Re: IP und proxy-server - baseportal Forum - Web-Anwendungen einfach, schnell, leistungsfähig!
baseportal
English - Deutsch "Es gibt keine dummen Fragen - jeder hat einmal angefangen"

 baseportal-ForumDie aktuellsten 10, 30, 50, 100 Einträge anzeigen.  

 
 Ausgewählter Eintrag: Zur Liste 
    Beitrag von Sander (8133 Beiträge) am Freitag, 2.September.2005, 13:50.
    Re: IP und proxy-server

      also bei ner sid muß der name nicht sichbar sein wenn du stattdessen die userid übergibst. oder ne extra-session-db führst, wo der username temporär hinterlegt wird. dann wird nur nach der session gesucht, daraus der nutzername gelesen und dann entschieden, ob zugang oder nicht. in dem falle muß die sessionid sehr wasserdicht sein. am besten eine zufallszahl. in der sessiondb kannst du dann auch den sessionverfall abspeichern, der ließe sich ja nicht mehr aus der sid errechnen. <-- sehr sicher

      cookie sollte genauso sicher sein, wenn die browserhersteller ihre bugs beseitigen und keine neuen auftauchen. vor kurzem war was beim ie, da konnte in einer sehr bestimmten konstellation eine website das cookie einer fremden domain auslesen. im normalfall geht das nicht, nur bei manipulation der website ähnlich wie beim phishing

      >> Selbst bei noch so umfangreichen Verschlüsselungs-Techniken, wenn Jemand vergißt sich auszuloggen, kommt man noch rein.
      

      für eine bestimmte zeit ja, ne sesion soll ja eigentlich irgendwann verfallen


    Antworten

 Alle Einträge zum Thema: Zur Liste 
    Beitrag von Claus (4645 Beiträge) am Donnerstag, 1.September.2005, 18:51.
    IP und proxy-server

      Bin momentan etwas ratlos, nachdem ich diesen Thread gelesen habe;-)

      http://baseportal.de/cgi-bin/baseportal.pl?htx=/baseportal/forum&wcheck=1&Pos=9520

      Bin bisher davon ausgegangen, daß man bei der Annmeldung ins web bei seinem Provider eine feste IP bekommt, die bis zur Abmeldung aus dem web beibehalten wird (Ist bei mir jedenfalls so). Gibt schließlich ca 4,3 Mrd Möglichkeiten für die Erstellung einer IP;-)

      Da ich aber möglichst alle "Unwegsamkeiten" ausschließen wollte, habe ich mal im web bei google gestöbert und bin danach im Forum auf vorgenannten Eintrag gestoßen.

      Ist das immer noch so, daß teilweise im "Sekundentakt" die IP geändert wird? Bin kein Kunde von AOL & Co und habe daher keine Info darüber.

      Müßte sonst umdenken;-)

      Gruß

      Claus

     Antworten

    Beitrag von Marco (840 Beiträge) am Donnerstag, 1.September.2005, 20:10.
    Re: IP und proxy-server

      Hallo Claus,

      die IP-Adresse wird bei manchen Providern bei jedem Seiten-Aufruf geändert, je nach dem, auf welchem Proxy-Server man landet.

      Du kannst die IP-Adresse für die Identifikation der Benutzer vergessen, da brauchst Du schon eine Session-ID, die Du immer mitreichst oder etwas ähnliches.


      Marco

     Antworten

    Beitrag von Claus (4645 Beiträge) am Donnerstag, 1.September.2005, 22:15.
    Re: IP und proxy-server

      Hallo Marco,

      danke,

      hatte ich also doch richtig gelesen. Wie geschrieben, bei mir bleibt sie konstant.

      Mit session-ID arbeite ich bereits, dachte nur, ich könnte da noch auf diesem einfachen Weg 'ne zusätzliche Prüfung einbauen.

      Werde also mal über "Plan B" nachdenken sprich, die Session-ID etwas "wasserdichter" machen oder über 'ne Cookie-Variante nachdenken;-)

      Gruß

      Claus

     Antworten

    Beitrag von Sander (8133 Beiträge) am Donnerstag, 1.September.2005, 23:32.
    Re: IP und proxy-server

      beim sessionhandling von php ist es so gelöst: wenn cookies akzeptiert werden, landet alles in nem temporären cookie, das nur so lange existiert, wie das browserfenster geöffnet ist, bzw bis die session zerstört wird. sollte der cookietest negativ ausfallen, werden alle daten in ner sessiondatei auf dem server gespeichert. vorteil cookie: man braucht keine sessionid rumschleppen

     Antworten

    Beitrag von Claus (4645 Beiträge) am Freitag, 2.September.2005, 08:02.
    Re: IP und proxy-server

      Hallo Sander,

      Danke, geht nicht nur bei php, sondern habe das auch schon mit basportal erfolgreich getestet;-)

      Hatte ja eigentlich gedacht, mit dem IP-Abgleich die "Ideal-Lösung" gefunden zu haben. War leider ein Trugschluss;-)

      Problem bei der session-Id ist IMHO, das sie sichtbar und damit auch manipulierbar ist.

      Bin erst vor kurzem auf die Cookies gestoßen und habe genauso wie Du schreibst, bereits ein anderes Prob mit temporären Cookies lösen können.

      Daher dachte ich jetzt daran, die Zugangsdaten eventuell ebenfalls auf diesem Wege zu "verwalten".

      Problem ist allerdings, daß durch viele "schwarze Schafe" im Web dieses eigentlich gute Instrument stark in Verruf geraten ist.

      Muß man als Anbieter eines Internetangebotes erstmal viel Vertrauen wieder aufbauen;-)

      Gruß

      Claus

     Antworten

    Beitrag von Sander (8133 Beiträge) am Freitag, 2.September.2005, 11:03.
    Re: IP und proxy-server

      >> Problem bei der session-Id ist IMHO, das sie sichtbar und damit auch manipulierbar ist
      

      kommt drauf an, wie geheim dein berechnungsschlüssel ist. man kann die session hijacken, aber manipulieren ist schwer.

      >> Problem ist allerdings, daß durch viele "schwarze Schafe" im Web dieses eigentlich gute Instrument stark in Verruf geraten ist.
      

      hmm, eher durch die Presse, weil cookies können eigentlich keinen Schaden anrichten. Die Presse meinte irgendwann, sie sind böse, spionieren und übertragen viren und tollwut

     Antworten

    Beitrag von Claus (4645 Beiträge) am Freitag, 2.September.2005, 11:39.
    Re: IP und proxy-server

      Hallo Sander,

      Was ist denn Deiner Meinung nach sicherer?

      Mal abgesehen davon, daß bei dem Modell mit session-Id der Name ja auch mit sichtbar ist und somit lediglich noch das Passwort selbst als Barriere übrigbleibt.

      Beim temporären Cookie kannste von "draussen" nichts sehen, im Gegensatz zum "durchschleifen".

      Ich denke mal, Letzteres ist sicherer.

      Selbst bei noch so umfangreichen Verschlüsselungs-Techniken, wenn Jemand vergißt sich auszuloggen, kommt man noch rein.

      Das Beste wird wohl eine Kombi aus beiden Teilen sein.

      Gruß

      Claus

     Antworten

    Beitrag von Sander (8133 Beiträge) am Freitag, 2.September.2005, 13:50.
    Re: IP und proxy-server

      also bei ner sid muß der name nicht sichbar sein wenn du stattdessen die userid übergibst. oder ne extra-session-db führst, wo der username temporär hinterlegt wird. dann wird nur nach der session gesucht, daraus der nutzername gelesen und dann entschieden, ob zugang oder nicht. in dem falle muß die sessionid sehr wasserdicht sein. am besten eine zufallszahl. in der sessiondb kannst du dann auch den sessionverfall abspeichern, der ließe sich ja nicht mehr aus der sid errechnen. <-- sehr sicher

      cookie sollte genauso sicher sein, wenn die browserhersteller ihre bugs beseitigen und keine neuen auftauchen. vor kurzem war was beim ie, da konnte in einer sehr bestimmten konstellation eine website das cookie einer fremden domain auslesen. im normalfall geht das nicht, nur bei manipulation der website ähnlich wie beim phishing

      >> Selbst bei noch so umfangreichen Verschlüsselungs-Techniken, wenn Jemand vergißt sich auszuloggen, kommt man noch rein.
      

      für eine bestimmte zeit ja, ne sesion soll ja eigentlich irgendwann verfallen

     Antworten

    Beitrag von Claus (4645 Beiträge) am Freitag, 2.September.2005, 14:27.
    Re: IP und proxy-server

      Hallo Sander,

      erstmal besten Dank für die Hilfe. Werde mir das Alles durch den Kopf gehen lassen und das ganze mal unterschiedlich ausprobieren.

      Pobiere gerade mal die Cookie-Variante, ist eigentlich nicht schlecht, wenn man dann auch noch die user davon überzeugen kann, daß man keine "hinterhältigen Ziele" damit verfolgt.

      Schade, daß das mit der IP nicht klappt. Wäre so schön gewesen, aber man kann im Leben ja nicht Alles haben.

      Gruß

      Claus

     Antworten


     
 Liste der Einträge von 22651 bis 22801:Einklappen Zur Eingabe 
Neueste Einträge << 10 | 9 | 8 | 7 | 6 | 5 | 4 | 3 | 2 | Neuere Einträge < Zur Eingabe  > Ältere Einträge | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 >> Älteste Einträge


Zurück zur Homepage

© baseportal.de. Alle Rechte vorbehalten. Nutzungsbedingungen



powered in 0.05s by baseportal.de
Erstellen Sie Ihre eigene Web-Datenbank - kostenlos!