Ich mag Cookies nicht, wie auch der "Footer" unten zeigt. Es gibt aber doch selektiv die Notwendigkeit dafür. Also will ich die Formulierung ergänzen: "Cookie verlangen" lehne ich ab, wenn man insbesondere als "fremder" User dann gar nix von einer Site bekommt.
Immer dann, wenn eine Authenifizierung nötig ist, sind auch Cookies nur mit Kompromissen zu umgehen. Bei Drupal gefiel mir, daß diese Einstellung möglich war, bei der die Session-Verwaltung von PHP auch über die URL-Zeile erlaubt wurde.
Allerdings ist bekannt, daß dies u.U. Verletzlichkeit für Angriffe auf die Identität bedeuten kann (nicht muß, m.E.). Also ist die Cookie-Lösung für Login-Identifikation per Session doch eine sinnvolle Wahl.
Der springende Punkt: Moderne Browser haben eine Cookie-Verwaltung per URL, d.h. man kann leicht einstellen für welche individuell ausgewählte Site ein Cookie erlaubt ist. Damit kann ich leben - wie gesagt, nur soweit Identifikation gebraucht wird.
Und jetzt kommts: Ich hätte das gerne dem Benutzer überlassen, und momentan (Drupal 4.5/4.6) hab ich das per PHP-Konfiguration so gelöst, daß URL-Sessionübergabe funktioniert.
Hier ist ein Thread dazu auf der Drupal-Site, der sich zu dem Thema lohnt. Allerdings ist der Stand ein bißchen überholt:
Wegen anderer Sicherheitsprobleme ist seit Drupal 4.7 dieser Weg verbaut, URL-Sessionübergabe ist nicht mehr zugelassen, also geht Login nur noch mit Cookies.
Es gibt einen Patch, der die alte Möglichkeit rekonstruiert; allerdingsgibt es Diskussionen dazu wie optimal der ist.
Ich steige - irgendwann - auf 4.7 um (und eperimentiere bisher schon lokal damit). Ich bin nicht scharf auf den erwähnten Patch - also wird es Cookies hier geben. Da hier Kommentare one Registrierung vorgesehen sind, ist das eigentlich nur für mich selbst eine Einschränkung ...