Hi,
»» Welche Rolle spielt die (öffentliche) IP-Adresse?
Sie verhindert wohl das Einbeziehen der IP in die Überprüfung, ob es sich um den "selben" Nutzer handelt - wie sinnvoll auch immer man das überhaupt finden mag.
Mir war schon klar das Vincent darauf zielte und ich dachte darauf zu reagieren wäre unnötig. Aber nun denn...
Natürlich bietet eine IP keine "einzige" Möglichkeit der Überprüfung, und wenn mein Szenario genau dieses Problematik einbezieht eben gleiche IP, frage ich mich warum Vincent trotzdem darauf anspringt wie ein Hund auf Knochen ;-)
Trotzdem ist die IP-Einbeziehung gerade bei Session eine Überlegung wert, denn man kann zwar Proxys nutzen aber man kann selten, es sei denn wie in meinem Szenario, als Angreifer die IP des Opfers wählen.
Somit ist "if(ip_user != ip_angreifer)..." durchaus als Möglichkeit anzusehen. Der einzige Nachteil, der dabei passieren kann, sind wechselnde IP's innerhalb der einen Session. Da würden die User dann zum erneuten Einloggen aufgefordert.
Jetzt stellt sich nur die Frage wie oft kommt dieser Nachteil wirklich zum Tragen.
Mike