![]() Mailinglisten-Archive |
> - Pr�fe die IP. Wenn jemand w�hrend einer Session die IP > welchselt, ist > es gut m�glich, dass auch der Rechner gewechselt, also die Session > geklaut wurde. Diese Sicherung kann man nur �berlisten, wenn man durch > die selbe Firewall/durch den gleichen Proxy wie der urspr�ngliche > Session-Inhaber ins Netz geht. Aber das sollte zu verschmerzen sein. Werde ich machen > - Eine nicht ganz saubere L�sung ist die Pr�fung des > HTTP_REFERERs. Wenn > dieser leer ist oder nicht mit der h�bschen Domain deines > Kunden (incl. > http://) anf�ngt, kam der Client nicht von einer Seite auf dieser > Domain, hat die Url samt Ses-ID von Hand eingetippt, also evtl. > manipuliert. Dann schmeisst man ihn einfach raus. > Geschmackssache ist nat�rlich, dass der Client schon dann > rausgeschmissen wird, wenn er die Seite kurz verl�sst, aber > bei Get w�re > das ja eh der Fall. > Das Problem dieser L�sung ist, dass der Referer vom Client �bertragen > werden kann, aber nicht muss. Bei Opera l�sst sich dass z.B. > abschalten. > Ausserdem filtern wohl bestimmte Proxies (Anonymizer) diese Referer > raus, damit man anonymer wird. > Wenn Du aber damit leben kannst, dass u.U. Benutzer exotischer Browser > (weder NNav noch IE lassen die Nicht�bertragung der Referer zu) oder > besonders anonyme Menschen st�ndig rausfliegen, w�rde ich zu dieser > L�sung raten. Kannst ja eine Meldung bezgl. eventueller Technischer > Probleme ausgeben, wenn jemand mehrfach wegen sowas rausfliegt. Is wohl nich so gut f�r mich > Gesundheit Kann ich brauchen, nach bisher 36 Stunden am St�ck Mfg Chris
php::bar PHP Wiki - Listenarchive