Hallo,
bei der Einwahl beim Provider wird der „Session“ meist eine dynamische IP zugewiesen. Frage: Bleibt diese IP gleich, solange der Surfer nicht auflegt.
Ist es evtl. möglich, dass zB. AOL-User während sie online sind, öfter mal eine neue IP zugewiesen bekommen ?
Grüße Ralf
Nein, das wird nur einmal ausgehandelt.
Grüße, Robert
Hallo,
bei der Einwahl beim Provider wird der „Session“ meist eine
dynamische IP zugewiesen. Frage: Bleibt diese IP gleich,
solange der Surfer nicht auflegt.
Ja. Manche Provider haben einen Pool aus mehreren Proxies, die wechseld innerhalb einer Session genutzt werden
Mit ISDN, Abrechnung im Sekundentakt lohnt sich ein Verbindungsabbau auch bei kurzer idle-time => neue IP.
IP ist zur Authentifizierung wirklich ungeeignet!
Sebastian
Hallo Sebastianm
Ja. Manche Provider haben einen Pool aus mehreren Proxies, die
wechseld innerhalb einer Session genutzt werden
ohjeh …
IP ist zur Authentifizierung wirklich ungeeignet!
womit kann ich denn dann einen User sicherer authentifizieren als über seine IP.
Es geht um folgendes: Ich habe ein Login-Perl-Script geschrieben, worüber sich User auf einer Page einloggen. Im Moment prüfe ich bei jedem weiteren Zugriff, ob die beim ersten Login ebgefragne IP noch zum Usernamen passt. Nun ist mir aber eben bei AOL-Usern aufgefallen, dass dieses Script bei ihnen nicht richtig funktioniert.
Hast Du da ne Idee ?
Grüße Ralf
Sebastian
Kann es sein, dass das Problem nicht alleine bei AOL auftritt, sondern auch immer dann, wenn mehrere Benutzer (also verschiedene UserID) über den selben Proxy (-> die selbe IP) versuchen auf deine Page zuzugreifen??
Auf jeden Fall ist es für eine Autentifizierung günstiger, wenn du dem User beim Login einen einmaligen Stempel verpasst, in dem z.B. das Login-Datum und eine laufende Nummer oder Zufallszahl codiert sind.
Da nicht jeder Cookies mag würd ich empfehlen diesen Stempel dann mit jeder Seitenanfrage mitzuschicken.
Gruß
Benky
Hallo Benky,
sondern auch immer dann, wenn mehrere Benutzer (also
verschiedene UserID) über den selben Proxy (-> die selbe
IP) versuchen auf deine Page zuzugreifen??
nee, denn ich schicke bereits immer eine eindeutige Kennung mit. Mein Problem ist ein anderes: Ich möchte verhindern, dass sich irgendwer unerlaubterweise einen Querry-String von Hand zusammenbastelt, und unter falscher Identität irgendwelchen Unsinn macht. Und da wäre es halt so schön praktisch gewesen, den User-Namen beim Login mit der IP zu verknüpfen.
Jetzt schwebt mir eine Lösung mit sowas wie „Einmal-Transaktions-Nummern“ vor, die das Script bei jeder Ausgabe mitschickt, und die dann einmal zurückgesendet werden können. Nur ist der Verwaltungsaufwand erheblich größer 
Gibts noch was besseres ?
Grüße Ralf
Auf jeden Fall ist es für eine Autentifizierung günstiger,
wenn du dem User beim Login einen einmaligen Stempel verpasst,
in dem z.B. das Login-Datum und eine laufende Nummer oder
Zufallszahl codiert sind.
Da nicht jeder Cookies mag würd ich empfehlen diesen Stempel
dann mit jeder Seitenanfrage mitzuschicken.
Jo, das nennt man dann wohl HTTP-Sessions.
Ich hätte da keine größeren sicherheitsrelevanten Bedenken dabei dies einzusetzen. Erraten tut ein User deine id sicher nicht und durch den Timeout müsste es auch schon mit dem Teufel zugehen wenn er sich die erschleicht und dann verwendet später.
Also ich kenne viele sicherheitsrelevante Pages die auf diesem Konzept arbeiten…
Mfg Bruno
Jetzt schwebt mir eine Lösung mit sowas wie
„Einmal-Transaktions-Nummern“ vor, die das Script bei jeder
Ausgabe mitschickt, und die dann einmal zurückgesendet werden
können. Nur ist der Verwaltungsaufwand erheblich größerGibts noch was besseres ?
siehe Re4 von Bruno.
Sich da einzuklinken geht nur wenn derjenige Zugriff auf die INet-Pakete hat. (z.B. Server gehackt, Subversive Mitarbeiter beim Provider, Trojaner)
Um die Sache noch etwas schwieriger zu machen kannste ja noch den REFERER auwerten. Dieser wird ja vom Browser an dein Skript übertragen, wenn ein Link angeklickt wurde und enthält die URL der aufrufenden Seite. Damit kannst Du unterbinden, dass jemand über ein gefaktes Formular bzw. eine gefakte URL eine Seite bei dir abruft.
Hier kann nur noch jemand was ausrichten, der a) die INet-Pakete abhören kann und b) ein Programm schreiben kann, das komplett gefälschte Anfragen an deinen Server schicken kann.
Die nächste Sicherheitsstufe ist diesen Bereich über einen SSL-Server laufen zu lassen. Dort können bestenfalls noch die was ausrichten, die deinen Server oder den Proxy-Server gehackt haben. (Man-in-the-Middle-Attacke)
Gruß
Benky