nicht angemeldet
Login mit session_id und ip !
Hallo,
ich würd gern einmal Eure Meinung hören! Wie sinnvoll findet ihr den Gedanken, nach absenden des Login Forumlares und erfolgreicher Prüfung des Benutzernamens und Passwortes zur Session ID, welche in die DB geschrieben wird, zusätzlich gegen den möglichen Diebstahl der Session ID, die IP des User mit einzutragen?
Langer Satz! Hoffentlich nicht so verdammt viele Fehler darin.
Das heißt im weiteren Verlauf des surfen im Passwortgeschützen Bereiches prüfen ob Session ID UND Ip mit der Session ID und der IP des Benutzer übereinstimmen.
Hoffe des ist einigermaßen verständlich forumliert. :p
LG
f34rless
--
------------------
http://rem-clan.de
------------------
http://rem-clan.de
-
Hi,
ich würd gern einmal Eure Meinung hören! Wie sinnvoll findet ihr den Gedanken, nach absenden des Login Forumlares und erfolgreicher Prüfung des Benutzernamens und Passwortes zur Session ID, welche in die DB geschrieben wird, zusätzlich gegen den möglichen Diebstahl der Session ID, die IP des User mit einzutragen?
das hängt von dem Kompromisswunsch zwischen Sicherheit und Usability ab. Das Vorhaben führt zur Unbenutzbarkeit, wenn jemand die Internetverbindung neu aufbauen muss (dynamische IP-Vergabe vorausgesetzt) oder über wechselnde Proxies geht; aber es erhöht definitiv die Sicherheit. Ich persönlich lasse an dieser Stelle üblicherweise der Usability den Vorzug.
Cheatah
--
X-Self-Code: sh:( fo:} ch:~ rl:° br:> n4:& ie:% mo:) va:) de:] zu:) fl:{ ss:) ls:~ js:|
X-Self-Code-Url: http://emmanuel.dammerer.at/selfcode.html
X-Will-Answer-Email: No
X-Please-Search-Archive-First: Absolutely Yes -
Hallo,
Hi FDeriVierrless
ich würd gern einmal Eure Meinung hören! Wie sinnvoll findet ihr den Gedanken, nach absenden des Login Forumlares und erfolgreicher Prüfung des Benutzernamens und Passwortes zur Session ID, welche in die DB geschrieben wird, zusätzlich gegen den möglichen Diebstahl der Session ID, die IP des User mit einzutragen?
Langer Satz! Hoffentlich nicht so verdammt viele Fehler darin.
geht so :)
Das heißt im weiteren Verlauf des surfen im Passwortgeschützen Bereiches prüfen ob Session ID UND Ip mit der Session ID und der IP des Benutzer übereinstimmen.
macht eigentlich garkeinen Sinn, der erste AOL-user und du bist raus :)
die ersten beiden proxy-user - und du bist raus.
die ersten beiden die aus einem NAT-Netzwerk zugreifen und ....Hoffe des ist einigermaßen verständlich forumliert. :p
ich hoffe ich hab's richtig verstanden!
LG
f34rlessGruß, der Hilker
-
Hallo!
die ersten beiden proxy-user - und du bist raus.
die ersten beiden die aus einem NAT-Netzwerk zugreifen und ....Nicht, wenn du aus Session ID UND IP eine ID generierst.
mfg
frafu-
Hallo!
die ersten beiden proxy-user - und du bist raus.
die ersten beiden die aus einem NAT-Netzwerk zugreifen und ....Stimmt, aber wie willst du dann noch validieren?
Nicht, wenn du aus Session ID UND IP eine ID generierst.
mfg
frafumfg, der Hilker
-
Hallo,
Nicht, wenn du aus Session ID UND IP eine ID generierst.
Mhhhhh, ist eine Überlegung wert.
Vielleicht andere Vorschläge?
Bin für alles offen.LG
f34rless--
------------------
http://rem-clan.de
-
-
-
Hallo,
ich würd gern einmal Eure Meinung hören! Wie sinnvoll findet ihr den Gedanken, nach absenden des Login Forumlares und erfolgreicher Prüfung des Benutzernamens und Passwortes zur Session ID, welche in die DB geschrieben wird, zusätzlich gegen den möglichen Diebstahl der Session ID, die IP des User mit einzutragen?
Langer Satz! Hoffentlich nicht so verdammt viele Fehler darin.
Das heißt im weiteren Verlauf des surfen im Passwortgeschützen Bereiches prüfen ob Session ID UND Ip mit der Session ID und der IP des Benutzer übereinstimmen.
Hoffe des ist einigermaßen verständlich forumliert. :p
LG
f34rlessNoch eine Lösung wäre, das ganze über Cookies zu lösen, was aber wiederum voraussetzt, dass die Zielgruppe Cookies benutzt...
-
Hallo,
Noch eine Lösung wäre, das ganze über Cookies zu lösen, was aber wiederum voraussetzt, dass die Zielgruppe Cookies benutzt...
Und genau aus diesem Grund verzichte ich auf Cookies. Da ich nicht so derb viel Erfahrung mit Login Scripten habe wollte ich eben diesbezüglich eure Meinung hören.
LG
f34rless--
------------------
http://rem-clan.de
-
-
Hallo,
da muss man sicher unterscheiden, wer die Session entführt.
Gegen eine "man in the middle attack" hilft Dir das überhaupt nicht. Und gegen eine Entführung von Sessions auf einem shared Host hilft eigentlich nur eine vernünftige Einrichtung desselben.Leider sind die Dinger immer noch zu oft löchrig wie ein Schweizer Käse.
LG
Chris -
Hallo,
Ich würde euch bitten, vielleicht einmal das Login zu testen.
http://www.german-multigaming.de/index.php
Ich weiß es fehlen ncoh eine Menge Dinge, aber ich möchte nicht alles 25x mal machen, deswegen bitte ich um einen kleinen Vorabtest.Danke lieb Leute
LG
f34rless--
------------------
http://rem-clan.de-
Hallo,
Hallo,
Ich würde euch bitten, vielleicht einmal das Login zu testen.
http://www.german-multigaming.de/index.php
Ich weiß es fehlen ncoh eine Menge Dinge, aber ich möchte nicht alles 25x mal machen, deswegen bitte ich um einen kleinen Vorabtest.Danke lieb Leute
LG
f34rlessBenutzername: tester
Passwort: testerLG
f34rless--
------------------
http://rem-clan.de
-