Mailinglisten-Archive |
Hi, ich habe hier schwierigkeiten mit dem Session Management. Einer unserer Kunden kann unsere Software nicht nutzen, weil er hinter einem Proxy mit Load Balancing sitzt. Dadurch kommt jeder Request scheinbar von einer anderen IP-Adresse. Ich habe hier drei verschiedene Programmpakete, die zur Session ID zusätzlich die Request IP checken. Wenn die IP nicht zur Session passt, wird sie verworfen und der Kunde muss sich neu anmelden. Er kommt also über den Anmeldebildschirm nicht hinaus, da der nächste Request wieder von einer anderen IP kommt... Jetzt zwei Fragen: * ist das gängige Praxis mit dem IP-Check, oder hab ich grad nur Pech mit unserer Software? * was kann man tun um die Sicherheit nicht zu reduzieren und ihm trotzdem Zugang zu gewähren? PS: SSL möchte ich ungern nutzen, da kein Geld für Zerifikatkauf da ist. (Universität eben...) -- ________________________________________________________________________ Frank Rust, Technische Universität, Institut für Theoretische Informatik Tel.: +49 531 391 9525 Postfach 3329, D-38023 Braunschweig Fax.: +49 531 391 9529 Mühlenpfordtstr. 22-23, D-38106 Braunschweig
php::bar PHP Wiki - Listenarchive