BartTheDevil89

Hallo,

es gibt ja diverse Daten, die ein Browser übermittelt. Also ich meine IP-Adresse, User-Agent, etc.
Aber jetzt noch die Frage: Welche dieser Werte sind einzigartig? Also die IP-Adresse ja nicht, da ja diverse Sicherheitsprogramme beispielsweise diese bei jedem Aufruf einer Seite ändern.
Aber was gibt es denn noch, was sich eben nicht ändert? Egal ob das jeder Browser unterstützt, also vielleicht auch mal bei manchen Browsern dieser Wert nicht übertragen wird.

Was gibts da?

PS.: Will diese Daten später nutzen um bei Sessions in einer Datenbank diese Daten mit zu speichern um nen Sessionklau zu verhindern.

Mister Ad

Zergling-new

Nichts ist eindeutig.

BartTheDevil89

Ja, aber es gibt doch sicherlich Sachen, die nicht so verbreitet sind zu ändern wie die IP-Adresse. Also zum beispiel user-agent wird zwar nicht von allen Browsern übermittelt, aber wird doch auch nicht von irgendwelchen Sicherheitsprogrammen einfach so geändert wie die IP, oder=

myPages

Jein. Die User-Agents werden zwar nicht so schnell geändert, sind aber nicht sonderlich zuverlässig, da sich manche Browser "tarnen" und einen anderen User-Agent angeben.

MfG
myPages

__________________
Man braucht drei Dinge im Leben
die Gelassenheit die Dinge hinzunehmen, die man nicht ändern kann,
den Mut die Sachen zu verändern, die man ändern kann,
und die Weisheit zwischen den beiden zu unterscheiden.

cycap

Sessionklau wird ja begangen durch mithören des Datenverkehrs. Sinnvoll dagegen ist wohl mit bisherigen Standards nur eine verschlüsselte Verbindung.

BartTheDevil89

Ja, ich regele die Sessions so, dass eine passende Datenbankid in nem Cookie gespeichert wird. Und diese ID kann sich ja jemand aneignen. Aber wenn ich gleichzeitig noch User-Agent, etc. des richtigen Computers mit überprüfe, müsste ja der Dieb dann die Session-ID haben und gleichzeitig all seine User-Agent-Daten, etc. alle so manipulieren, dass sie gleichzeitig wie die vom eigentlichen Session-Inhaben sind.
PS.: Weiß, dass man es eigentlich auch über $_SESSION machen kann, aber will es über die DB machen.

cycap

Warum willst du das über die DB machen? Was hast du davon? Und was spricht dagegen die von php generierte SessionID einfach in die Datenbank zu schreiben? Die solltest du ja einfach über $_COOKIE auslesen können...

BartTheDevil89

Hab mich in der letzten Zeit viel mit auseinander gesetzt und die Variante mit der DB ist für mich einfach praktischer. Denn jetzt mach ich ja auch nix anderes als nen db-eintrag zu erstellen und die id in nem cookie zu speichern. Nur um die Cookie-id mit der db-id abzugleichen möchte ich eben noch ein paar Sicherheitssachen mit einbauen. Dafür brauch ich diese Sachen, die eben nicht wie die Session verändert werden von Sicherheitsprogrammen. Denn bei ner wechselnden IP wäre es eben zum BEispiel so, dass der Abgleich zwischen den beiden Ids nichtmehr funktionieren würde.
Deswegen aber zurück zum Thema: Was gibts noch so außer useragent?

nikosch

Hat Zergling schon gesagt. Diese Versuche sind Blödsinn und laufen bestenfalls auf Security by obscurity hinaus. Wenn Du echte Sicherheit willst, mußt Du Dich mit Angriffsvektoren und den gängigen Verfahren vertraut machen. Selbst die bieten keine absolute Sicherheit, aber sie grenzen wenigstens die Unsicherheit ab.

Bei MiM Szenarien ist jegliches Benutzen übertragener Daten ohnehin sinnfrei.

BartTheDevil89

Naja, aber wenn ich die userbezogenen Daten habe und die bei der abfrage mit einsetze, werden die userbezogenen Daten ja so genutzt. Und wenn sie nicht übergeben werden oder anders (also von nem anderen PC sind) sind, dann wird die Sesion nicht genutzt.