Hallo,

auf meiner privaten Homepage habe ich ein passwortgeschütztes Fotoalbum. Die User sind in unterschiedliche Gruppen eingeteilt und haben unterschiedliche Zugriffsrechte auf die verschiedenen Alben. Nun sollen die Bilder besser vor unberechtigtem Zugriff geschützt werden. Dazu werden die Bilder per CGI-Skript aus einem Verzeichnis geholt, das nicht im Webpfad liegt. Dazu wird ein Cookie mit der Session-ID gelesen. Zum Session-Handling benutze ich bisher Apache::Session::MySQL. Um auf die Daten aus der Session zugreifen zu können, wird zunächst das Session-Objekt instanziert:

Dann wird kontrolliert, ob das Account überhaupt aktiviert ist, ob die Gruppe, in der der User ist, überhaupt Berechtigung hat, auf dieses Album zuzugreifen und wenn das alles passt, wird der Pfad zu den Bildern aus der DB gelesen und das entsprechende Bild eingeblendet.
Nun befinden sich auf einer Albumseite maximal 12 Thumbnails. Das Programm muss natürlich für jedes einzelne Thumbnail aufgerufen werden. Nun schwant mir, dass das ganz schön zu Lasten der Performance geht. Insbesondere das Binden der Session scheint mit nicht sehr performant.

Würde die Rechenlast geringer, wenn ich hier nicht Apache::Session::MySQL nutze und die nötigen Daten per "eigener" Datenbankabfrage hole?

Der Text der Session hat ja ein wenig ein komisches Format. Sieht ungefähr folgendermaßen aus:

Leider steige ich nicht ganz dahinter, welche Trennzeichen für Bezeichner und Wert verwendet werden, um den Text mit regulären Ausdrücken aufzudröseln (unter Windows erscheinen immer nur so kleine Kästchen). Weiß da vielleicht jemand bescheid?

Gibt es bessere Wege, die Bilder vor unberechtigtem Zugriff zu schützen?

Gruß
Christoph

anscheinend lässt du für jedes thumbnail ein perl-script laufen, wobei das script dann wie "Content-Type: image/*" das Bild an den Browser jubelt!

Lässt du die Thumbnails Seite von einem Script generieren?
Wenn ja, dann denk dir doch in diesem Script einen Stempel aus (also eine id, welcher du einem Timestamp "anklebst")
Diesen Stempel übergibst du zusätzlich zur sid an dein ThumbNail script!

Wenn der stempel nun älter als 30 Sekunden oder ähnlich ist, hast du zwei möglichkeiten:
1. du gibst einen fehler aus
2. du rechnest die rechte nochmals über die sid aus, und gibst bei nicht okay, einen fehler aus

ansonsten gibst du das bild aus!

also, der rechenlastunterschied zwischen Apache::Session und einer eigenen Routine halte ich für vernachlässigbar.
Der "Text der Sesstion" sieht tatsächlich etwas eigentümlich aus. den müsstest du aber doch auch selbst ins hash geschrieben haben, oder?

Den "Session-Text" habe ich nicht selbst geschrieben. Das macht ja Apache::Session so schön einfach für einen ;-).

Das sieht ja z.B. so aus:
Zuerst die Session binden:

Dann kann man die Session mit diversen Informationen "laden": , bzw. ebenso einfach auf diese Daten zugreifen.

Die Session wird von Apache::Session::MySQL in eine Datenbanktabelle Namens "sessions" geschrieben, die eigentlich nur 2 Felder beinhaltet. Ein Feld mit der Session-Id und eines mit allen Bezeichner-Wert-Paaren, die in die Session "geladen" wurden.

Ich bin leider ganz und gar kein Perl- und SQL-Profi ;-). Deshalb weiß ich auch nicht genau, wie Rechenaufwändig solche Datenbankabfragen sind. Irgendwie hatte ich immer das Gefühl, dass mit dem Binden der Session und Zugriff auf die Variablen mehr passiert, als dass diese nur gelesen wird. So gibt es auch keinen extra Befehl, der die Session in die DB schreibt. Also muss doch eigentlich bei jedem Zugriff auf das Session-Objekt, bzw. auf so eine "Session-Variable" die Session komplett neu in die Datenbank geschrieben werden (?). Leider bin ich mit meinem schmalen Perl-Wissen noch nicht so ganz hinter die Funktion des Moduls Apache::Session gestiegen.

Die Sache mit dem Timestamp ist eine gute Idee, die ich mir merken werde, ob ich sie nun hier benutze oder nicht.
Was ist denn eine empfehlenswerte Art, so einen Stempel, der ja dann mindestens die User-ID enthalten sollte, zu gestalten. Die User-ID sollte ja dann schon halbwegs versteckt sein.

Du musst keine Methode zum Speichern der Session explizit aufrufen, weil es ge"tie"ed wurde...

Das heißt in dem Modul wird erkannt, ob die Session geändert wurde oder was auch immer und dann wird darauf "reagiert"...

[quote=renee,04.05.2004, 11:29]Das heißt in dem Modul wird erkannt, ob die Session geändert wurde oder was auch immer und dann wird darauf "reagiert"...[/quote]
das in die datenbank schreiben passiert wohl gdw. wenn der Tie entbunden wird, also wenn das Script terminiert!

Ja, sonst müsste vielleicht 20 mal im Skriptdurchlauf was gespeichert werden, aber es gibt vielleicht noch andere Sachen, die gemacht werden...

man kann Apache::Session ohne probleme verwenden.
der rechenaufwand auch bei älteren rechnern sollte vernachlässigbar sein, vor allen dingen wenn man nur ne hand voll parameter setzt.
ich kann nur davon abraten mit Apache::Session Sessions zu initialisieren und die dann selbst direkt zu benutzen. dann sollte man lieber selbst was komplettes implementieren oder das modul so modifizieren wie mann&´s braucht.

btw. ich benutze Apache::Session mit gut 1,5 kB nutzdaten und habe bisher noch keine probleme gehabt

O.k., danke, dann werde ich das Modul bedenkenlos weiter nutzen.
Ich habe beim Testen auf meinem Rechner bemerkt, dass dieses Skript recht deutlich zu Lasten der Performance geht. Ich kann aber mit leben. Wenn es meinem Provider nicht passt, wird er sich schon melden ;-).

Ich suche noch so ein Script, kannst du mir das mal zukommen lassen (per PM oder so)?
mfg pktm