Mailinglisten-Archive |
Hallo Hannes, > Ich persönlich speicher einen Hashwert aus IP-Adresse, Benutzername > und dem, was in USER_AGENT steht. dann bekommst du aber Probleme mit der Sessionpersistenz bei T- Offline-Kunden, oder? Weil deren Zugriffe häufig über einen Proxy-Pool im Round-Robin Verfahren stattfinden, das heißt, ein und derselbe Client kommt bei mehreren Seitenaufrufen hintereinander mit verschiedenen IP-Adressen rein. Das ist ja eines der Probleme, die die meisten Webserver- Clustering-Tools auch haben, da sie Session-Persistenz durch Forwarding einer Client-IP an imemr denselben Server garantieren wollen. Beim Clustering kein wirklich professioneler Ansatz, weil nicht nur die Telekomiker Proxy-Farmen einsetzen ;) Session Highjacking kann man mit dem Verfahren zudem auch nicht vollständig ausschließen. Zu dem Thema empfehle auch ich das Buch "PHP-Sicherheit". Der Chris hat sich ja neulich eines gekauft, vielleicht verleiht er das ja *ganz_tief_duck* ;o) Viele Grüße, Volker Göbbels -- Dr. Volker Göbbels Arachnion GmbH & Co. KG, Sandkaulbach 4, 52062 Aachen http://www.arachnion.de, http://blog.arachnion.eu
php::bar PHP Wiki - Listenarchive