Einführung von HTTPonly Cookie für die Session?

  • Hallo, neuere Browser unterstützen die HTTPonly Eigenschaft von Cookies, die Sessionklau erschweren sollen. Wenn man am Anfang der beiden sessions.php (normal und in der admin Verzstruktur) folgendes einfügt, [code=php]# 20110707 Test: keinen direkten Zugriff per Javascript auf Sessioncookie in modernen Browsern erlauben @ini_set('session.cookie_httponly', true);[/code] sollte das sessioncookie sicherer sein als ohne. Diese Eigenschaft ist laut php.net seit php 5.2.0 verfügbar. Irgendwelche Bedenken/Probleme? Habe mal kurz die demoshops diverser Shopanbieter durchprobiert, im xt:c Bereich habe ich das jetzt noch nicht gesehen, bei einem anderen System ja. Viele großen Seiten (Google usw) nutzen inzwischen die HTTPonly Eigenschaft.