[php] Sessions for runaways

[Christian Toepp]

> - Prüfe die IP. Wenn jemand während einer Session die IP 
> welchselt, ist
> es gut möglich, dass auch der Rechner gewechselt, also die Session
> geklaut wurde. Diese Sicherung kann man nur überlisten, wenn man durch
> die selbe Firewall/durch den gleichen Proxy wie der ursprüngliche
> Session-Inhaber ins Netz geht. Aber das sollte zu verschmerzen sein.

Werde ich machen

> - Eine nicht ganz saubere Lösung ist die Prüfung des 
> HTTP_REFERERs. Wenn
> dieser leer ist oder nicht mit der hübschen Domain deines 
> Kunden (incl.
> http://) anfängt, kam der Client nicht von einer Seite auf dieser
> Domain, hat die Url samt Ses-ID von Hand eingetippt, also evtl.
> manipuliert. Dann schmeisst man ihn einfach raus.
> Geschmackssache ist natürlich, dass der Client schon dann
> rausgeschmissen wird, wenn er die Seite kurz verlässt, aber 
> bei Get wäre
> das ja eh der Fall.
> Das Problem dieser Lösung ist, dass der Referer vom Client übertragen
> werden kann, aber nicht muss. Bei Opera lässt sich dass z.B. 
> abschalten.
> Ausserdem filtern wohl bestimmte Proxies (Anonymizer) diese Referer
> raus, damit man anonymer wird.
> Wenn Du aber damit leben kannst, dass u.U. Benutzer exotischer Browser
> (weder NNav noch IE lassen die Nichtübertragung der Referer zu) oder
> besonders anonyme Menschen ständig rausfliegen, würde ich zu dieser
> Lösung raten. Kannst ja eine Meldung bezgl. eventueller Technischer
> Probleme ausgeben, wenn jemand mehrfach wegen sowas rausfliegt.

Is wohl nich so gut für mich

> Gesundheit

Kann ich brauchen, nach bisher 36 Stunden am Stück
Mfg Chris