[php] Session validierung

[Dr. Volker Göbbels]

Hallo Hannes,

> Bitte warum wechselt die IP-Adresse von DSL-Kunden während einer
> Session? Wozu soll das gut sein? Ich kenne in .at keinen Provider, der
> das tun würde!

Erm, da fallen mir mindestens 2 Gründe ein:
1. Zwangstrennung vom Provider
2. Schlechte Übertragung, dann ist die Leitung halt mal weg fürn paar  
Sekunden. IP-Connections kämen ja grundsätzlich mit dieser Latenz  
klar, da ein neuer Einwahlvorgang erfolgt, ist das aber ein Problem.

> Du gehst davon aus, dass die bösen Leute innerhalb des Unternehmens
> sitzen. Stimmt schon, das kann durchaus sein. Aber viel größer ist die
> Gefahr meiner Meinung nach im "freien" Internet, und da sind diese
> eindeutigen Merkmale wohl sehr deutlich ausgeprägt.

Der großer Prozentsatz aller Spoofing- und  
Identitätsdiebstahlsversuche basiert auf Social Engineering Ansätzen,  
daß heißt, kommt von Leuten, die wenigstens beiläufig mit dem Opfer  
zu tun haben. Da red ich jetzt nicht von Phishing. Wer auf eine  
solche "bestätigen Sie Ihre Bankdaten" Mail reinfällt, gehört doch eh  
im Zoo ausgestellt ;)
Ich halte es aber für recht müßig, darüber zu spekulieren, wo der  
Bösewicht sitzt. Die Technik sollte alles Sinnvolle und Mögliche tun,  
Probleme zu verhindern. Dazu gehört aber meienr Meinung nach auch,  
daß ih mich nicht im Verlaufe einer Session neu einloggen muß ;)
Tut mir leid, für mich klingt das mehr nach einem NIH (Not Invented  
Here) Problem.

Viele Grüße,
Volker Göbbels
--
Dr. Volker Göbbels
Arachnion GmbH & Co. KG, Sandkaulbach 4, 52062 Aachen
http://www.arachnion.de, http://blog.arachnion.eu