phpbar.de logo

Mailinglisten-Archive

[php] 1/2 OT Session und Google Cache

[php] 1/2 OT Session und Google Cache

Niels Runge info at runge.it
Son Dez 3 13:11:55 CET 2006


Yannik Hampe wrote:
> Fazit: Cookies sind auch nicht sicherer ;-).
>
> Es gibt aber noch eine Methode, wie du dich vor den Auswirkungen des
> Bekanntwerdens der sessionid schützen kannst:
> Speicher die IP!
> Mit ip2long() kannst du die ip des Benutzers bequem in einem
> Longint-Feld einer DB (oder sonstwo) speichern und dann bei jedem Aufruf
> prüfen, ob die ip sich geändert hat.
> Nachteil: Wenn der Nutzer eine der berüchtigten in Deutschland üblichen
> 24h-Trennungen hat, dann kann er sich direkt ein einloggen.
> Ausserdem bekommst du Probleme mit anonymizern, die ständig den proxy
> wechseln.
>   
zum eigentlichen Thema wurde schon genug gesagt. Von dem IP-Check kann 
ich aber nur abraten da Du dann schnell ein Problem mit allen (?) 
AOL-Usern hast. Ich bin mir nicht sicher ob es noch so ist aber ne Zeit 
lang hat die IP sich bei so (fast ?) jedem Request geändert. Oder wie Du 
schon sagst die Nutzer von Anonymizer und ähnlichem werde auch Probleme 
haben. Eine höhere Sicherheit ist zwar vorhanden aber ich empfand die 
Nachteile als sehr störend.
Stattdessen habe ich eine Mischung aus dem USER_AGENT und noch weitere 
HTTP_* Variablen genommen. Ist zwar nicht gerade unwahrscheinlich dass 2 
User exakt die gleichen Werte haben aber immernoch sicherer als ohne.

Grüße
Niels

php::bar PHP Wiki   -   Listenarchive