[php] Client-IPs

[Reiner Kukulies]

Am 28 Aug 99, schrieb Stefan Oesterling zu "[php] Client-IPs":

> 1.
> User kommt nicht über Proxy auf unsere Seite.
> REMOTE_ADDR gibt IP des Client aus (dynamische od. statische - bleibt
> während der Session gleich).
> Alles klar.

Nicht unbedingt. Wenn ich von meinem Firmenaccount im Netz bin, 
aendert sich meine IP während einer Session, da unser Gateway nach 
einer Minute Untätigkeit auflegt und sich automatisch neu einwählt 
sobald jemand wieder aktiv wird.

> 2.
> User kommt über Proxy auf unsere Seite.
> REMOTE_ADDR gibt IP des Proxy aus (ändert sich/kann sich ändern(?)
> während der Session).
> HTTP_X_FORWARDED_FOR gibt IP des Client aus (dynamische od. statische -
> bleibt in der Session gleich, wird aber nicht von allen Proxys
> weitergegeben).
> Richtig?

Ja.

> Wenn 2 richtig, gibt es einen sicheren Weg den User während einer
> Session, in Verbindung mit einer IP, zu identifizieren?

Nein.

Zu dem Thema gab' es hier schon einige Diskussion. Sieh am besten mal 
im Archiv nach.

Ich bevorzuge Basic Authentication, wenn der Benutzer auch 
identifiziert werden soll. Ansonsten helfen nur Session-IDs, die per 
Cookie oder GET weitergegeben werden.

Gruß, Reiner

-- 
NETZKONZEPTE - http://kukulies.de