Beitrag von Claus (4645 Beiträge) am Donnerstag, 1.September.2005, 18:51.
IP und proxy-server
Bin momentan etwas ratlos, nachdem ich diesen Thread gelesen habe;-)
http://baseportal.de/cgi-bin/baseportal.pl?htx=/baseportal/forum&wcheck=1&Pos=9520
Bin bisher davon ausgegangen, daß man bei der Annmeldung ins web bei seinem Provider eine feste IP bekommt, die bis zur Abmeldung aus dem web beibehalten wird (Ist bei mir jedenfalls so). Gibt schließlich ca 4,3 Mrd Möglichkeiten für die Erstellung einer IP;-)
Da ich aber möglichst alle "Unwegsamkeiten" ausschließen wollte, habe ich mal im web bei google gestöbert und bin danach im Forum auf vorgenannten Eintrag gestoßen.
Ist das immer noch so, daß teilweise im "Sekundentakt" die IP geändert wird? Bin kein Kunde von AOL & Co und habe daher keine Info darüber.
Müßte sonst umdenken;-)
Gruß
Claus
Antworten
Beitrag von Marco (840 Beiträge) am Donnerstag, 1.September.2005, 20:10.
Re: IP und proxy-server
Hallo Claus,
die IP-Adresse wird bei manchen Providern bei jedem Seiten-Aufruf geändert, je nach dem, auf welchem Proxy-Server man landet.
Du kannst die IP-Adresse für die Identifikation der Benutzer vergessen, da brauchst Du schon eine Session-ID, die Du immer mitreichst oder etwas ähnliches.
Marco
Antworten
Beitrag von Claus (4645 Beiträge) am Donnerstag, 1.September.2005, 22:15.
Re: IP und proxy-server
Hallo Marco,
danke,
hatte ich also doch richtig gelesen. Wie geschrieben, bei mir bleibt sie konstant.
Mit session-ID arbeite ich bereits, dachte nur, ich könnte da noch auf diesem einfachen Weg 'ne zusätzliche Prüfung einbauen.
Werde also mal über "Plan B" nachdenken sprich, die Session-ID etwas "wasserdichter" machen oder über 'ne Cookie-Variante nachdenken;-)
Gruß
Claus
Antworten
Beitrag von Sander (8133 Beiträge) am Donnerstag, 1.September.2005, 23:32.
Re: IP und proxy-server
beim sessionhandling von php ist es so gelöst: wenn cookies akzeptiert werden, landet alles in nem temporären cookie, das nur so lange existiert, wie das browserfenster geöffnet ist, bzw bis die session zerstört wird. sollte der cookietest negativ ausfallen, werden alle daten in ner sessiondatei auf dem server gespeichert. vorteil cookie: man braucht keine sessionid rumschleppen
Antworten
Beitrag von Claus (4645 Beiträge) am Freitag, 2.September.2005, 08:02.
Re: IP und proxy-server
Hallo Sander,
Danke, geht nicht nur bei php, sondern habe das auch schon mit basportal erfolgreich getestet;-)
Hatte ja eigentlich gedacht, mit dem IP-Abgleich die "Ideal-Lösung" gefunden zu haben. War leider ein Trugschluss;-)
Problem bei der session-Id ist IMHO, das sie sichtbar und damit auch manipulierbar ist.
Bin erst vor kurzem auf die Cookies gestoßen und habe genauso wie Du schreibst, bereits ein anderes Prob mit temporären Cookies lösen können.
Daher dachte ich jetzt daran, die Zugangsdaten eventuell ebenfalls auf diesem Wege zu "verwalten".
Problem ist allerdings, daß durch viele "schwarze Schafe" im Web dieses eigentlich gute Instrument stark in Verruf geraten ist.
Muß man als Anbieter eines Internetangebotes erstmal viel Vertrauen wieder aufbauen;-)
Gruß
Claus
Antworten
Beitrag von Sander (8133 Beiträge) am Freitag, 2.September.2005, 11:03.
Re: IP und proxy-server
>> Problem bei der session-Id ist IMHO, das sie sichtbar und damit auch manipulierbar ist
kommt drauf an, wie geheim dein berechnungsschlüssel ist. man kann die session hijacken, aber manipulieren ist schwer.
>> Problem ist allerdings, daß durch viele "schwarze Schafe" im Web dieses eigentlich gute Instrument stark in Verruf geraten ist.
hmm, eher durch die Presse, weil cookies können eigentlich keinen Schaden anrichten. Die Presse meinte irgendwann, sie sind böse, spionieren und übertragen viren und tollwut
Antworten
Beitrag von Claus (4645 Beiträge) am Freitag, 2.September.2005, 11:39.
Re: IP und proxy-server
Hallo Sander,
Was ist denn Deiner Meinung nach sicherer?
Mal abgesehen davon, daß bei dem Modell mit session-Id der Name ja auch mit sichtbar ist und somit lediglich noch das Passwort selbst als Barriere übrigbleibt.
Beim temporären Cookie kannste von "draussen" nichts sehen, im Gegensatz zum "durchschleifen".
Ich denke mal, Letzteres ist sicherer.
Selbst bei noch so umfangreichen Verschlüsselungs-Techniken, wenn Jemand vergißt sich auszuloggen, kommt man noch rein.
Das Beste wird wohl eine Kombi aus beiden Teilen sein.
Gruß
Claus
Antworten
Beitrag von Sander (8133 Beiträge) am Freitag, 2.September.2005, 13:50.
Re: IP und proxy-server
Antworten
Beitrag von Claus (4645 Beiträge) am Freitag, 2.September.2005, 14:27.
Re: IP und proxy-server
Hallo Sander,
erstmal besten Dank für die Hilfe. Werde mir das Alles durch den Kopf gehen lassen und das ganze mal unterschiedlich ausprobieren.
Pobiere gerade mal die Cookie-Variante, ist eigentlich nicht schlecht, wenn man dann auch noch die user davon überzeugen kann, daß man keine "hinterhältigen Ziele" damit verfolgt.
Schade, daß das mit der IP nicht klappt. Wäre so schön gewesen, aber man kann im Leben ja nicht Alles haben.
Gruß
Claus
Antworten
