Moin,

Wenn auf dem Bankserver die Transaktionen an eine Session gebunden sind, dann kann der Bösewicht mit der gefischten TAN von seinem PC aus auf das Konto doch nicht zugreifen?

Der Bösewicht kann ja auch einfach die PIN mitabgefangen haben und sich dann nach eigenem Gusto eine eigene Session aufmachen.

Ich kenne mich mit dem Thema safe-Transaktionen nicht besonders aus, aber die simpelste und obligatorische Prüfung auf dem Server während einer Session wäre doch bei jeder Transaktion zu prüfen ob der Client, der die Session gestartet hat, immer noch die IP-Adresse hat, die beim Öffnen der Session registriert wurde?

Nein, das wäre eine extrem blöde[tm] Idee[1]. Es gibt eine Reihe Benutzer (vermutlich die meisten AOLer) die hinter ganzen Proxy-Batterien sitzen, zwischen denen irgendeine Form von Load Balancing gemacht wird. Da kann es im Prinzip problemlos passieren, dass jede Anfrage von einem anderen Proxy kommt.

(Natürlich werden die Proxies sich nicht in SSL-Verbindungen einmischen, aber selbst mit Keep-Alive wird der Client davon in der Regel mehrere öffnen die dann im wieder über verschiedene Proxies gehen können.)

[1] Was quasi eine Garantie dafür ist, dass irgendjemand sie implementiert hat. Keine Frage.