Jan Huss: Momentane Seitenbesucher eindeutig identifizieren

Hallo,

ich bin gerade dabei ein Internetprojekt zu entwickeln, wobei einige Nutzer im Kundenmenü Einstellungen zu Ihren Seiten vornehmen können.

In dieses Kundenmenü muss man sich mit UserId und PW einloggen. Nun möchte ich verhindern, dass irgendjemand das Einloggen umgeht, indem er einfach die nachfolgenden Scripte mit den benötigten Parametern aufruft.

Meine Idee: Wenn sich der User einloggt, so wird in einer Datenbank seine IP-Adresse hinterlegt. Wenn nun ein Nutzer auf Konfig-Seiten zugreift wird überprüft ob er sich mit seiner momentanen IP wirklich für die Seiten eingeloggt hat.

Haltet Ihr diesen Weg für sinnvoll?

Gruß Jan

  1. Hallo  Jan

    So ganz verstanden was du da machen willst hab ich zwar nicht aber oft werden solche probleme einfach
    so gelößt:

    Wenn der user sich einlogt, bekommt er eine Session-id.
    Diese wird mit ? immer hinten an die URL angehängt.
    Nach dem einloggen kann er somit beliebige Scripts aufrufen und an der session-id erkannt werden.
    Nach dem logout wird die session-id dann wieder gelöscht.

    Tschüs

    Daniel

    1. Ihr habt recht, das Problem über Session-IDs zu klären scheint mir das einfachste zu sein.

      Danke für die Anregung.

      Gruß Jan

  2. hi there,

    das sinnvollste wäre an dieser stelle mit sessions zu arbeiten. nach dem einloggen bekommt jeder user eine eindeutige session id, die ihn identifiziert.

    die session id wird durch die seiten durch den "fallback" mechanismus mitgeschliffen, indem sie an jeden link mit drangehängt wird (bsp: amazon, cdnow und alle anderen größeren shopping sites, denn es wäre unklug immer die ganze bestellung von einer seite an die nächste zu übergeben...)

    alte session id's werden dann nach einem tag ohne benutzung gelöscht...

    cu pete

    ps: zusätzlich könnte man natürlich einen ip-schutz einbauen...

  3. Hallo,

    Das eigentliche Problem scheint ja geklärt, trotzdem noch mal ne Warnung:

    User über IP's zu identifizieren geht NICHT. Der gleiche User kann innerhalb einer Session die IP wechseln
    und es könne mehrere User über die gleiche IP auf der Seite sein. (Im wesentlichen durch Proxies
    verursacht, dazu brauchts noch nichtmal den IP-Wechsel der Dial-up Accounts.)

    Gruss,

    Carsten