Sessions: mehr Sicherheit durch Speicherung der IP?

Alles, was PHP betrifft, kann hier besprochen werden.

Sessions: mehr Sicherheit durch Speicherung der IP?

Postby H.Klingel » 09. March 2006 16:10

Hallo,

ich werde ein php/mysql-System eintwickeln, dass von vielen Benutzern (ca. 200) gleichzeitig verwendet wird. Diese Benutzer sind alle in einem Intranet verbunden und haben eine feste IP.

Ich habe die Befürchtung, dass ssl das Sytem stark ausbremsen könnte. Deshalb suche ich nach einer Möglichkeit, das System ohne ssl abzusichern. Oder ist ssl gar nicht so leistungsintesiv?

Nun meine Überlegung: Wenn ich in der Session die IP-Adresse des Benutzers speichere und nach jedem session_start() überprüfe, ob die Session ID von dem selben Rechner kommt, von dem sie gesendet wurde, hätte ich doch schon einiges gewonnen, oder?

Zusätzlich plane ich, die Benutzung von Cookies vorzuschreiben, damit die Session ID nicht in der Adresszeile rum turnt.

Vielen Dank im Voraus,
Harald
H.Klingel
 
Posts: 31
Joined: 29. August 2005 09:07

Postby KingCrunch » 10. March 2006 00:28

Ich habe die Befürchtung, dass ssl das Sytem stark ausbremsen könnte. Deshalb suche ich nach einer Möglichkeit, das System ohne ssl abzusichern. Oder ist ssl gar nicht so leistungsintesiv?
Je nachdem nich so leistungsintensiv, wie du befürchtest. Natürlich brauch die Codierung/Decorierung gewisse Ressourcen, eber ich denk, das is je nachdem eher tragbar
Nun meine Überlegung: Wenn ich in der Session die IP-Adresse des Benutzers speichere und nach jedem session_start() überprüfe, ob die Session ID von dem selben Rechner kommt, von dem sie gesendet wurde, hätte ich doch schon einiges gewonnen, oder?
Auf jeden Fall, wobei die statische IP von den Nutzern natürlich auch geändert werden können, wenn sie dazu Rechte haben (sollte nicht vergessen werden). Also "Security"-Geschichte natürlich nur empfehlenswert.
Zusätzlich plane ich, die Benutzung von Cookies vorzuschreiben, damit die Session ID nicht in der Adresszeile rum turnt.
Lässt sich direkt über die PHP.ini automatisieren
Nicht jeder Fehler ist ein Bug ...
KingCrunch
 
Posts: 1724
Joined: 26. November 2005 19:25

Danke

Postby H.Klingel » 13. March 2006 11:48

Danke für die Hilfe,

ich halte es für durchaus zumutbar, dass sich ein User, wenn er von Hand seine IP ändert, erneut einloggen muss...

Viele Grüße,
Harald
H.Klingel
 
Posts: 31
Joined: 29. August 2005 09:07


Return to PHP

Who is online

Users browsing this forum: No registered users and 3 guests