Alex: max. Sicherheit beim Arbeiten von Login mit Sessions (PHP)

Beitrag lesen

Hallo,

ich mache mir gerade Gedanken um bestmögliche Sicherheit bei der Arbeit mit Sessions beim Login. Nun Interessieren mich andere Meinungen dazu...

ich bin letztens zufällig über diese Seite gestolpert:
http://code.google.com/intl/de/edu/security/index.html

Schau dir mal die Videos an - vorallem das erste "How to break Web Software" ist sehr interessant. Da geht es unter anderem auch um das stehlen von Sessions und andere Sicherheitsrisiken.

Ich schütze bei meiner Seite die Session noch durch die IP-Adresse des Users. Diese wird also in der Session gespeichert und bei jedem Request wird die gespeicherte mit der aktuell übermittelten IP verglichen - gibt es Unterschiede, wird der User hieruüber informiert und gebeten sich erneut einzuloggen.

Z.B. bei AOL Usern kann es da zu Problemen kommen, weil sich da mit jedem Request die IP ändern kann. Aber soweit ich weiß bleibt das immer in einem gewissen IP-Pool - nur die letzten 3 Zahlen verändern sich. Daher schneide ich also die zu testenden IPs jeweils um die letzten 3 Ziffern.

Bis jetzt habe ich noch von niemanden gehört, dass es damit Probleme gibt. Und die Sicherheit erhöht es jedenfalls, weil man nicht mehr so einfach vone inem anderen Internetanschluss die Session klauen kann.

Gruß
Alex