sessions ip gebunden ?

notyyy · 17.01.2006, 22:05

ich hab mal ne frage zum thema sessions, sind sessions an eine ip gebunden ? also können 600 clients eine session $_SESSION['user'] haben? oder muss ich diese manuell immernoch peer hand dazudiffinieren ? also die ip ?

17.01.2006, 22:12

Zitat:

Zitat von notyyy

sind sessions an eine ip gebunden ?

Nein.

notyyy · 17.01.2006, 22:18

wie binde ich dann eine session sinnig an eine ip oder erstelle eine so, dass sie 100% nur für einen user is ?

17.01.2006, 22:30

Zitat:

Zitat von notyyy

wie binde ich dann eine session sinnig an eine ip oder erstelle eine so, dass sie 100% nur für einen user is ?

Das würde ich sein lassen. User deren IP-Adresse sich regelmäßig ändert,
würdest Du ja somit aussperren.

Wenn Du es dennoch so machen möchtest, speicherst Du z.B. beim Erstellen
der Session die IP-Adresse des Clients und überprüfst bei jeder weiteren
Anfrage, ob die aktuelle mit der gespeicherten übereinstimmt.

notyyy · 17.01.2006, 22:32

ich verstehe nicht ganz .... wenn sich jemand anderes einloggen würde, wäre doch die session überschrieben?

17.01.2006, 22:52

Zitat:

Zitat von notyyy

ich verstehe nicht ganz ....

Ich leider auch nicht....

Was ich meinte war:

PHP-Code:

  <?php

 
session_start();

 
$_SESSION['REMOTE_ADDR'] = array_key_exists('REMOTE_ADDR', $_SESSION)

                         ? $_SESSION['REMOTE_ADDR']

                         : $_SERVER['REMOTE_ADDR'];

 
if ($_SESSION['REMOTE_ADDR'] == $_SERVER['REMOTE_ADDR'])

    doSomething();

 
?>

notyyy · 17.01.2006, 23:00

ich wollte wissen: (vielleicht hab ich mich doof ausgedrückt)
wenn ich ein login habe und den benutzernamen und das pw in einer session speicher
$_SESSION['pw'] = $pw;
$_SESSION['name'] = $name;
und der nächste sich einloggt, wird dann der alte beutzer ausgeloggt, oder ist direkt mit bei dem anderen user eineloggt, oder wird eine session für jeden einzelnen sürfer erstellt? und wie sicher ist das ?

17.01.2006, 23:07

Ach so meinst Du das. Ich hatte Dich komplett falsch verstanden.

http://www.php.net/session

http://tut.php-q.net/sessions.html

Basti · 17.01.2006, 23:20

In meinen Worten:

Eine Session funktioniert so, dass jedem "Benutzer" bessergesagt eben jeder Session eine ID, die Session-ID zugewiesen wird. Diese wird dann entweder in einem Cookie an den Benutzer übergeben, der dann ja bei jedem Folgeaufruf an den Server mitgeschickt wird, der den Benutzer so wiedererkennt oder, falls Cookies nicht akzeptiert werden, muss die Session-ID jedem (internen) Link und jedem Formular beigefügt werden.

Die Session an eine IP zu binden hat eben den Nachteil, dass Benutzer große ISP (z.B. AOL) öfter "rausfliegen", da sich ihre IP von Seitenaufruf zu Seitenaufruf verändern kann. Nur die IP als Identitätsmerkmal heranzuziehen (also auf eine Session-ID) ganz zu verzichten bedeutet, dass alle Benutzer, die hinter einem Proxy sitzen nicht voneinander unterschieden werden können. Beispiel: Internet-Cafe, Uni-Netzwerk, Firmen-Netzwerke etc.

Ein brauchbares Mittel, um den Benutzer zusätlich zur Session-ID zu identifizieren (also Session-Hijacking zu erschweren) ist, einen Fingrabdruck des Benutzers anhand der von ihm übersendeten Header (das ären dann z.B. Browser-Version, Sprachen und akzeptierte Komprimierungsverfahren). Das wirkt allerdings auch nur begrenzt, da a) viele Benutzer natürlich mit dem MSIE 6 in der Standard-Konfiguration unterwegs sind und man von daher nicht gerade von einem Fingerabdruck sprechen kann und b) Angreifer diese Header beliebig einstellen können und so die gängigsten Header durchtesten können, um auf die Session zu kommen.

Basti

notyyy · 18.01.2006, 22:27

auf gut deutsch heisst das:
meine oma und mein opa könnten gleichzeitig die session['name'] mit einem unterschiedlichen wert füllen ?

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Sessions und Logins	Faebe	PHP Tipps 2008	1	29.10.2007 09:04
2 Sessions	Kein Genie	PHP Tipps 2006	8	21.07.2006 15:45
Komisches Problem mit sessions	FBI	PHP Tipps 2007	5	22.11.2005 14:15
[Erledigt] probleme mit sessions		PHP Tipps 2007	1	17.11.2005 10:43
[Erledigt] Registrierte Sessions anzeigen?		PHP-Fortgeschrittene	3	13.10.2005 12:11
[Erledigt] Nach Einfügugng der Sessions funktioniert mein Program nicht		PHP-Fortgeschrittene	1	02.10.2005 06:13
Sessions!	DER_Brain	PHP Tipps 2005-2	5	30.06.2005 14:51
2 Sessions?		PHP Tipps 2005	5	29.04.2005 19:04
Sessions Anfänger		PHP Tipps 2005	5	23.04.2005 17:54
fenster nicht ohne sessions gelöscht zu haben schlie. lassen		PHP Tipps 2005	1	14.02.2005 21:16
Proble mit Sessions		PHP Tipps 2005	7	07.02.2005 17:42
IE der die sessions nicht so akzeptiert wie er soll	robo47	Off-Topic Diskussionen	0	27.01.2005 11:26
variablen per sessions übergeben		PHP Tipps 2005	5	13.01.2005 12:09
[Erledigt] Usermanagement mit Sessions - Sicherheitsprobleme ?		PHP Tipps 2004	0	30.06.2004 09:49
[Erledigt] Sessions, sessions und nochmal sessions		PHP-Fortgeschrittene	0	06.06.2004 00:36

17.01.2006, 22:05
notyyy Erfahrener Benutzer Registriert seit: 12.05.2005 Beiträge: 1.037 PHP-Kenntnisse: Fortgeschritten	sessions ip gebunden ? ich hab mal ne frage zum thema sessions, sind sessions an eine ip gebunden ? also können 600 clients eine session $_SESSION['user'] haben? oder muss ich diese manuell immernoch peer hand dazudiffinieren ? also die ip ?


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

17.01.2006, 22:18
notyyy Erfahrener Benutzer Registriert seit: 12.05.2005 Beiträge: 1.037 PHP-Kenntnisse: Fortgeschritten	wie binde ich dann eine session sinnig an eine ip oder erstelle eine so, dass sie 100% nur für einen user is ?

17.01.2006, 22:32
notyyy Erfahrener Benutzer Registriert seit: 12.05.2005 Beiträge: 1.037 PHP-Kenntnisse: Fortgeschritten	ich verstehe nicht ganz .... wenn sich jemand anderes einloggen würde, wäre doch die session überschrieben?

17.01.2006, 23:00
notyyy Erfahrener Benutzer Registriert seit: 12.05.2005 Beiträge: 1.037 PHP-Kenntnisse: Fortgeschritten	ich wollte wissen: (vielleicht hab ich mich doof ausgedrückt) wenn ich ein login habe und den benutzernamen und das pw in einer session speicher $_SESSION['pw'] = $pw; $_SESSION['name'] = $name; und der nächste sich einloggt, wird dann der alte beutzer ausgeloggt, oder ist direkt mit bei dem anderen user eineloggt, oder wird eine session für jeden einzelnen sürfer erstellt? und wie sicher ist das ?

17.01.2006, 23:07
Gast Beiträge: n/a	Ach so meinst Du das. Ich hatte Dich komplett falsch verstanden. http://www.php.net/session http://tut.php-q.net/sessions.html

17.01.2006, 23:20
Basti Erfahrener Benutzer Registriert seit: 18.07.2004 Beiträge: 2.162 PHP-Kenntnisse: Fortgeschritten	In meinen Worten: Eine Session funktioniert so, dass jedem "Benutzer" bessergesagt eben jeder Session eine ID, die Session-ID zugewiesen wird. Diese wird dann entweder in einem Cookie an den Benutzer übergeben, der dann ja bei jedem Folgeaufruf an den Server mitgeschickt wird, der den Benutzer so wiedererkennt oder, falls Cookies nicht akzeptiert werden, muss die Session-ID jedem (internen) Link und jedem Formular beigefügt werden. Die Session an eine IP zu binden hat eben den Nachteil, dass Benutzer große ISP (z.B. AOL) öfter "rausfliegen", da sich ihre IP von Seitenaufruf zu Seitenaufruf verändern kann. Nur die IP als Identitätsmerkmal heranzuziehen (also auf eine Session-ID) ganz zu verzichten bedeutet, dass alle Benutzer, die hinter einem Proxy sitzen nicht voneinander unterschieden werden können. Beispiel: Internet-Cafe, Uni-Netzwerk, Firmen-Netzwerke etc. Ein brauchbares Mittel, um den Benutzer zusätlich zur Session-ID zu identifizieren (also Session-Hijacking zu erschweren) ist, einen Fingrabdruck des Benutzers anhand der von ihm übersendeten Header (das ären dann z.B. Browser-Version, Sprachen und akzeptierte Komprimierungsverfahren). Das wirkt allerdings auch nur begrenzt, da a) viele Benutzer natürlich mit dem MSIE 6 in der Standard-Konfiguration unterwegs sind und man von daher nicht gerade von einem Fingerabdruck sprechen kann und b) Angreifer diese Header beliebig einstellen können und so die gängigsten Header durchtesten können, um auf die Session zu kommen. Basti

18.01.2006, 22:27
notyyy Erfahrener Benutzer Registriert seit: 12.05.2005 Beiträge: 1.037 PHP-Kenntnisse: Fortgeschritten	auf gut deutsch heisst das: meine oma und mein opa könnten gleichzeitig die session['name'] mit einem unterschiedlichen wert füllen ?