und Passwort? Müsste näher erforscht werden.

Man bemerke den Unterschied des Variablen-Namens im Vergleich zu Usgang.ch – PHPSESSID ist der Default-Name von PHP.

Ferner liefen …

Kennt noch jemand mehr Nischen-Seiten?

Fazit

Partyguide, wie ihr seht ist kein Entwickler der anderen Communities auf die Idee gekommen, das Passwort im Klartext in ein Cookie zu speichern und es bei jedem Zugriff zu übermitteln. Aus gutem Grund – als PHP-Profi macht man das einfach nicht.

Nebenbei ist es natürlich interessant, das Schicksal der Communities weiter zu verfolgen. Gibt es einen Markt für vier grosse Sites? Wird es vielleicht gar einmal Fusionen geben? Können die Produkte längerfristig Geld generieren? Wird es bald ein zweigeteiltes Modell geben, bei dem der Benutzer für Zusatzfunktionen bezahlen muss? (In Skandinavien bereits der Fall). Sehr spannende Fragen. Ich bleibe dran :-)

Tags:
Labels: Allgemein

Kommentar erfassen