Hallo Matthias,

unabhängig von der Machart des Login Systems: Was haltest Du davon, bei einem Loginsystem mit zeitlicher Begrenzung (also zB. automatischer Logout nach 15 Minuten) als eine _zusätzliche_ Sicherheitsstufe bei jedem Seitenaufruf nicht nur den Loginstatus zu überprüfen, sondern auch, ob die IP des Clients die selbe ist wie zum Zeitpunkt des Logins? (Was in diesem Beispiel ja maximal 15 Minuten her sein kann.)

Oder sind da dynamische IPs ein Argument, das _nicht_ zu tun?

Mit lieben Grüßen

Melvin Cowznofski

--


What – me worry?