Johannes Zeller: session_ID erzeugen

Beitrag lesen

Hallo Wolfgang,

Ich habe im Internetgesurft und mein Sohn hat mich auf eine Seite aufmerksam gemacht www.mzee.com und ich war beeidruckt wie eine session_ID verhindert das eine Umfrage oder Abstimmung fetürkt werden kann.

Das kann auch durch die Verwendung von Sessions nicht verhindert werden. Zwar kann man verhindern, dass innerhalb der gleichen Session mehrmals abgestimmt wird, das kann man aber ganz einfach umgehen, im einfachsten Fall, indem man den Browser beendet und neu startet.

Eine Session dient dazu, den Benutzer während eines Besuchs auf einer Website eindeutig identifizieren zu können. Dadurch wird jedem Besucher eine ID vergeben, die dessen Browser bei jedem Aufruf einer Seite des Angebots während des Besuchs an den Server sendet. Normalerweise wird dies durch Cookies oder dadurch, dass die Session-ID an jeden angebotsinternen Link angehängt wird, realisiert.

Auch die Session-ID dauerhaft in einem Cookie zu speichern bringt wenig, da alle mir bekannten Browser die Möglichkeit bieten, gespeicherte Cookies zu löschen.

Eine andere Alternative ist es, auf dem Server eine Liste von IP-Adressen zu speichern, die bereits abgestimmt haben und bei jedem Abstimmungsversuch die IP-Adresse des Besuchers gegen diese Liste zu prüfen. Das hat verschiedene Nachteile, z.B. kann von mehreren Leuten, die über die gleiche IP-Adresse online gehen (Familienmitglieder, Schüler in der Schule, etc.) jeweils nur einer abstimmen. Außerdem lässt sich das auch umgehen, indem man die Verbindung zum Internet trennt und sich dann neu verbindet. Bei fast allen privat genutzten Internet-Anschlüssen in Deutschland ist es so, dass bei jeder Einwahl der Benutzer von seinem Provider eine andere IP-Adresse zugewiesen bekommt.

Die einzige halbwegs funktionierende Methode ist die, nur angemeldete Benutzer abstimmen zu lassen. Aber auch das lässt sich umgehen, nämlich durch das anlegen neuer Accounts.

Fazit: Es ist nicht zuverlässig möglich, einen Besucher über die Dauer eines einzelnen Besuchs heraus zuverlässig zu identifizieren. Das einzige, was man Erreichen kann, ist den Aufwand, den man Betreiben muss, damit dies nicht geschicht, zu erhöhen.

Schöne Grüße,

Johannes