Hi,

Warum denn nicht den HTTP_USER_AGENT???

der Header kann beliebig verändert, also auch z.B. von einem Proxy mit dem Timestamp versehen werden. In dem Fall würde die Erkennung versagen.

Solange der sich über die Session nicht verändert

Das ist eben nicht gewährleistet; und der User wird i.d.R. auch nicht merken, wenn sich da was verändert. Bei einer neuen IP weiß er ja zumindest, dass er sich neu eingeloggt hat oder so :-)

(oder nicht existiert)

Das wäre auch kein Problem - solange der Leerstring konstant bleibt.

Ich will nur nicht riskieren, das die hälfzte der leute andauernd wegen solchen Sicherheits-Featureas rausfliegt!

Die Hälfte wird es nicht sein, sondern nur die absolute Ausnahme. Dennoch: Der User-Agent ist als Erkennungsindiz sinnvoll bei sowas wie einer Counter-Reloadsperre, wenn es nichts ausmacht, nicht wiedererkannt zu werden. Bei allem, was einen Login erfordert, möchte der User zu Recht nicht ständig seine Daten neu eingeben müssen - das ist nämlich evtl. auch wieder ein Sicherheitsrisiko, oder zumindest scheint es so.

denn komischerweise hatten alle Leute dieselbe REMOTE_ADRESS, und das war die des weiterleitenden Providers!

Das ist dann aber ein Problem, dass mit dem Webspace zusammenhängt, und ergo lösbar ist: spätestens durch einen Providerwechsel. Sowas musst Du nur einmalig sicherstellen, und brauchst es somit bei einem sicherheitsrelevanten Algorithmus nicht weiter zu beachten. Wichtig ist, was von Clientseite aus auf welche Weise zu Dir getragen wird.

Das kann ich zwar verhindern, aber kann sowas nicht auch zwichen durch passieren, ohne dass ich Einfluß darauf habe?

Nur wenn Dein Provider radikal am System etwas verändert. Sprich Dich ggf. mit ihm ab (schriftlich).

wenn da 15 Startionen zwischen sind, kann  es nicht sein das sich da von selbst irgend ein weg ändert, über einen anderen Proxy?

Normalerweise verbindet sich ein Proxy nicht zu einem anderen Proxy - zumindest nicht willkürlich. Es mag gerne sein, dass mehrere Proxies auf dem Weg zwischen einem bestimmten User und "dem Internet"[tm] liegen; aber dies darf jeweils als definiert angesehen werden. Für die Dauer der Verbindung hat ein User immer dieselbe IP. Die bereits erwähnte "selbst schuld"-Ausnahme sind Anonymizer.

Nochmal kurz zur Fäkschungssicherheit, ich denke man kann ALLES was man dem Server schickt beeinflussen, wenn man sich da entsprechend auskennt. Mit der IP ist zwar erstmal dumm wenn man die eigene "ändert", denn dann kommen die Antworten woanders an, oder?

Ja, so in etwa.

Gibt es tatsächlich keine Möglichkeit, da irgendeinen bösen proxy oder was weiß ich zwischenzuhängen,

Klar, wenn dieser die IP des Users hat, als der man sich einloggen möchte - und das ist hinreichend unwahrscheinlich. Innerhalb des Session-Timeouts müsste man diverse Umkonnektierungen (ggf. auch hardwaremäßig) durchführen, die im Zweifel einen Zeitrahmen von Tagen haben... :-)

Aber was Refferer-Logs sind verstehe ich jetzt gar nicht mehr. Ich dachte das wären die "normalen" Apache-Logfiles?!

Der Referrer ist "die Seite, auf der der Link zur aktuellen Seite stand" (genauer: "die Ressource, von der aus zur aktuellen Ressource referenziert wird" - bei Bildern also z.B. die Seite, auf der sie stehen). Apache-Logfiles sind so konfigurierbar, dass der Referrer, welcher ja nur ein weiterer HTTP-Header ist, mit drin steht.

Was hat das mit verschiedenen Benutzern zu tun?

Nichts :-) Aber wenn in meinem Logfile eine fremde Session-ID auftaucht (der Referrer ist ja sozusagen "die Vorgänger-Seite"), dann kann ich sie lesen und ggf. benutzen.

Meine eigenen Refferer bringen mir da ja nichts!

Es sind nicht "Deine" Referrer, sondern die des Users. In _meinem_ Logfile taucht die Seite auf, auf der _Du_ warst, _bevor_ Du zu mir gelangt bist.

Cheatah