Moin!

Verhindern kann session.referer_check, daß irgendjemand von irgendwo irgendwie auf die geschützten Seiten kommt.

... Ich kann jeden Referer an den Server senden, der mir passt ...

Diese obige Aussage von Dir, und folgendes Zitat aus dem Manual:
__Wenn der Referer vom Client gesendet___ und die Zeichenkette nicht gefunden wurde, wird die eingebettete Session-ID als ungültig gekennzeichnet.

läßt doch den Schluß zu, daß die Verwendung von session.referer_check nicht Wirklich Sinn macht.

Gut erkannt.

Unter definierbaren Umständen (also z.B. Intranet) kann man natürlich durch Installation bzw. Nicht-Installation entsprechender Software garantieren, dass immer der richtige Referrer gesendet wird, solange die Browser normal genutzt werden. Dann ist aber der zusätzliche Schutzeffekt des Referrer-Checks irgendwie nicht wirklich vorhanden, denn ein Intranet könnte man ja auch aufgrund des bestimmbaren IP-Raumes eingrenzen und den Zugriff ansonsten verweigern.

Echt verhindert werden Übernahmen von Sessions durch referer-Check sowieso nicht. Es wird nur schwieriger, durch zufälliges Raten anzugreifen. Solch ein Rate-Angriff ist aber allein durch die Session-ID, welche man ja richtig tippen muß, schon äußerst unwahrscheinlich.

Der einzige wirklich denkbare Angriff wäre, dass die übermittelten Daten abgehört werden, um so das Raten zu umgehen. Das dürfte aber nur bei wirklich wichtigen Anwendungen relevant werden und ist mit SSL recht einfach zu verhindern.

- Sven Rautenberg