Hi,

ich bin gerade dabei, ein kleines login-script zu schreiben. Nun hatte ich die Idee, man könne doch einfach die gehashte IP-Addresse als Session-Namen verwenden um sicherzugehen, dass das Sitzungs-cookie nur für einen einzigen Rechner gültig ist.

was hat die IP-Adresse bitte schön mit einem Rechner zu tun?

Funktionieren tut's bis jetzt prima; aber leider bin ich kein Sicherheitsexperte und wüsste gerne, ob das grober Unfug ist, was ich da treibe ...

Sehr grober Unfug. Es ermögllicht jedem, der zufällig die gleiche IP-Adresse hat, ohne Authentifizierung einzudringen; gleichzeitig wird jeder, dessen IP-Adresse wechselt, vom System ausgeschlossen. Genauso gut könntest Du den User-Agent-String als Kriterium wählen, gerne auch nach Kürzung auf den für serverseitige Betrachtungen relevanten Teil (also auf "", ohne die Anführungszeichen).

Cheatah