Hallo!

Ihr verwirrt mich ganz schön ;-)

Der Cookie wird wohl nirgendwo geloggt und um da
dran zu kommen müßte man nicht nur an irgendwelche
Logfiles kommen, sondern an einem der Rechner oder
irgendwo dazwischen lauschen, was  meiner Meinung
nach ein ganz erheblicher Unterschied ist!

dasselbe gilt aber auch für den UserAgent - beides
sind HTTP-Header.

EBEN NICHT!!! Der USer-Agent wird oft in Logfiles direkt neben dem referer geschrieben, da hat man ja direkt beides zusammen, da braucht man dann nicht mehr viel raten, daher meine Bedenken in diese Richtung! Der Cookie dagegen kann nur durch lauschen "abgefangen" werden, IMHO ein erhebliche Unterschied! Oder wo werden cookies geloggt???? ich gehe jetzt von dem Szenario aus, das ich mit SSL verschlüssel. Das heißt, lauschen ist wirklich nur mit sehr hohem Aufwand möglich, denke ich. Also soßllte ein cookie schonmal sicher sein, genauso alle anderen Daten die in keinen Logfiles erscheinen und immer unverändert bleiben. Jetzt ist nur noch die Frage, ob es noch Sinn macht zu der Session ID, die wenn möglich auch in einem cookie übertragen wird, noch den User-Agent zu verwenden - bringt das noch einen großen Gewinn an Sicherheit? Ich weiß jetzt nicht wie groß sich der Aufwand eine SessionId aus Logfiles oder wie auch immer zu bekommen, vom Aufwand die SessionID + dazugehörigen User-Agent zu bekommen, unterscheidet. Wenn im Cookie eine md5-codierte Kombination aus Zufallszahl und microtime() steht, sollte die auch schwer zu erraten sein, geschweige denn ohne gelauscht zu haben ins blaue einen Cookie zu erstellen. Das ist ja nicht nur ne Ascii Datei, sondern auch irgendwie eindeutig einem Server zugeordnet, und wie man das nachbildet ist meines Wissens nicht einfach.
Ich tendiere aber im Augenblick anstatt User-Agent eher zur PHP-Funktion get_browser(), ist in diesem Falle ja egal wie genau das ist, Hauptsache konstant - der Vorteil: Die Funktion bezieht Ihre Informationen nucht nur aus dem user-Agent, also ist die Hürde wieder eine Stufe höher angelegt, denke ich. Vielleicht sollte man auch beides noch kombinbieren, naja...
Das einzige was dann noch fehlt, ist sicher dafür zu sorgend, das niemand irgendwelche Rate-Attacken starten kann, aber das ist ein anderes Thema, und wir wollen ja auch langsam mal zum Punkt kommen, was?

Jedenfalls Danke nochmal für die interesante Diskussion, habe dabei einiges lernen können!

Viele Grüße
Andreas

PS: jetzt muß ich aber langsam ins Bett... ;-)