Ankündigung

Einklappen
Keine Ankündigung bisher.

Ändert der Browser seinen Namen bei Update?

Einklappen

Neue Werbung 2019

Einklappen
X
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Ändert der Browser seinen Namen bei Update?

    Hallo Gemeinde,

    bei der Prüfung, ob ein User ein gültiges Login hat und die Session abgelaufen ist, wollte ich noch zusätzlich den Browsernamen und die IP abfragen. Wenn der Browsername oder die IP Adresse sich ändert, wird der User ausgeloggt. Ist das realistisch? Oder ändert sich die IP-Adresse des Users, während er auf der Seite ist, permanent bzw. wenn sein Browser ein Update im Hintergrund macht , dass sich dann der Browsername auch automatisch sich ändert?


  • #2
    Die IP des Browsers ändert sich im Hintergrund bei vielen Usern (24h disconnect). Der UserAgent des Browsers ändert sich häufig bei einem Update, aber das passiert normal nicht einfach so im Hintergrund. Generell würde ich auf die IP-Adresse gehen, nicht aber auf den User-Agent - spricht an sich
    aber nichts gegen.
    Standards - Best Practices - AwesomePHP - Guideline für WebApps

    Kommentar


    • #3
      Super, danke für den schnellen Hinweis, das werde ich dann umsetzen.

      Kommentar


      • #4
        Die IP-Adresse kann nicht sinnvoll dafür benutzt werden, aus Gründen die ich ich in http://www.php.de/php-einsteiger/107...tml#post790548 beschrieben habe.

        Kommentar


        • #5
          Zitat von Blar Beitrag anzeigen
          Die IP-Adresse kann nicht sinnvoll dafür benutzt werden, aus Gründen die ich ich in http://www.php.de/php-einsteiger/107...tml#post790548 beschrieben habe.
          Zitat von Blar Beitrag anzeigen
          ...Ausserdem könnte ein anderer Benutzer die vorherige Session bekommen.

          Nein, ich möchte die IP nicht als alleinige Session benutzen, das wäre nicht eindeutig genug, sondern als Zusatz in Verbindung mit weiteren Sessions (Zeit, Token, ...). So gesehen sollen viele einzelne Sessions zusammen den Zugang bilden.

          Kommentar


          • #6
            Zitat von rkr Beitrag anzeigen
            Die IP des Browsers ändert sich im Hintergrund bei vielen Usern (24h disconnect). Der UserAgent des Browsers ändert sich häufig bei einem Update, aber das passiert normal nicht einfach so im Hintergrund. Generell würde ich auf die IP-Adresse gehen, nicht aber auf den User-Agent - spricht an sich
            aber nichts gegen.
            Google Chrome updated on the fly.
            [URL="https://gitter.im/php-de/chat?utm_source=share-link&utm_medium=link&utm_campaign=share-link"]PHP.de Gitter.im Chat[/URL] - [URL="https://raindrop.io/user/32178"]Meine öffentlichen Bookmarks[/URL] ← Ich habe dir geholfen ? [B][URL="https://www.amazon.de/gp/wishlist/348FHGUZWTNL0"]Beschenk mich[/URL][/B].

            Kommentar


            • #7
              Auch bei Chrome musst du den Browser neu starten, damit das update aktiviert wird.
              Standards - Best Practices - AwesomePHP - Guideline für WebApps

              Kommentar


              • #8
                Zitat von rkr Beitrag anzeigen
                Auch bei Chrome musst du den Browser neu starten, damit das update aktiviert wird.
                Chrome startet automatisch die Tabs neu, das reicht vollkommen.
                [URL="https://gitter.im/php-de/chat?utm_source=share-link&utm_medium=link&utm_campaign=share-link"]PHP.de Gitter.im Chat[/URL] - [URL="https://raindrop.io/user/32178"]Meine öffentlichen Bookmarks[/URL] ← Ich habe dir geholfen ? [B][URL="https://www.amazon.de/gp/wishlist/348FHGUZWTNL0"]Beschenk mich[/URL][/B].

                Kommentar


                • #9
                  //OT:

                  Zitat von Blar Beitrag anzeigen
                  Die IP-Adresse kann nicht sinnvoll dafür benutzt werden, aus Gründen die ich ich in http://www.php.de/php-einsteiger/107...tml#post790548 beschrieben habe.
                  ein grundsätzliches beispiel für die probleme in einem dynamischen ip adressraum:
                  http://www.ohneunslaeuftnix.de/wunschbrunnen/

                  beim ersten versuch hier abzustimmen wurde mir gesagt, ich hätte schon abgestimmt.
                  das nähert die vermutung ein noob hat es da über die ip versucht...

                  Kommentar


                  • #10
                    @moma, das hat nichts mit dem Thema zu tun. Das ist Spamprävention.
                    @tr0y, wäre mir neu, dass Chrome Tabs neu startet.

                    Natürlich kann man eine Session noch zusätzlich an eine IP binden. Warum auch nicht. Je nach dem, in was für einer Umgebung man sich bewegt, dann das durchaus sinnvoll sein. Ich habe im Unternehmen eine feste IP. Wird meine SessionID gekapert, wird die Session sofort ungültig. Bei einem 24h disconnect müsste ich mich also neu anmelden. Das wird sicher keine Option bei normalen Apps sein, in einigen Fällen ist dieser Zugewinn an Sicherheit durchaus willkommen (banking, root-administration, ...)
                    Standards - Best Practices - AwesomePHP - Guideline für WebApps

                    Kommentar


                    • #11
                      Ist man allerdings z.B. über TOR unterwegs ändert sich die IP auch jede 10 Minuten, da alle 10 Minuten die Route neu gesetzt wird. Dadurch hast du zu 99% einen anderen Exit-Node.

                      Kommentar


                      • #12
                        wie kommst du auf 10 minuten?
                        deswegen?
                        Zitat von https://www.torproject.org/about/overview.html.en
                        For efficiency, the Tor software uses the same circuit for connections that happen within the same ten minutes or so.

                        Kommentar


                        • #13
                          Jep, moma. Habe mir gerade das nochmal im Manual nachgeschaut.
                          So ganz sicher bin ich mir jetzt auch nicht mehr, wie genau das abläuft:
                          - Wenn letze Verbindung eines Servers 10 Minuten her ist wird eine neue Route genutzt, wenn aber < 10 Minuten her, dann die selbe.
                          - 10 Minuten nach der 1. Verbindung irgendwo hin wird die Route entsprechend neu berechnet.

                          Wie würdest du das denn hier intepretieren. Festhalten lässt sich auf jeden Fall, dass durch Anonymisierungsdienste wie eben z.B. TOR die IP doch mal gerne wechselt. Im Fall von TOR auch gerne mal zwischen den Ländern.

                          Kommentar


                          • #14
                            //OT:
                            Zitat von MuellerLukas Beitrag anzeigen
                            Festhalten lässt sich auf jeden Fall, dass durch Anonymisierungsdienste wie eben z.B. TOR die IP doch mal gerne wechselt. Im Fall von TOR auch gerne mal zwischen den Ländern.
                            Das ist richtig. Wie schon oben erwähnt und illustriert sind Ips keinesfalls brauchbar, auch
                            wenn der eine oder andere dadurch das gefühl einer verbesserten sicherheit hat.

                            Auch wenn mein kühlschrank und mein herd mit einer externen ip aufgestattet sind(was ja wohl das ziel des ipv6 ist), bringen mir feste ips kein mehr an sicherheit.

                            ///OTOT:
                            das argument des sessionshyjacking halte ich übrigens in den zeiten der verschlüsselten verbindugen für verfehlt.

                            Kommentar


                            • #15
                              Zur Ergänzung von moma:
                              Sinn macht es auf jeden Fall, die SessionID in einem Cookie zu speichern. Wenn die in der URL steht kopieren manche User das gerne mal komplett. Und dann bringt die auch die beste Verschlüsselung nichts.

                              Und gratis Zertifikate bekommst du btw bei StartSSL.

                              Kommentar

                              Lädt...
                              X