Useridentifizierung mit Sessions, Ip und Browserangaben

Chumper

Erfahrenes Mitglied
Guten Abend allerseits,
ich mache mir gerade ein paar Gedanken, wie man eine sichere Useridentifizierung machen könnte.

Zum einem sind da Sessions, über deren id man den User identifizieren kann.
Sollte es allerdings zu Session-Hijacking kommen, möchte ich gerne noch ein paar andere
nicht so sichere Daten zum prüfen haben (Je mehr Daten übereinstimmen müssen, desto
schwieriger wird es ja den Login zu "faken").

Ich dachte hier noch daran die Login-Ip zu speichern und danach zu prüfen,
zudem auch noch die Angabe des Browsers zum Zeitpunkt des Logins, also zb:
Opera/9.51 (Windows NT 5.1; U; de).
Da ja die Session nur für den Zeitraum gültig sein soll, in der der Browser benutzt wird,
genauso für die Ip

Wäre das eine Möglichkeit das Entern der Session zu erschweren, bzw was kann man
noch vergleichen?

€dit: Bin mir nicht ganz sicher, ob der Bereich passend ist, könnte auch in Coders Talk hinein.
Und der Titel ist auch noch falsch xD Schande über mich :D, wenns geht bitte ändern.
 
Zuletzt bearbeitet:

Sven Mintel

Mitglied
Moin Nils,

also die Browserkennung kannst du vergessen.
Da man die Session-ID meistens über den Referer irgendeines Requests herausbekommt, muss man da bspw. im Logfile nur nachschauen, welche Browserkennung da am Start ist, und diese fälschen(was kein Problem darstellt).

Die IP kannst du schon heranziehen, das ist allerdings etwas nervig für User, deren IP sich öfters mal ändert :)

Ein Allheilmittel gibt es bei der Probmetik nicht.
 

splasch

Erfahrenes Mitglied
also die Browserkennung kannst du vergessen.
Da man die Session-ID meistens über den Referer irgendeines Requests herausbekommt, muss man da bspw. im Logfile nur nachschauen, welche Browserkennung da am Start ist, und diese fälschen(was kein Problem darstellt).

Em in welchen Logflie willste bitte bei einem Fremdem Webserver nachschauen? Dazu müsstes du schon Zugriff auf den Server haben oder versteh ich da jetzt was falsch.

Die IP kannst du schon heranziehen, das ist allerdings etwas nervig für User, deren IP sich öfters mal ändert

Die IP ändern sich nur wenn der User sich neu Einwählt. Somit kann es auch keinen User nerven. Ausnahmen du willst einen Dauerlogin machen über 1 Woche oder so. Davon würd ich aber generell abraten weil die alle unsicher sind. Oft reicht da schon nur das Cookie aus damit man eingelogt ist.

Mfg Splasch
 

Chumper

Erfahrenes Mitglied
Ich will auch nur einen Login bauen, der für die Dauer der Sitzung gültig ist, aber trotzdem
möchte ich soweit wie möglich verhindern, dass der Login gefakt wird.
Und da dachte ich dass sichere Identifizierungen und ein paar nicht so sichere zusammen
doch mehr Sicherheit versprechen.
 

Flex

(aka Felix Jacobi)
Die IP ändern sich nur wenn der User sich neu Einwählt. Somit kann es auch keinen User nerven. Ausnahmen du willst einen Dauerlogin machen über 1 Woche oder so. Davon würd ich aber generell abraten weil die alle unsicher sind. Oft reicht da schon nur das Cookie aus damit man eingelogt ist.

Mfg Splasch

Es gibt User die Anonymisierungsverfahren verwenden, die dann bei jedem Request eine neue IP verteilen (AOL hat's auch mal so gemacht), einfach schön per Round Robin weitergeleitet.
Oder Studentenwohnheim... 300 Leute mit der gleichen IP. Wie willst du das machen?

Ich finde die IP sollte unter keinen Umständen herangezogen werden.
Und nein, leider gibt es keine sichere Benutzererkennung.
 

Sven Mintel

Mitglied
Em in welchen Logflie willste bitte bei einem Fremdem Webserver nachschauen? Dazu müsstes du schon Zugriff auf den Server haben oder versteh ich da jetzt was falsch.
In meinem eigenen Logfile beispielsweise ;)

Angenommen ich binde auf einer fremden Seite, wo User Bilder hochladen können, ein Bild von meinem Webspace hoch. Werden auf dieser Seite Sessions verwendet, und ein User, dessen Session über die URL übergeben wird, schaut sich dieses Bild an, genügt ein Blick in das Logfile meines Webservers, und ich habe über den Referer des Requestes an mein Bild die Session-ID verfügbar.

Ob ich das Übernehmen der Session dann per Hand mache oder gleich automatisiere liegt dann im Aufgabenbereich des Skriptkiddies(welches ich allerdings nicht bin :) )