[php] Login-Sessions

[Robert Preis]

Hallo Lutz,

du hast gesagt dass:
> [...] HTTP_USER_AGENT 
> [...] sollte [sich] ja nicht während der Sitzung wechseln. :-)

da stimme ich dir zu. Warum sollte sich bei einem Benutzer der sich 
eingeloggt hat, waehrend den wenigen Minuten, in denen er ein Webfronted 
Interface benutzt, die IP-Adresse aendern? Mir geht es bloss darum, dass 
wenn jemand irgendwie an die SessionID des User X kommt, diese nicht 
einfach so bei seinem Rechner, bei seinem Browser, in die Adressleiste 
eintragen kann und als angeblicher User X im Account rummachen kann. 
Dies sollte doch damit verhindert werden, dass der Dieb nicht an dem 
selben Rechner wie User X sitzt und somit nicht die selbe 
HTTP_USER_AGENT, sprich IP, hat.

Sehe ich das richtig?
-- 
Mit freundlichen Gruessen,
Robert Preis
http://elemsys.com