[php] Login-Sessions

[Lutz Zetzsche]

Hi Robert,

Am Donnerstag, 24. November 2005 20:55 schrieb Robert Preis:
> Hallo Lutz,
>
> du hast gesagt dass:
> > [...] HTTP_USER_AGENT
> > [...] sollte [sich] ja nicht während der Sitzung wechseln. :-)
>
> da stimme ich dir zu. Warum sollte sich bei einem Benutzer der sich
> eingeloggt hat, waehrend den wenigen Minuten, in denen er ein Webfronted
> Interface benutzt, die IP-Adresse aendern? Mir geht es bloss darum, dass
> wenn jemand irgendwie an die SessionID des User X kommt, diese nicht
> einfach so bei seinem Rechner, bei seinem Browser, in die Adressleiste
> eintragen kann und als angeblicher User X im Account rummachen kann.
> Dies sollte doch damit verhindert werden, dass der Dieb nicht an dem
> selben Rechner wie User X sitzt und somit nicht die selbe
> HTTP_USER_AGENT, sprich IP, hat.
>
> Sehe ich das richtig?

nicht ganz. :-) HTTP_USER_AGENT ist nicht die IP, sondern die Information, die 
der Browser über sich und das Betriebssystem an den Server übermittelt - wenn 
er entsprechend konfiguriert ist ;-). Der Inhalt der Server-Variable 
HTTP_USER_AGENT kann z.B. so aussehen:

Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.7.10) Gecko/20050921 
Firefox/1.0.7 Mandriva/1.0.6-16.1.20060mdk (2006.0)

Die IP-Adresse des Anwenders kann sehr wohl während der Session wechseln. Nach 
meiner Erinnerung macht z.B. AOL sowas. Der diesbezügliche Einwand von 
Andreas ist also voll und ganz berechtigt.

An die Session-ID eines Benutzer ist im übrigen schwerer zu kommen, wenn die 
Session ausschließlich über einen Session-Cookie läuft. Dann wird die 
Session-ID nicht an die URL angehängt und vagabundiert so nicht in URLs 
durchs Netz. :-)

Wie ich heute Morgen schon sagte: Mit Session-Cookie und SSL-Verschlüsselung 
erreichst Du schon eine sehr gute Absicherung der Sessions. Den HTTP_REFERER 
abzufragen, wäre nur ein netter Zusatz.


Viele Grüße
Lutz