nicht angemeldet
Session mit / ohne REMOTE_ADDR
Hallo Forumsgemeinde,
da ist mir doch heute eine Webanwendung im Browser aufgeschlagen wo nach einer Anmeldung mit uid/pas eine Session aufgebaut wird. Das ist ja soweit ok, aber wenn ich über meine HTTP-VirusWalls gehe, so wie sich das gehört (!), habe ich bei jedem HTTP-Request nach draußen eine andere IP-Adresse.
Und genau in diesem Fall geht bereits die Anmeldung an oben erwähnter Webanwendung in die Hose weil die Programmierer dieser Webanwendung offensichtlich die IP-Adresse mit heranziehen und der Session-Aufbau in denen ihrer Anwendung nur funktioniert, wenn sich innerhalb der Session (in diesem Fall bereits beim Sessionaufbau) die IP-Adresse nicht ändert.
Nun, die Programmierer wiederum werden sicher einen driftigen Grund haben, die IP-Adresse des UserAgents zu verwenden.
Welchen Grund könnten die denn haben und welche Alternativen gibts?
Na, ich hoffe, dass ich mich nicht ungedrückt verausständlich habe.
Viele Grüße, Erwin
--
SELFforum - Das Tor zur Welt!
Theoretiker: Wie kommt das Kupfer in die Leitung?
Praktiker: Wie kommt der Strom in die Leitung?
SELFforum - Das Tor zur Welt!
Theoretiker: Wie kommt das Kupfer in die Leitung?
Praktiker: Wie kommt der Strom in die Leitung?
-
Hi,
Welchen Grund könnten die denn haben und welche Alternativen gibts?
Die Entwickler der genannten Webanwendung haben Sicherheit implementiert indem sie immer wieder eine rundreisende authentifizierte Session-ID mit der IP-Adresse des Requests vergleichen und wenn die Session-ID authentifiziert ist, dann die erhaltene IP-Adresse mit der bei dem Sitzungsstart gespeicherten IP-Adresse vergleichen. Dadurch versprechen sie sich ein Mehr an Sicherheit, was aber de facto bestenfalls praktisch gegeben ist.
Eine Vermutung zugegebenermassen, aber ich habe mal so "schlauerweise" Sicherheit eingefuellt.
Na, ich hoffe, dass ich mich nicht ungedrückt verausständlich habe.
Wie immer, ja.
Gruss,
Lude--
"In Berlin wird gemobbt!"