User-Identifizierung: IP, Cookie, Session-ID, ...
0 0 
_roro
1
User-Identifizierung: IP, Cookie, Session-ID, ...
Hallo!
Seit einiger Zeit beschäftige ich mich damit, wie ich eindeutig einen Benutzer Identifizieren kann, u.a. um diverse Anmeldesystem zu verstehen bzw. welche Voraussetzungen benötigt werden (in Bezug auf Sicherheitseinstellungen im Browser/Firewall). Allerdings habe ich dabei einige Verständnisprobleme. Eine entsprechende Suche hat mir leider bisher auch noch weitergeholfen, daher hoffe ich hier Hilfe zu bekommen. Folgendes habe ich gefunden bzw. verstanden:
* Identifizierung per IP
(jeder Rechner erhält eine eindeutige IP)
Ist aus meiner Sicht nicht praktikabel, da bei der Benutzung eines Proxy-Server die einzelnen Benutzer nicht mehr Zugeordnet werden können, da nur noch die IP des Proxy-Servers weiter verwendet wird.
* Identifizierung per Cookie
(im Browser wird ein vom Server vergebener Wert gespeichert. Daran kann/wird der Nutzer/Browser erkannt)
Wäre eine Möglichkeit. Probleme treten nur auf, wenn der Nutzer Cookies deaktiviert hat.
* Identifizierung per Session-ID
(Der Server vergibt für eine Session an den Browser eine eindeutige Session-ID)
Wäre ein gute Möglichkeit. Können Session-IDs vom Nutzer deaktiviert werden?
* Identifizierung per Session-Cookie
Was sind Session-Cookies? Sind diese identisch mit Session-IDs?
Gibt es weitere Möglichkeiten der (sicheren) Identifizierung, vor allem in wenn der Nutzer hohe Sicherheitseinstellungen vorgenommen hat (d.h. viel Verbietet)?
Freue mich schon auf Erklärungen, Richtigstellungen und Rückmeldungen!
Gruß
Hagen
-
Such im Archiv!
* Identifizierung per IP
(jeder Rechner erhält eine eindeutige IP)
Ist aus meiner Sicht nicht praktikabel, da bei der Benutzung eines Proxy-Server die einzelnen Benutzer nicht mehr Zugeordnet werden können, da nur noch die IP des Proxy-Servers weiter verwendet wird.Richtig.
* Identifizierung per Cookie
(im Browser wird ein vom Server vergebener Wert gespeichert. Daran kann/wird der Nutzer/Browser erkannt)
Wäre eine Möglichkeit. Probleme treten nur auf, wenn der Nutzer Cookies deaktiviert hat.Richtig, aber was ist dann Plan B?
* Identifizierung per Session-ID
(Der Server vergibt für eine Session an den Browser eine eindeutige Session-ID)
Wäre ein gute Möglichkeit. Können Session-IDs vom Nutzer deaktiviert werden?Nein (eigentlich ja, aber das wäre sinnlos), m.E. die einzige Möglichkeit.
* Identifizierung per Session-Cookie
Was sind Session-Cookies? Sind diese identisch mit Session-IDs?Im übertragenden Sinne "Ja". Aber wieder die Cookie-Problematik.
Gibt es weitere Möglichkeiten der (sicheren) Identifizierung, vor allem in wenn der Nutzer hohe Sicherheitseinstellungen vorgenommen hat (d.h. viel Verbietet)?
Nein.
-
hi,
* Identifizierung per Session-Cookie
Was sind Session-Cookies? Sind diese identisch mit Session-IDs?geht im Prinzip so:
User meldet sich an über ein Script was serverseitig läuft (CGI). Die Credentials werden serverseitig geprüft und wenn ok, wird in der Antwort dem user ein cookie geschickt mit einem eindeutigen key-string. Gleichzeitig wird dieser key-string auf dem Server abgelegt.
Bei jedem Request, den der user dann an den Server schickt, wird der key im Header mitgeschickt. Die Session ist gültig, wenn der im Request-Header mitgesendete key-string auch auf dem Server existiert.
Session-ID - das ist der key-string.
--roro
-
Hi,
* Identifizierung per IP
(jeder Rechner erhält eine eindeutige IP)dem ist i.d.R. nicht so. Zumindest aus Sicht des Servers.
Ist aus meiner Sicht nicht praktikabel, da bei der Benutzung eines Proxy-Server die einzelnen Benutzer nicht mehr Zugeordnet werden können, da nur noch die IP des Proxy-Servers weiter verwendet wird.
Je nach Anwendungsfall kann es durchaus praktikabel sein, beispielsweise bei einer Reloadsperre eines Counters.
Können Session-IDs vom Nutzer deaktiviert werden?
Session-IDs sind (unter Berücksichtigung Deiner nachfolgenden Frage) Teil der URL.
* Identifizierung per Session-Cookie
Was sind Session-Cookies? Sind diese identisch mit Session-IDs?Es sind in Cookies gespeicherte Session-IDs. Der Vorteil ist, dass die Link-URLs und Formulare nicht verändert werden müssen; den Nachteil hast Du schon weiter oben beim Stichwort "Cookies" erkannt.
Gibt es weitere Möglichkeiten der (sicheren) Identifizierung, vor allem in wenn der Nutzer hohe Sicherheitseinstellungen vorgenommen hat (d.h. viel Verbietet)?
HTTP-Authentication oder Vergleichbares. Erfordert einen Login durch den Benutzer.
Freue mich schon auf Erklärungen, Richtigstellungen und Rückmeldungen!
Die Quintessenz Deiner Ausführungen und Fragen ist absolut richtig: Der Begriff "User" ist praktisch nicht wirklich definierbar, entsprechend ist er nicht erkennbar. Ausnahme: Login - und selbst das ist natürlich fälschbar. Die Frage ist nicht, wie genau es geht, sondern eher, wie ungenau es reicht.
Cheatah
--
X-Self-Code: sh:( fo:} ch:~ rl:° br:> n4:& ie:% mo:) va:) de:] zu:) fl:{ ss:) ls:~ js:|
X-Self-Code-Url: http://emmanuel.dammerer.at/selfcode.html
X-Will-Answer-Email: No
X-Please-Search-Archive-First: Absolutely Yes-
Ausnahme: Login - und selbst das ist natürlich fälschbar.
Wie ist das jetzt gemeint?
-
Hi,
Ausnahme: Login - und selbst das ist natürlich fälschbar.
Wie ist das jetzt gemeint?ein User kann mehrere Logins besitzen, ein Login kann von mehreren Usern genutzt werden. Eine eineindeutige Zuordnung User<->Login ist nicht möglich.
Cheatah
--
X-Self-Code: sh:( fo:} ch:~ rl:° br:> n4:& ie:% mo:) va:) de:] zu:) fl:{ ss:) ls:~ js:|
X-Self-Code-Url: http://emmanuel.dammerer.at/selfcode.html
X-Will-Answer-Email: No
X-Please-Search-Archive-First: Absolutely Yes-
Ausnahme: Login - und selbst das ist natürlich fälschbar.
Wie ist das jetzt gemeint?ein User kann mehrere Logins besitzen, ein Login kann von mehreren Usern genutzt werden. Eine eineindeutige Zuordnung User<->Login ist nicht möglich.
Bonusfragen: Ist das ein soziales Problem oder ein IT-Problem? (Oder beides? ;) Und kann man das Problem vielleicht lösen?
-
Hi,
Bonusfragen: Ist das ein soziales Problem oder ein IT-Problem?
ein religiöses: Gott gab dem Menschen einen freien Willen. Ich würde das nicht als Problem titulieren, sondern eher als Rahmenbedingung. Darüber hinaus ist die Grundlage ein IT-Problem, nämlich das, dass HTTP keine Definition des Begriffes "User" vorsieht.
Cheatah
--
X-Self-Code: sh:( fo:} ch:~ rl:° br:> n4:& ie:% mo:) va:) de:] zu:) fl:{ ss:) ls:~ js:|
X-Self-Code-Url: http://emmanuel.dammerer.at/selfcode.html
X-Will-Answer-Email: No
X-Please-Search-Archive-First: Absolutely Yes-
Bonusfragen: Ist das ein soziales Problem oder ein IT-Problem?
ein religiöses: Gott gab dem Menschen einen freien Willen. Ich würde das nicht als Problem titulieren, sondern eher als Rahmenbedingung. Darüber hinaus ist die Grundlage ein IT-Problem, nämlich das, dass HTTP keine Definition des Begriffes "User" vorsieht.
Nun, Du kannst Dir vielleicht denken, warum der Hamster hier noch ein wenig herumpruckelt. Es geht im Hintergrund um die "User-Online"-Thematik zu der wir eine andere Meinung haben, deren Kerndissenz ihm unklar ist.
Ich habe keine Probleme damit, wenn ein real unscharfer Vorgang in IT gegossen noch ein wenig unschärfer wird. Bspw. sind Vertragsdaten ebenfalls unscharf (wenn auch in geringerem Masse), reale Verträge sind es ebenfalls, Dein oben aufgeführter Vortrag sowieso.
Aber die Trennung/Abbildung "reale Welt->IT" und der Satz "Soziale Probleme sind sozial zu lösen." sind doch unstreitig, oder? Ähh, und HTTP ist das Protokoll auf diesem dürfen gerne (Geschäfts-)Protokolle liegen, die den Nutzer als Objekt kennen/definiert haben.
-
-
-
-
-