de.comp.lang.php.* FAQ

• Über...
• Allgemein
• Installation
• Konfiguration von PHP
• PHP Interpreter
• Datentypen
• Strings
• Regexps
• Arrays
• Objekte
• Formulare
• Sicherheit
• Dateien
• Datumsprobleme
• Mail mit PHP
• Datenbanken
• DB: MySQL
• DB: Oracle
• DB: Sybase
• DB: MSSQL
• DB: phpMyAdmin
• Grafik
• PDF
• CMS
• Codeschnipsel
• Standardscripte
• Guter Code
• Fehlermeldungen
• Sessions
  • Wie realisiere ich Sessions mit PHP?
  • Was ist eine Session-ID? Was ist PHPSESSID?
  • Wie stelle ich fest, ob der Client die Cookie-Annahme verweigert?
  • Wie übergebe ich Session-IDs ohne Cookies an eine andere Seite? Was ist Fallback?
  • Wie kann ich den Namen der Session ändern, ohne in die php.ini einzugreifen?
  • Wie schütze ich Sessiondaten zusätzlich?
  • Wie groß darf die Menge an Daten sein, die ich in einer Session speichern darf?
  • Wie kann ich mir den Inhalt der Sessiondaten anzeigen lassen?
  • Wie kann ich mir den Inhalt der Cookiedaten anzeigen lassen?
  • Was geschieht im Filesystem des Servers, wenn ich Sessions benutze?
  • Wie benutze ich die Session-Funktionen unter Windows?
  • Was sind Sessions und warum sind sie nützlich?
  • Wie speichere ich Objekte in Sessions?
  • Soll die Session-ID in URL-Parametern oder Cookies gespeichert werden?
  • Warum verwendet PHP nicht die IP-Nummer des Browsers als Schutz gegen eine Übernahme der Session?
  • Wie kann ich Reloads durch den User erkennen und verhindern?
• PEAR
• FAQ Lizenz
• PHP 3

29.15. Warum verwendet PHP nicht die IP-Nummer des Browsers als Schutz gegen eine Übernahme der Session?

Antwort von Kristian Köhntopp

PHP versucht, Sessions Benutzern zuzuordnen. IP-Nummern sind konstruktionsbedingt immer den Netzwerkinterfaces von Rechnern und nicht Benutzern zugeordnet. Das ist eine vollkommen andere Sache und die Auswertung von IP-Nummern würde zu Fehlern im Betrieb führen.

• Ein Rechner kann mehr als einen Benutzer haben. Jeder Benutzer auf diesem Rechner würde mit derselben IP-Nummer arbeiten. Ein Beispiel ist der Rechner kruuna.helsinki.fi:

  kris@valiant:~ > finger @kruuna.helsinki.fi  | wc -l
      114
  

  Auf diesem Rechner sind zum Messzeitpunkt über 110 Benutzer angemeldet gewesen, die alle über dieselbe IP-Nummer arbeiten.

• Ein Rechner kann mehr als einen Benutzer repräsentieren. Bei vielen Providern greifen Benutzer über Proxy-Server auf das Netz zu. Nach außen scheinen alle Zugriffe aus dem Netz des Providers von dem Proxy-Server zu kommen. Wenn der Proxy des Providers die Anonymisierungsfunktionen eingeschaltet hat, die z.B. der meistverwendete Proxy, squid2, ab Werk mitbringt oder die Programme wie WebWasher und JunkBuster bieten, dann sind diese Anwender auch durch weitere Header nicht zu unterscheiden.

• Die sichtbare IP-Nummer eines Benutzers kann während der Session wechseln. Viele Proxy-Server arbeiten in einem Cache-Verbund mit Lastverteilung. Die nach außen sichtbare IP-Nummer eines Anwenders wird je nach Lastsituation im Cache-Verbund diejenige IP-Nummer des am wenigsten ausgelasteten Proxy-Servers sein.

• Die tatsächliche IP-Nummer eines Benutzers kann während der Session wechseln. Viele Anwender arbeiten mit Timeout bei Inaktivität und dynamisch zugeteilten IP-Nummern. Lässt ein Anwender seinen Browser einige Minuten ungenutzt stehen, wird sich die IP-Verbindung abbauen. Dem Anwender wird beim Neustart der Netzverbindung unter Umständen eine neue, andere IP-Nummer zugeteilt.

Auch eine Auswertung der Headerzeile X-Forwarded-For, die manche Proxies setzen, ist nicht sinnvoll:

• Diese Headerzeile kann gesetzt sein, muss jedoch nicht vorhanden sein. Squid, Webwasher und Junkbuster entfernen diese Headerzeile, wenn dies gewünscht wird.

• Die Information in dieser Headerzeile ist weder authentisch noch eindeutig: Die verwendete IP-Nummer kann die IP-Nummer eines RFC-Netzes sein - es gibt also sehr viele Maschinen auf der Welt mit der IP-Nummer 192.168.1.1.