Hans: Webshop (Warenkorb) per IP managen (Sicherheitslücke?)

Hallo Leute,

in meinem Webshop werden die Warenkorbdaten in einer MYSQL-DB gespeichert, der jeweilige Warenkorb wird per IP identifiziert.

Nun mein Problem:
Die Einträge werden 24 stunden lang gespeichert, dann gelöscht. Wenn ein User die Site verlassen hat und ganz aus dem Internet geht, könnte sich doch theoretisch einem anderen User (der sich danach einwählt) die gleiche IP zugeordnet werden. dieser könnte doch dann in den Onlineshop gehen  und die Warenkorbeinträge einsehen...

Wie könnte ich das umgehen?

Danke,
Hans

  1. Hi

    in meinem Webshop werden die Warenkorbdaten in einer MYSQL-DB gespeichert, der jeweilige Warenkorb wird per IP identifiziert.

    OGOTTOGOTT!

    Nun mein Problem:
    Die Einträge werden 24 stunden lang gespeichert, dann gelöscht. Wenn ein User die Site verlassen hat und ganz aus dem Internet geht, könnte sich doch theoretisch einem anderen User (der sich danach einwählt) die gleiche IP zugeordnet werden. dieser könnte doch dann in den Onlineshop gehen  und die Warenkorbeinträge einsehen...

    Wie könnte ich das umgehen?

    Indem du den User eindeutig zuordnest. Zum Beispiel mit Sessions. Die verwendete Sprache ist dabei egal, Hauptsache du gibts dem Besucher eine eindeutige ID.

    Grüße aus Barsinghausen,
    Fabian

  2. hi

    mit IP sehr unsicher, da z.B. Firmennetz immer gleiche IP hat

    Lösung: Sessions unter PHP verwenden

    mfg

  3. Hallo

    Nicht nur dann ist das der Fall. Auch bei einem Router usw. haben viele die gleiche IP...
    Nimm Sessions zur Identifizierung. Damit solltest du dann keine (naja, weniger) Probleme haben.

    Grüße

    David

    --
    "Nobody will ever need more than 640k RAM!"
    1981 Bill Gates
  4. Moin!

    in meinem Webshop werden die Warenkorbdaten in einer MYSQL-DB gespeichert, der jeweilige Warenkorb wird per IP identifiziert.

    Oh super! Vor allem wenn du AOL-User zu deinen Kunden zählst. Da wechselt die IP IIRC alle paar Sekunden (wie ich neulich mal wieder in meinem serverlog festgestellt habe)...

    Wie könnte ich das umgehen?

    • Cookie mit Session ID
    • URL mit angehängter Session ID (mach ich am liebsten, weil ist am transparentesten.)
    • Eingebaute PHP-Sessions verwenden

    Gruß

    1. Hallo!

      Oh super! Vor allem wenn du AOL-User zu deinen Kunden zählst. Da wechselt die IP IIRC alle paar Sekunden (wie ich neulich mal wieder in meinem serverlog festgestellt habe)...

      So ein aufgelegter Blödsinn - wie soll denn sowas funktionieren?!

      MfG

      1. Hi Michael,

        So ein aufgelegter Blödsinn - wie soll denn sowas funktionieren?!

        So wie jeder grössere Proxy-Pool eben funktionieren kann:

        Dein Rechner stellt eine Anfrage an 'den Proxy' und der Load-Balancer reicht sie an einen der beteiligten Rechner weiter - der stellt dann die Anfrage. Das kann dazu führen das aufeinanderfolgende Zugriffe des selben Useres unterschiedliche IPs haben - ebenso wie es dazu führen kann das unterschiedliche User die gleiche IP haben.

        Gruss,
          Carsten

        1. Hi Carsten,

          So wie jeder grössere Proxy-Pool eben funktionieren kann:

          Dein Rechner stellt eine Anfrage an 'den Proxy' und der Load-Balancer reicht sie an einen der beteiligten Rechner weiter - der stellt dann die Anfrage. Das kann dazu führen das aufeinanderfolgende Zugriffe des selben Useres unterschiedliche IPs haben - ebenso wie es dazu führen kann das unterschiedliche User die gleiche IP haben.

          Aha... und jeder AOL-User verwendet einen Proxy?

          Grüße aus Barsinghausen,
          Fabian

          1. Moin,

            Aha... und jeder AOL-User verwendet einen Proxy?

            Es ist wohl AFAIK standardmäßig einer eingestellt (genau wie das die T-Online-Software auch macht). Und wieviele AOL-User wissen überhaupt was ein Proxy ist, bzw. wo man den umstellen kann?

            --
            Henryk Plötz
            Grüße aus Berlin
            ~~~~~~~~ Un-CDs, nein danke! http://www.heise.de/ct/cd-register/ ~~~~~~~~
            ~~ Help Microsoft fight software piracy: Give Linux to a friend today! ~~
            1. Hi Hendryk,

              Aha... und jeder AOL-User verwendet einen Proxy?

              Es ist wohl AFAIK standardmäßig einer eingestellt (genau wie das die T-Online-Software auch macht). Und wieviele AOL-User wissen überhaupt was ein Proxy ist, bzw. wo man den umstellen kann?

              Gut, so kann man das formulieren. Was mich an der Argumentationsweise störte war das leichte "AOL zaubert jedem alle 5 Sekunden eine neue IP".
              Wenn man das nun so betrachtet ist das natürlich ganz logisch, aber dennoch frage ich mich, ob AOL seinen Kunden damit eine Gefallen tut... denn dann muss ich mnich nicht wundern, warum meine Logfiles keinen Sinn ergeben *g*

              Grüße aus Barsinghausen,
              Fabian

      2. Moin!

        Oh super! Vor allem wenn du AOL-User zu deinen Kunden zählst. Da wechselt die IP IIRC alle paar Sekunden (wie ich neulich mal wieder in meinem serverlog festgestellt habe)...

        So ein aufgelegter Blödsinn - wie soll denn sowas funktionieren?!

        Falls du weist was ein Logfile ist, grep dir da einfach mal AOL-IPs raus und versuch sie über mehrere Minuten hinweg zu verfolgen, dann weist du, was ich meine.

        Gruß
        c:)

        1. Hi,

          Falls du weist was ein Logfile ist, grep dir da einfach mal AOL-IPs raus und versuch sie über mehrere Minuten hinweg zu verfolgen, dann weist du, was ich meine.

          Und wie kannst du den einzelnen User identifizieren? Woher weisst du, dass es nicht 5 oder 500 verschiedene User waren? Für so eine Lösung müsstest du sessions verwenden, was meines wissens in Logfiles nicht vorhanden ist.

          Grüße Andres Freund

          --
          ss:) zu:) ls:} fo:) de:] va:) ch:| n4:& rl:° br:^ js:( ie:% fl:( mo:|
          1. Und wie kannst du den einzelnen User identifizieren? Woher weisst du, dass es nicht 5 oder 500 verschiedene User waren? Für so eine Lösung müsstest du sessions verwenden, was meines wissens in Logfiles nicht vorhanden ist.

            Moin Andres!

            Dieses Problem stellt sich erst, wenn der Traffic auf deiner Seite halbwegs hoch ist. Wenn also jemand mit AOL-IP deine Einstiegsseite aufruft, und 20 Sek. später eine (vom Eingang verlinkte, am besten noch dynamisch erstellte) Unterseite von einer AOL-IP aufgerufen wird, kann man davon ausgehen, daß es der selbe User war, wenn ansonsten grad nicht viel los ist.

            Bei unter 50.000 Page Impressions pro Tag, dürfte das noch problemlos möglich sein (also, ich hab bisher wenigstens damit selten Probleme gehabt).

            Gruß
            c:)

      3. Moin,

        So ein aufgelegter Blödsinn - wie soll denn sowas funktionieren?!

        Wir hatten sogar vor nicht allzu langer Zeit ein Beispiel dafür hier im Forum: http://forum.de.selfhtml.org/archiv/2003/4/44448/#m242312.

        --
        Henryk Plötz
        Grüße aus Berlin
        ~~~~~~~~ Un-CDs, nein danke! http://www.heise.de/ct/cd-register/ ~~~~~~~~
        ~~ Help Microsoft fight software piracy: Give Linux to a friend today! ~~