Ich experimentierte mal vor längere Zeit mit einem speziell für Handys entwickelten Forum. Da damals die meisten Handys Probleme mit cookies hatten, ging man dort den Weg ausschliesslich über die SessionID. Mir fiel damals auf, dass wenn zum Beispiel User A einen Forum Link direkt im Forum oder auf einer externen Seite postet und User B auf diesen von User A geposteten Link klickt, User B die ID von User A annimmt. Zum Zeitpunkt des Klicks auf den Link musste A natürlich noch eingeloggt sein. Das war natürlich richtig toll für mich, weil das richtig böse werden konnte, wenn der admin Links im Forum postet und plötzlich jeder User beim Klick auf diesen Link zum admin wurde.
Seit diesem Tag achte ich immer peinlich genau auf diese SessionIDs.
Wie verhält das sich bei phpBB? Ist es hier völlig unbedenklich, foreninterne Links zu posten. Die sessionID scheint aber auch nur auf Seiten an die Adresse angehangen zu werden, in der ich als User aktive Eingaben tätige (Admin-Menu und Verfassen von Beiträgen).
Aprospos Adresse, gibt es eine Möglichkeit "schöne" urls mittels mod rewrite einzustellen?
Grüsse
Fred Galaxy
