Re[2]: AW: [php] Einmalige Erkennungs ID erzeugen

[Nicholas Preyss]

On 1 May 2001, at 22:54, Stefan Schwardt wrote:

> Moin Nicholas Preyss, moin Liste
> 
> NP> Wenn du der SessionID die IP des Clients zuordnest, musst du nur
> NP> darauf achten, dass eine IP, sprich der gleiche Client, innerhalb
> NP> einer gewissen Zeit nicht 2 SessionIDs generiert.
>
> Mit Verlaub, eine IP basierte Identifikation ist verschenkte
> Entwicklungszeit. Dadurch, da=DF eine IP systembedingt eben nur
> ein St=FCck Software kennzeichnet und keinen Benutzer, wird man in
> der Praxis immer auf die Nase fallen. Gateways, die zig Nutzer mit der
> gleichen IP herumlaufen lassen, Proxys, die die IP nicht nur bei
> Neuanmeldung sondern auch w=E4hrend einer Session =E4ndern und bestimmt
> noch einige andere Widrigkeiten, auf die man erst st=F6=DFt, wenn sich
> Nutzer beschweren, da=DF sie nicht reinkommen.
> Wirkliche Sicherheit bekommst man nur, wenn der Benutzer =FCber eine
> sichere Verbindung biometrische Daten verschickt, alles, was darunter
> liegt, ist eben nur ein Kompromiss. Und ich w=FCrde an keiner Abstimmung
> teilnehmen, bei der ich erstmal eine Blutprobe abgeben mu=DF :)

hi

Ich stimme dir und deinen technischen Einw=E4nden vollkommen zu, 
ich w=FCrde dieses "Sicherungssystem" auch sicher f=FCr keine 
kritische Abstimmung (stichwort: E-Government) verwenden, aber 
man sollte sich anschauen worum es bei dieser Seite =FCberhaupt 
geht. Ich denke das solch ein Sicherungssystem deshalb trotzdem 
nicht sinnlos ist. 

1.) Es ist eine Seite mit einem ziemlich trivialen Thema und ich 
ma=DFe mir jetzt mal an zu vermuten, dass diese Seite wohl nie ein 
"Millionen-Hits-Online-Portal" wird.
Der Schutz dient wohl meiner Meinung nach einzig und alleine 
dazu einem Scherzkeks der sein Bild durch hunderte Reloads an 
Platz 1 bringen will,  das Handwerk so schwer wie m=F6glich zu 
machen. Und soll keineswegs eine Sicherheitsbarriere darstellen.

2.) Im Prinzip ist es bei diesem Thema ziemlich egal, ob die Zahlen 
100% exakt sind und man kann es auch nicht verhindern, dass 
jemand mehrmals votet. Nur wenn dann ein Scherzkeks ohne 
Aufwand sich mehrere hundert Stimmen in 5 Minuten geben kann,  
wird die ganze Website zur Farce.
Ich denke eine 45min-IP-Sperre wird die meisten 
"Gelegenheitsbetr=FCger" genug abschrecken.
Und wenigstens ein bisschen Glaubw=FCrdigkeit bringen.
Es macht einen gro=DFen Unterschied ob man immerwieder auf 
reload dr=FCckt oder sich neueinw=E4hlen muss und dann erst reloaden.

3.)Wenn ich mir den "h=E4sslichen" Button ( :D) links unten auf der 
Page anschaue, dann kann ich wohl davon ausgehen, dass der 
Urheber keinen gro=DFen Wert darauf legt immer und  jedem die 
M=F6glichkeit seine Seite voll zu geniessen geben will.
Ausserdem ist die mathematische Wahrscheinlichkeit, dass 2 
Leute gleichzeitig =FCber einen Proxy oder Masq auf diese Seite 
zugreifen und w=E4hlen wollen, so gering, dass sie in meinem Augen 
zu vernachl=E4ssigen ist.

4.) Ohne Schutz w=FCrde eine Hand voll "Deppen" dazu reichen, den 
ganzen "Dienst" unbrauchbar zu machen(und um ein paar 
Testosteron-triefende Teenager daf=FCr zu motivieren reicht wohl ein 
simpler Post in einem einschl=E4gigen Forum ;-) ) .
Die einzige Alternative w=E4re dann wohl, die Seite ganz zu 
schliessen und das will vermutlich niemand.

5.) Die Session-Keys an IDs zu binden ist so einfach, dass ich da 
keine unverh=E4ltnism=E4ssige Mehrbelasting erkennen kann.


mfg 
Nicholas Prey=DF

P.S.: Das mir das aber kein OT Flamewar wird :)