hi,

»» vorzubeugen. Es gibt jedoch weitere Möglichkeiten, Interesse?
JA!

Erstmal folgende Feststellung: Alles was nach dem Login einschließlich Sessionkey SK vom Browser zum Server geschickt wird, um zu prüfen ob die Session ok ist, kann geklaut und nachgebildet werden. Es hat also wenig Sinn, außer dem SK noch den UserAgent (ob IE, Mozi, FF...) oder irgendwelche Daten aus versteckten Formularfeldern zu übertragen.

Schauen wir mal weiter, was es noch so gibt.

HTTPS (SSL): Gute Idee, die Übertragung ist verschlüsselt, Klau des SK auf dem Ü-Weg nicht möglich.

IP-Adresse: Sofern sich diese nach einem Login nicht ändert, könnte die außer dem SK den Endrechner identifizieren, zumindest für die Dauer einer Session. Sind Proxyserver im Spiel, könnte es sein, dass sich die IP-Adresse noch innerhalb einer Session ändert (round robin-Proxies) oder dass mehrere User mit dergleichen IP-Adresse, nämlich mit der des Proxies vertreten sind. Hier wäre die Variable HTTP_X_FORWARDED_FOR von Interesse, die auf einem Proxy (squid) gesetzt werden sollte und die IP-Adresse des eigentlichen Requesters durchreicht.

Session zeitlich begrenzen: Auf jeden Fall. UND Abgelaufene SK's löschen.

Dem User können wir auch noch was aufbrummen: er soll bitteschön seinen PC nach dem Einloggen nicht unbeaufsichtigt lassen und sich nach Arbeitsende von der Anwendung ausloggen, so dass der Session-Key sofort gelöscht wird.

Hotte