Was haltest Du davon, bei einem Loginsystem mit zeitlicher Begrenzung (also zB. automatischer Logout nach 15 Minuten) als eine _zusätzliche_ Sicherheitsstufe bei jedem Seitenaufruf nicht nur den Loginstatus zu überprüfen

Ob das sinnvoll ist, hängt ganz von deiner Site und deren Anwendungsfällen ab.

Bei den meisten Sites, bei denen ich mich einlogge, will ich nicht automatisch nach 15 Minuten rausgeworfen werden, sondern am liebsten ewig eingeloggt bleiben. Jemand müsste entweder die Session stehlen oder sich meines Computers bemächtigen, um das auszunutzen – dagegen gibt es jeweils Sicherungen.

Bei einigen wenigen Sites (Banking z.B.) gibt es einen sichtbaren Timer, der die Session in unter 10 Minuten terminiert. Das ist auch äußerst sinnvoll.

sondern auch, ob die IP des Clients die selbe ist wie zum Zeitpunkt des Logins?
Oder sind da dynamische IPs ein Argument, das _nicht_ zu tun?

Wovor willst du dich damit schützen? Das Erschweren von Session Hijacking würde mir einfallen. Natürlich sind wechselnde IP-Adressen ein Argument dagegen. Single-Sign-On-Dienste nutzen die IP-Adresse höchstens als ein Merkmal unter vielen, um Session Hijacking zu erkennen. User-Agent und geografische Position sind weitere Daten, die einfließen.

Generell kann ich drei Regeln empfehlen:

• Als Laie nichts sicherheitskritisches selbst erfinden und implementieren
• Vorhandene, stabile, auf Sicherheit überprüfte Systeme einsetzen
• In seriösen Quellen recherchieren (d.h. nicht das SELFHTML Forum fragen, denn dies ist kein Forum, in dem ausgewiesene Security-Experten Grundlagen dozieren)

Mathias