Re[2]: AW: [php] Einmalige Erkennungs ID erzeugen

[Stefan Schwardt]

Moin Nicholas Preyss, moin Liste

NP> Wenn du der SessionID die IP des Clients zuordnest, musst du nur
NP> darauf achten, dass eine IP, sprich der gleiche Client, innerhalb
NP> einer gewissen Zeit nicht 2 SessionIDs generiert.
Mit Verlaub, eine IP basierte Identifikation ist verschenkte
Entwicklungszeit. Dadurch, daß eine IP systembedingt eben nur
ein Stück Software kennzeichnet und keinen Benutzer, wird man in
der Praxis immer auf die Nase fallen. Gateways, die zig Nutzer mit der
gleichen IP herumlaufen lassen, Proxys, die die IP nicht nur bei
Neuanmeldung sondern auch während einer Session ändern und bestimmt
noch einige andere Widrigkeiten, auf die man erst stößt, wenn sich
Nutzer beschweren, daß sie nicht reinkommen.
Wirkliche Sicherheit bekommst man nur, wenn der Benutzer über eine
sichere Verbindung biometrische Daten verschickt, alles, was darunter
liegt, ist eben nur ein Kompromiss. Und ich würde an keiner Abstimmung
teilnehmen, bei der ich erstmal eine Blutprobe abgeben muß :)


--
Stefan Schwardt.