Hello,

Eine IP-Adresse wird doch nur gewechselt, falls der User dies manuell tätigt oder zum Beispiel die Telekom einen Adressen-Wechsel erzwingt (IMHO alle 24h?). Wird sie einmal gewechselt, weil er z.B. um Mitternacht eine neue IP aufgezwungen bekommt: neu einloggen und für die nächsten 24h (?) sollte das Problem nicht mehr auftauchen.

Nein, AOL-User bekommen mit jedem Request eine neue IP-Adresse, zwar i.d.R. aus demselben Netz (anderes konnte ich bisher nicht feststellen) aber eben eine andere.
Mein Tiscali-Zugang trennt täglich mehrfach, wenn länger als 15min. (geschätzt) kein Traffic stattfindet, gibt mir aber sofort eine neue IP, wenn ich wieder einen Request auslöse (sofern sie nicht mal wieder eine Zahlung aus Anno Knölf vermissen *grummel*).

Zu Frage 2:
Es mag Szenarien geben, da ist der Verlust einer begonnenen Session nicht so schlimm. Aber eigentlich benutzt man Sessions doch gerade, um Informationen mitzuschleppen. Egal ob es sich dabei um einen Warenkorb, die Information "eingeloggt - ich bearbeite gerade Text" oder sonst etwas handelt - in allen Fällen würde wertvolle Arbeit des Nutzers zerstört, wenn dieser aufgrund seines nicht beeinflussbaren IP-Wechsels komplett an den Anfang zurückgesetzt wird.

Ein Benutzer in einem vernünftigen[tm] System sollte die Möglichkeit haben, auf dem "Lost-Connection-Point" wieder aufzusetzen und die Session fortzusetzen oder eben selber durch leichte verständliche Frage entscheiden zu können, dass die unterbrochene Session in den Trahcan kann.

Aber alles dies bringt keinen qualitativen Sicherheitsgewinn, sondern nur einen quantitativen: Man muß mehr in seinem angreifenden HTTP-Request richtig raten (oder herausgefunden haben). Wenn es tatsächlich um wichtige Dinge geht, ist Verschlüsselung die einzig gangbare Methode. Dann kann immerhin auf dem Übermittlungsweg nichts abgehört werden. DAS wäre eine qualitative Verbesserung der Sicherheit.

Die Schlüssel dürfen dann aber auch nicht über das Netz ausgetauscht werden, sondern ähnlich wie TANs auf einem separaten Weg ausgetauscht werden. Da wäre es nun hilfreich, wenn man in Browsern lokale Systemvariablen setzen könnte, die dann z.B. mittels JavaScript abgefragt werden können. Dazu wäre ein eigener input-Type im HTML ebenfalls sinnvoll, der niemals mit übertragen wird. Wir haben dann aber die Unbequemlichkeit, diesen Schlüsselwert bei jedem Login zusätzlich eingeben zu müssen, denn das Speichern von TANs auf dem System ist ja schon wieder eine Sicherheitslücke.

Ich denke, da die Browser vornehmlich von Firmen verteilt werden, die an echter Sicherheit nicht interessiert sind, wird das aber nicht machbar sein, es sei denn, dass hier einzelne Hersteller mal einen Deal mit der EU machen, die aber wohl (siehe Softwarepatente) auch schon von den Geheimdiesnten der Imperatoren unterwandert ist :-((

Wir haben hier allerobersten politischen Handlungsbedarf, wenn uns unserer Freiheit lieb ist.
Genauso wäre die Einführung eines erweiterten Mail-Protokols "VMTP" durch unsere Politik wünschenswert, denn hier geht es inzwischen darum, wesentliche Interessen unseres Europas und seiner Wirtschaft/seiner menschen zu schützen.

Über derartig wichtige Dinge wird aber nicht debattiert, obwohl da eine gute gesetzliche Regelung jährlich Milliarden Schaden verhindern würde. Dann bräuchten wir nicht mehr über die paar Euro für Sozialhilfe diskutieren.

Harzliche Grüße aus http://www.annerschbarrich.de

Tom