Moderator: Lancom-Systems Moderatoren
)Die Überprüfung der IP bringt aber keinerlei Sicherheit gegen ein Session-Hijacking, denn einerseits kann die IP gefälscht werden und andererseits könnte der berechtigte User einen Router benutzen, der einen sehr kurzen Idle-Timeout hat. Wenn der Router dann auflegt, kann ein anderer User diese IP bekommen und auf den Server zugreifen. Die einzig halbwegs sicheren Methoden sind (verschlüsselte) Session-Cookies oder "One-Time-Links" auf der Seite, die letztendlich nur der berechtigte User kennen kann...Viele Websites beziehen bei einer Login-Session die IP mit ein, um Session-Hijacking zu vermeiden. Wenn dann im Zuge des herumklickens auf einer Website auf einmal aufgrund Load-Balancing der eingeloggte Besucher mit der selben Session, aber einer anderen IP daherkommt, geht das System von einer gehijackten Session aus und verwirft sie.
Eigentlich läßt sich darüber nicht streiten, da die IP-Adresse keinerlei Authentifizierung ermöglicht (s.o.)...Wir selbst haben daher schon bei unseren Webapplikationen den Check der IP rausgenommen. Aber viele viele Seiten machen das nach wie vor und im Prinzip lässt sich auch streiten ob es per Definition "falsch" ist.
Das hebelt aber letztendlich das Loadbalancing aus...Toll wäre, wenn das Lancom bei http(s) Traffic sich hier generell bei einer Kombination aus Ziel und (interner) Quell-IP temporär auf eine Verbindung festpinnen würde.
Also blödes Beispiel: Interne IP 192.168.1.12 surft auf Facebook, das Lancom verteilt das auf Leitung1, merkt sich das und verteilt bis auf weiteres weiteren Traffic zwischen diesen beiden IPs weiterhin auf Leitung1.
Davon geh ich sowieso aus, dass entweder ein Session-Cookie gesetzt wird, oder die Links mit einer eindeutigen Session-id versehen werden (siehe Standardverhalten von PHP). Aber viele Entwickler speichern halt noch zusätzlich die IP in einer Session Variable um zu erkennen, ob jemand die Session gestohlen haben könnte.backslash hat geschrieben:Die Überprüfung der IP bringt aber keinerlei Sicherheit gegen ein Session-Hijacking, denn einerseits kann die IP gefälscht werden und andererseits könnte der berechtigte User einen Router benutzen, der einen sehr kurzen Idle-Timeout hat. Wenn der Router dann auflegt, kann ein anderer User diese IP bekommen und auf den Server zugreifen. Die einzig halbwegs sicheren Methoden sind (verschlüsselte) Session-Cookies oder "One-Time-Links" auf der Seite, die letztendlich nur der berechtigte User kennen kann...
