Einführung von HTTPonly Cookie für die Session?

  • Hallo,


    neuere Browser unterstützen die HTTPonly Eigenschaft von Cookies, die Sessionklau erschweren sollen.
    Wenn man am Anfang der beiden sessions.php (normal und in der admin Verzstruktur) folgendes einfügt,

    PHP
    1. # 20110707 Test: keinen direkten Zugriff per Javascript auf Sessioncookie in modernen Browsern erlauben
    2. @ini_set('session.cookie_httponly', true);


    sollte das sessioncookie sicherer sein als ohne.
    Diese Eigenschaft ist laut php.net seit php 5.2.0 verfügbar.


    Irgendwelche Bedenken/Probleme?


    Habe mal kurz die demoshops diverser Shopanbieter durchprobiert, im xt:c Bereich habe ich das jetzt noch nicht gesehen, bei einem anderen System ja. Viele großen Seiten (Google usw) nutzen inzwischen die HTTPonly Eigenschaft.