Noch was:
Warum denn nicht den HTTP_USER_AGENT??? Solange der sich über die Session nicht verändert (oder nicht existiert)ist doch alles klar, oder? Ich will nur nicht riskieren, das die hälfzte der leute andauernd wegen solchen Sicherheits-Featureas rausfliegt!
REMOTE_ADDR - auch gut, aber was ist mit Proxys?
Eine IP-Adresse ist nicht eineindeutig einem User zuzuordnen;
Vor allem ist sie nicht fälschbar. Diese Angabe zu verwenden schränkt den Kreis der potentiellen "Missbräucher" gewaltig ein - nämlich auf diejenigen, die hinter dem selben Proxy sitzen. Effektiv dürfte damit höchstens noch der Systemadministrator in Frage kommen, also "Spionage innerhalb der Firma", Mitarbeiterkontrolle. Der Rest der relevanten Header ist fälschbar (wie gesagt, von REMOTE_PORT weiß ich es nicht) und damit auch keine Hürde, wenn es erst mal so weit gekommen ist.
Zu REMOTE_ADRESS kann ich nur folgendes sagen. Ich hatte mal nicht daran gedacht, das ich die Domain bei einem anderen Provider hatte, als die eigentliche Homepage und da umgeleitet wurde, wahrscheinlich über einen Proxy, denn komischerweise hatten alle Leute dieselbe REMOTE_ADRESS, und das war die des weiterleitenden Providers!
Das kann ich zwar verhindern, aber kann sowas nicht auch zwichen durch passieren, ohne dass ich Einfluß darauf habe?
Aber das sieht mir auch schon recht sicher aus. Aber wenn man einmal eine Verbindung hergestellt hat, ist ja schön und gut, wenn da 15 Startionen zwischen sind, kann es nicht sein das sich da von selbst irgend ein weg ändert, über einen anderen Proxy? Ich muß gleich nochmal nachgucken, ich meine aber ich hätte es mal gehabt, das gleiche SessionID aber verschiedene IP Adresse in den Logs standen?!?!? Oder kann das nicht sein?
Nochmal kurz zur Fäkschungssicherheit, ich denke man kann ALLES was man dem Server schickt beeinflussen, wenn man sich da entsprechend auskennt. Mit der IP ist zwar erstmal dumm wenn man die eigene "ändert", denn dann kommen die Antworten woanders an, oder? Gibt es tatsächlich keine Möglichkeit, da irgendeinen bösen proxy oder was weiß ich zwischenzuhängen, und so irgendwie trotz falscher IP (indem man so tut als hätte man die andere IP, und die Antworten wie auch immer abfängt?) komunizieren zu können?
Aber was Refferer-Logs sind verstehe ich jetzt gar nicht mehr. Ich dachte das wären die "normalen" Apache-Logfiles?! Was hat das mit verschiedenen Benutzern zu tun? Wie kann man bitte "eigene" Refferer-Logs haben, und vor allem wo? Meine eigenen Refferer bringen mir da ja nichts!
Viele Grüße
Andreas