nicht angemeldet
Hi,
ich würd gern einmal Eure Meinung hören! Wie sinnvoll findet ihr den Gedanken, nach absenden des Login Forumlares und erfolgreicher Prüfung des Benutzernamens und Passwortes zur Session ID, welche in die DB geschrieben wird, zusätzlich gegen den möglichen Diebstahl der Session ID, die IP des User mit einzutragen?
das hängt von dem Kompromisswunsch zwischen Sicherheit und Usability ab. Das Vorhaben führt zur Unbenutzbarkeit, wenn jemand die Internetverbindung neu aufbauen muss (dynamische IP-Vergabe vorausgesetzt) oder über wechselnde Proxies geht; aber es erhöht definitiv die Sicherheit. Ich persönlich lasse an dieser Stelle üblicherweise der Usability den Vorzug.
Cheatah
--
X-Self-Code: sh:( fo:} ch:~ rl:° br:> n4:& ie:% mo:) va:) de:] zu:) fl:{ ss:) ls:~ js:|
X-Self-Code-Url: http://emmanuel.dammerer.at/selfcode.html
X-Will-Answer-Email: No
X-Please-Search-Archive-First: Absolutely Yes
X-Self-Code: sh:( fo:} ch:~ rl:° br:> n4:& ie:% mo:) va:) de:] zu:) fl:{ ss:) ls:~ js:|
X-Self-Code-Url: http://emmanuel.dammerer.at/selfcode.html
X-Will-Answer-Email: No
X-Please-Search-Archive-First: Absolutely Yes