Hi,
ich bin gerade dabei, ein kleines login-script zu schreiben. Nun hatte ich die Idee, man könne doch einfach die gehashte IP-Addresse als Session-Namen verwenden um sicherzugehen, dass das Sitzungs-cookie nur für einen einzigen Rechner gültig ist.
das ist dann ein Denkfehler. Dann würden sich bei dir alle Studenten und Mitarbeiter einer Uni, die über denselben Router nach draußen gehen, eine Session teilen. Oder Tausende von Angestellten eines mittelgroßen Unternehmens.
Andererseits hätten die Kunden mancher Internet-Provider wie z.B. AOL bei dir keine Chance, überhaupt mal eine Session fortzuführen, denn bei ihnen wird fast jeder Request über einen anderen zufällig zugeteilten Proxy geleitet; die IP, mit der der Request bei dir aufschlägt, ändert sich permanent.
Funktionieren tut's bis jetzt prima
Ja, in einem kleinen Teil der denkbaren Fälle.
aber leider bin ich kein Sicherheitsexperte und wüsste gerne, ob das grober Unfug ist, was ich da treibe ...
Es ist grober Unfug, finde ich. Nicht mal unbedingt vom Standpunkt der Sicherheit (je nachdem, mit was für heiklen Daten du hantierst), sondern schon vom Standpunkt der Usability.
Ciao,
Martin
They say hard work never killed anyone, but I figure, why take the risk?
(Ronald Reagan, US-Präsident 1981-1989)
Selfcode: fo:) ch:{ rl:| br:< n4:( ie:| mo:| va:) de:] zu:) fl:{ ss:) ls:µ js:(