Ankündigung

Einklappen
Keine Ankündigung bisher.

Pseudosessions mit IP

Einklappen

Neue Werbung 2019

Einklappen
X
Einklappen
  • Seite von 2
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige 1 2 Weiter
  • #1

    Pseudosessions mit IP

    Liebes Forum

    mit sessions zu arbeiten hat im Falle, dass der client keine cookies erlaubt gewisse Schwierigkeiten, da es erhebliche Risiken mit sich bringt, die session-ID an die URL anzuhängen.
    Nun ist mir die Idee gekommen, sozusagen Pseudosessions zu machen. Die IP ist ja auch eindeutig und man kann anstatt eine session zu starten, jedesmal die IP abfragen. Wenn sie bekannt ist (und nicht zu alt), dann geht diese Pseudosession eben weiter.
    Echte sessions haben natürlich Vorteile, zum Beispiel kann eine session theoretisch Monate lang sein, das ist bei IPs nicht möglich. Und man hat das Array $_Session zur Verfügung. Aber wenn der Client cookies nicht erlaubt ist das immer noch besser, als gar nichts.

    Nun, wenn das so einfach ginge, wäre da sicher schon jemand drauf gekommen und es wäre ein gängiges Verfahren. Was spricht also dagegen?

    Viele Grüße

    Kerstin
    Stichworte: -
  • #2
    Die Idee mit der IP einen Nutzer zu identifizieren ist auch hier im Forum schon x-mal dikutiert worden und als untauglich verworfen worden. Die IP ist im Netz nichts anderes als so was wie eine Telefonnummer, nur das sich im Netz noch nichtmal ein bestimmter Anschluß dahinter verbirgt, sondern nicht selten eine ganze Firma mit tausenden Mitarbeitern.

    Kommentar

    • #3
      Ne IP-"Session" weil die andere zu unsicher ist. Na das klingt logisch
      [COLOR="#F5F5FF"]--[/COLOR]
      [COLOR="Gray"][SIZE="6"][FONT="Georgia"][B]^^ O.O[/B][/FONT] [/SIZE]
      „Emoticons machen einen Beitrag etwas freundlicher. Deine wirken zwar fachlich richtig sein, aber meist ziemlich uninteressant.
      [URL="http://www.php.de/javascript-ajax-und-mehr/107400-draggable-sorttable-setattribute.html#post788799"][B]Wenn man nur Text sieht, haben viele junge Entwickler keine interesse, diese stumpfen Texte zu lesen.“[/B][/URL][/COLOR]
      [COLOR="#F5F5FF"]
      --[/COLOR]

      Kommentar

      • #4
        @jspit
        Kann man dieses Problem nicht mit einem Timestamp lösen? Indem man abfragt, wie lange es her ist, dass man eine andere Seite verlassen hat?

        Hast du zufällig ein paar Links zu den anderen Threads mit diesem Thema?
        Ich habe gesucht, aber leider ignoriert die Suche hier das Wort IP
        Die folgenden Wörter sind sehr allgemein und wurden in der Suchanfrage ignoriert: IP

        Kommentar

        • #5
          Du versteifst Dich auf ein sinnfreies Unterfangen.
          Wie jspit schon angedeutet hat, kannst Du mit der IP wenig anfangen:
          Die IP ist im Netz nichts anderes als so was wie eine Telefonnummer, nur das sich im Netz noch nichtmal ein bestimmter Anschluß dahinter verbirgt, sondern nicht selten eine ganze Firma mit tausenden Mitarbeitern.
          ...selbst in Privathaushalten hast Du meist zwei oder drei Endgeräte (Smartphones nicht mitgerechnet), wie willst Du da eine saubere Session generieren für einzelne User?!
          Competence-Center -> Enjoy the Informatrix
          PHProcks!Einsteiger freundliche TutorialsPreComposed Packages

          Kommentar

          • #6
            Zitat von Kerstin83 Beitrag anzeigen
            Nun ist mir die Idee gekommen, sozusagen Pseudosessions zu machen. Die IP ist ja auch eindeutig und man kann anstatt eine session zu starten, jedesmal die IP abfragen. Wenn sie bekannt ist (und nicht zu alt), dann geht diese Pseudosession eben weiter.
            Echte sessions haben natürlich Vorteile, zum Beispiel kann eine session theoretisch Monate lang sein, das ist bei IPs nicht möglich.
            Also ich hab jetzt 408 Tage die selbe IP laut meinem Router.
            [URL="https://gitter.im/php-de/chat?utm_source=share-link&utm_medium=link&utm_campaign=share-link"]PHP.de Gitter.im Chat[/URL] - [URL="https://raindrop.io/user/32178"]Meine öffentlichen Bookmarks[/URL] ← Ich habe dir geholfen ? [B][URL="https://www.amazon.de/gp/wishlist/348FHGUZWTNL0"]Beschenk mich[/URL][/B].

            Kommentar

            • #7
              Sessions über IP haben noch einen Nachteil: Wenn zwei oder mehr Leute hinter dem gleichen Router sitzen, haben ALLE die gleiche Session. So gesehen ist damit Session highjacking sogar noch viel einfacher, weil man einfach nur die Seite aufruft, wenn grad jemand anderes im Netz da aktiv ist, und zack - bin ich eingeloggt.
              [URL="http://goo.gl/6Biyf"]Lerne Grundlagen[/URL] | [URL="http://sscce.org/"]Schreibe gute Beispiele[/URL] | [URL="http://goo.gl/f2jR7"]PDO > mysqli > mysql[/URL] | [URL="http://goo.gl/jvfSZ"]Versuch nicht, das Rad neu zu erfinden[/URL] | [URL="http://goo.gl/T2PU5"]Warum $foo[bar] böse ist[/URL] | [URL="http://goo.gl/rrfzO"]SQL Injections[/URL] | [URL="http://goo.gl/Q81WJ"]Hashes sind keine Verschlüsselungen![/URL] | [URL="http://goo.gl/2x0e2"]Dein E-Mail Regex ist falsch[/URL]

              Kommentar

              • #8
                Zitat von tr0y Beitrag anzeigen
                Also ich hab jetzt 408 Tage die selbe IP laut meinem Router.
                NSA bedankt sich schon!
                ET-Chat v3 - Chatscript basierend auf PHP und AJAX
                iserlohn maps - Geoportal mit freier Software

                Kommentar

                • #9
                  Zitat von Kerstin83 Beitrag anzeigen
                  mit sessions zu arbeiten hat im Falle, dass der client keine cookies erlaubt gewisse Schwierigkeiten
                  auf manchen webseiten bekommt man auch einfach den hinweis, dass die seite nur korrekt funktioniert wenn man cookies erlaubt.
                  warum nicht einfach auch so machen?
                  liebe Grüße
                  Fräulein Dingsda

                  Kommentar

                  • #10
                    Zitat von dingsda Beitrag anzeigen
                    auf manchen webseiten bekommt man auch einfach den hinweis, dass die seite nur korrekt funktioniert wenn man cookies erlaubt.
                    warum nicht einfach auch so machen?
                    Auch ohne Cookies, kann man die Session-ID über GET übergeben, eben wenn die Cookies nicht erlaubt sind.
                    ET-Chat v3 - Chatscript basierend auf PHP und AJAX
                    iserlohn maps - Geoportal mit freier Software

                    Kommentar

                    • #11
                      Zitat von EvgeniT Beitrag anzeigen
                      Auch ohne Cookies, kann man die Session-ID über GET übergeben, eben wenn die Cookies nicht erlaubt sind.
                      dann kommt man aber zu dem problem, dass die session-id leichter geklaut oder untergeschoben werden kann.
                      wer denkt schon daran die url erstmal auf anwesenheit der session-id zu überprüfen bevor er nen link jemanden schickt z.b.
                      liebe Grüße
                      Fräulein Dingsda

                      Kommentar

                      • #12
                        Zitat von dingsda Beitrag anzeigen
                        dann kommt man aber zu dem problem, dass die session-id leichter geklaut oder untergeschoben werden kann.
                        wer denkt schon daran die url erstmal auf anwesenheit der session-id zu überprüfen bevor er nen link jemanden schickt z.b.
                        Eben deshalb ist es sicherer Cookies zu verwenden.
                        ET-Chat v3 - Chatscript basierend auf PHP und AJAX
                        iserlohn maps - Geoportal mit freier Software

                        Kommentar

                        • #13
                          Zitat von EvgeniT Beitrag anzeigen
                          Eben deshalb ist es sicherer Cookies zu verwenden.
                          jetzt drehen wir uns im kreis, oder?
                          du hast doch vorgeschlagen, dass man die session_id über get übertragen kann
                          liebe Grüße
                          Fräulein Dingsda

                          Kommentar

                          • #14
                            Zitat von dingsda Beitrag anzeigen
                            jetzt drehen wir uns im kreis, oder?
                            du hast doch vorgeschlagen, dass man die session_id über get übertragen kann
                            Ja, man kann die session_id über GET übergeben. Sicherer ist es jedoch über Cookies zu machen, weil dadurch die Sessionübernahme nicht einfach durch URL möglich ist.
                            ET-Chat v3 - Chatscript basierend auf PHP und AJAX
                            iserlohn maps - Geoportal mit freier Software

                            Kommentar

                            • #15
                              Korrekt.

                              Zusammenfassung: Es gibt 2 Möglichkeiten. Beide basieren auf der Übergabe eine geheimen Tokens. Bekanntwerden des Tokens erlaubt die Übernahme der Session.

                              Variante 1: Session-Cookie
                              Cookie wird von PHP automatisch bei Aufnahme der Session (keine Session-ID bekannt) gesetzt
                              Bei jedem Request wird durch den Browser-Cookie-Mechanismus die Session ID darin übermittelt

                              Variante 2: Session-Stringparameter per GET
                              Die Session-ID wird als Url-Parameter im Request übergeben, jeder Link auf eine Session-relevante Seite muss diesen Parameter besitzen
                              PHP stellt Mechnismen zur erzeugung des URL-Parameter-Tokens sowie zur automatischen Erweiterung aller Inbound-Links zur Verfügung
                              Das Problem ist das Bekanntwerden der Session, wenn URL einer aktiven Session publiziert wird (Forum, Logfile, Bookmark, Suchmaschine). Ausnutzen dieses Prinzips nutzt u.a. ein Session-Fixation-Angriff.


                              Weitere browser-eineindeutige Mechanismen existieren nicht.
                              [COLOR="#F5F5FF"]--[/COLOR]
                              [COLOR="Gray"][SIZE="6"][FONT="Georgia"][B]^^ O.O[/B][/FONT] [/SIZE]
                              „Emoticons machen einen Beitrag etwas freundlicher. Deine wirken zwar fachlich richtig sein, aber meist ziemlich uninteressant.
                              [URL="http://www.php.de/javascript-ajax-und-mehr/107400-draggable-sorttable-setattribute.html#post788799"][B]Wenn man nur Text sieht, haben viele junge Entwickler keine interesse, diese stumpfen Texte zu lesen.“[/B][/URL][/COLOR]
                              [COLOR="#F5F5FF"]
                              --[/COLOR]

                              Kommentar

                              Vorherige 1 2 Weiter
                              Lädt...
                              X