[php] Sessions for runaways

[Christian Toepp]

> - Pr�fe die IP. Wenn jemand w�hrend einer Session die IP 
> welchselt, ist
> es gut m�glich, dass auch der Rechner gewechselt, also die Session
> geklaut wurde. Diese Sicherung kann man nur �berlisten, wenn man durch
> die selbe Firewall/durch den gleichen Proxy wie der urspr�ngliche
> Session-Inhaber ins Netz geht. Aber das sollte zu verschmerzen sein.

Werde ich machen

> - Eine nicht ganz saubere L�sung ist die Pr�fung des 
> HTTP_REFERERs. Wenn
> dieser leer ist oder nicht mit der h�bschen Domain deines 
> Kunden (incl.
> http://) anf�ngt, kam der Client nicht von einer Seite auf dieser
> Domain, hat die Url samt Ses-ID von Hand eingetippt, also evtl.
> manipuliert. Dann schmeisst man ihn einfach raus.
> Geschmackssache ist nat�rlich, dass der Client schon dann
> rausgeschmissen wird, wenn er die Seite kurz verl�sst, aber 
> bei Get w�re
> das ja eh der Fall.
> Das Problem dieser L�sung ist, dass der Referer vom Client �bertragen
> werden kann, aber nicht muss. Bei Opera l�sst sich dass z.B. 
> abschalten.
> Ausserdem filtern wohl bestimmte Proxies (Anonymizer) diese Referer
> raus, damit man anonymer wird.
> Wenn Du aber damit leben kannst, dass u.U. Benutzer exotischer Browser
> (weder NNav noch IE lassen die Nicht�bertragung der Referer zu) oder
> besonders anonyme Menschen st�ndig rausfliegen, w�rde ich zu dieser
> L�sung raten. Kannst ja eine Meldung bezgl. eventueller Technischer
> Probleme ausgeben, wenn jemand mehrfach wegen sowas rausfliegt.

Is wohl nich so gut f�r mich

> Gesundheit

Kann ich brauchen, nach bisher 36 Stunden am St�ck
Mfg Chris