[php] Sessions, Cookies und Referers

[Gerald Grote]

Hallo,

> wie wärs denn, wenn man die IP desjenigen, der die Session erzeugt in
> die SessionID verschlüsselt einbaut. Bei jedem Benutzen der ID müsste
> dann zwar die IP wieder extrahiert werden und mit der IP verglichen
> werden, die gerade verwendet wird, aber das müsste das Ganze doch
> sicher machen, oder? In Verbindung mit einer relativ kurzen Gültigkeit
> kann so weder ein späterer User des Providers bzw. ein BAfH die
> Session klauen.

Das ist keine schlechte ID (hach, schönes Wortspiel:-).
Das wäre auf jedenfall nicht mehr durch einfaches URL-Ausspähen zu hacken,
da die Session an eine bestimte IP gebunden ist.

Das haette zwar den Seiteneffekt, das der Nutzer durch eine erneute Einwahl
ausgeloggt wird (bei dynamischen IPs), aber das wäre sicher zu verschmerzen.

> Gibt es da auch einen Haken, oder ist das nur noch keiner drauf
> gekommen? (was ich mir nicht so recht vorstellen kann)

Kann man sich denn darauf verlassen, das bei jedem Clientzugriff eine über
die gesamte Session konstante IP-Adresse mitgeteilt zu bekommen (ausser bei
Neueinwahl) ? Und wenn es keinen Haken gibt, warum ist das in PHPlib noch
nicht eingebaut :-) ??

Gerald.