Frage:Login System & AOL User

Funjoy

Funjoy

Erfahrenes Mitglied
Hallo,

Ich habe mal eine Frage zu einen Login System welches über Session und MySQL läuft. Um das ein User ein sicheren Bereich betreten kann wird mittels if- Abfragen Passwort und Username überprüft. Um die Session gefahrlos mittels Link weiter zu geben wird auch noch die Aktuelle IP mit der vom Login verglichen.
So wenn nun sich AOL User bei mir einloggen funktioniert das nicht mehr mit den IP vergleichen da die User von AOL rotierende Ips besitzen. So nun sitz ich hier und Überlege wie ich das Login system für AOL User mach könnte.

Meine Ideen bisher waren:
1.) Überprüfen ob User ein AOL User ist wenn ja keine IPs Vergleichen! Jedoch wäre hier die Übergabe der session gefährlich da jeder dann zugriff auf den Account vom User hätte.

2.) Cookie Setzen bei AOL User. Jedoch Akzeptiert nicht jeder Cookies!

das wars auch schon mit den Ideen :-)

Wie würdet Ihr bzw. wie habt Ihr das Problem bei euch gelößt.

MfG Funjoy
 
Die Sicherheit wird druch prüfen der IP aber auch nicht wirklich erhöht bzw. geschmältert wenn sich die IP ändert. Wenn ich mich aus der Firma irgendwo einloggen könnte kann es auch sein das sich meine IP ändert aufgrund der x-Proxies....

Wichtiger in Richtung Sicherheit wäre da eher, dass wenn der User authentisiert ist, du für dich die Session als gültig kennzeichnest. Um etwas mehr gegen das sog. Session hijacking virzugehen kannst du ab ich glaube PHP 4.3 session_regenerate_id(); verwenden. Hiermit wird einfach bei jedem Aufruf die Session_id geändert.
 
Hallo Funjoy,

ich hoffe, ich habe Dich richtig verstanden.
Der Weg, jemanden über eine IP zu identifizieren, ist m.E. generell unsicher, da nicht nur jeder AOL-Nutzer sondern auch jeder, der sich per ISDN einwählt und die meisten DSL-Nutzer keine statische IP haben.
Zudem gibt es Router&Proxies, die - soweit ich weiß - für alle hinter ihnen sitzenden PCs eine Anfrage mit ihrer IP 'rausschicken, nicht der des Nutzers.
Zudem - was, wenn mal ein anderer an dem PC sitzt, z.B. wie in einem Internetkaffee üblich?

Daher arbeiten die Logon-Systeme auch mit Nutzername und Passwort und nicht mit der IP.
 
Hallo

@Gorcky,Ben Ben

Ich glaube Ihr versteht mich nur zum Teil :-)

Mit der IP wird nur verglichen ob der User der sich auch bei mir eingeloggt hat der richtige ist. Warum das Ganze? z.B. jemand Chatet mit einen und der sagt schau dir mal das an:

http://www.phpline.de/PHPLINE/index.php?target=HOME&SESSID=2bbf9d841d10b577dfa4942aab7a9271

würde ich nun in mein Script die IP nicht vergleichen wäre der jenige der den Link benutzt als Funjoy eingeloggt!

zu mehr wird die IP auch nicht benuzt wenn jemand langfristig sich einloggt dann geschieht das mittels Cookie und da wird z.B. keine IP gespeichert.

@Ben Ben
Das mit session_regenerate_id() werde ich mir mal anschauen.

MfG Funjoy
 
Ja eigentlich identifizierst du ja den User eindeutig über die eindeutige SessionID. Was du nun tust um die ID als für den user gültig zu valdieren ist dir überlassen. Ob das nun eben das Speichern der IP ist, von dem so wie ich das sehe die meisten weggehen, aufgrund der beschriebenen Sonderfälle, oder irgendwas anderes machst ist ja deine Sache.
 
IP vergleichen bringt dir so gut wie gar nix. Normalerweise bekommt man so ziemlich überall bei jedem enwählen eine andere IP zugewiesen. Wenn sich der User also irgendwann mal wieder einloggt wied die IP nicht nehr die selbe sein und er wird sich nicht mehr einloggen können.
 
darum gehts nicht ;)

musst vielleicht nochmal den thread lesen, es geht darum, dass user die links mit der sid weitergeben nicht in gefahr sind, das die empfänger des links dann automatisch als derjenige eingeloggt sind, der den Link weitergegeben hat.

Das Problem ist eben, das sich auch ohne Auswahl bei AOL usern die IP ändert!
 
wenn ich zb ein Popup mit zusatzinfos mache, muss ich ja die sid per url übergeben oder liege ich da falsch?

wenn ich das nicht müsste, wiso haben dann große Boards wie zb WBB immer ne sid hinten an der url?
 
Um antworten zu können musst du eingeloggt sein.

Neue Beiträge

Zurück