[php] Session Management bei Load Balancing Client

[Martin Spuetz]

Hallo Frank,

Frank Rust wrote:
> * ist das gängige Praxis mit dem IP-Check, oder hab ich grad nur Pech 
> mit unserer Software?

Ich versuche IP-Checks zu vermeiden. Ein Anwender schreibt gerade in 
der Webanwendung einen groesseren Text, in der Zeit geht nichts ueber 
die Leitung und dessen Router trennt die Internetverbindung. Drueckt 
er auf "Speichern" wird die Verbindung wieder aufgebaut und der User 
muesste sich neu anmelden (da neue IP).

> * was kann man tun um die Sicherheit nicht zu reduzieren und ihm 
> trotzdem Zugang zu gewähren?

Du arbeitest mit den PHP Sessions, dafuer ist eine feste IP nicht 
notwendig. Damit kannst du sogar auf Cookies verzichten, wenn du die 
Session ID uebergibst.

Ich verwende meistens bei den Sessions noch den UserAgent, wenn der 
beim naechsten Request nicht mehr stimmt, wird die Session verworfen.

> PS: SSL möchte ich ungern nutzen, da kein Geld für Zerifikatkauf da ist. 
> (Universität eben...)

Musst du ja nicht, du kannst doch auch die Zertifikate der "Snake Oil 
CA" nehmen. Aber was hat dein Problem mit SSL zu tun?

Gruss Martin