Einführung von HTTPonly Cookie für die Session?

  • Hallo,

    neuere Browser unterstützen die HTTPonly Eigenschaft von Cookies, die Sessionklau erschweren sollen.
    Wenn man am Anfang der beiden sessions.php (normal und in der admin Verzstruktur) folgendes einfügt,

    PHP
    # 20110707 Test: keinen direkten Zugriff per Javascript auf Sessioncookie in modernen Browsern erlauben
    @ini_set('session.cookie_httponly', true);

    sollte das sessioncookie sicherer sein als ohne.
    Diese Eigenschaft ist laut php.net seit php 5.2.0 verfügbar.

    Irgendwelche Bedenken/Probleme?

    Habe mal kurz die demoshops diverser Shopanbieter durchprobiert, im xt:c Bereich habe ich das jetzt noch nicht gesehen, bei einem anderen System ja. Viele großen Seiten (Google usw) nutzen inzwischen die HTTPonly Eigenschaft.