2012-12-14T19:44:28 GwenDragon

Ich nehme an du verwendest niemals Sessions mit IPs? Dann brauchst du $ENV{REMOTE_ADDR} natürlich nicht. Und du verwendest auch immer selbst gestrickte CGI-Module anstatt derer auf CPAN. Dann kommt dir nie eine IP zu Gesicht. ;)

IP-Adressen in eine Session einbeziehen, davon kann ich nur abraten. Das verbietet schon das OSI-Referenzmodell:

Deine Anwendung läuft auf Layer 7 bis maximal zum Protokoll HTTP und das wäre Layer 5. TCP ist Layer 4 und IP ist Layer 3.

Es gibt keine Garantie, dass eine Anwendung, die in den Layer 3 greift, sicher funktioniert, zum Verständnis dieser Tatsache stelle Dir vor, dass die Verbindung über einen Proxyserver läuft und damit die REMOTE_ADDR bei jedem Request einen anderen Wert bekommt.

Aus meiner beruflichen Praxis als Netzwerkmanager habe ich übrigens sehr viele IP-Adressen zu Gesicht bekommen ;)

Ein Fall, der schon ein paar Jahre zurückliegt: Unsere Kunden meldeten, dass das Windows-Update nicht funktioniert, es gab Abbrüche. Meine Untersuchungen haben dann ergeben, dass die serverseitigen Prozesse seitens Microsoft eine IP-basierte Session verwenden. Andererseits gab es infolge unserer Secure-Policy mehrere HTTP-Proxyserver, die gleichzeitig als Virenscanner arbeiten. Diese Proxyserver lagen u.a. in meinem Zuständigkeitsbereich. Infolge Load-Balancing war eine IP-basierte HTTP-Session unbrauchbar. Ich habe Microsoft informiert und die haben das dann abgeändert.

Btw., nach außen hin, war unsere Firma mit nur einer einzigen öffentlichen IP-Adresse vertreten, dahinter steckte nicht nur der Campus sonderen auch das ganze Kundennetz mit geschätzen fünfzigtausend Mitarbeitern.

@Jan
Edit: mehr als 100.000
Jetzt lass mal einen von denen in einem Shop was bestellen und sag dann, anhand der IP-Adresse, wer das war ;)

Und noch eine Anmerkung: Wer IP-Adressen loggen will, soll das auf dem Layer tun, der dafür zuständig ist. Das betrifft Router, die auf dem Layer 3 arbeiten.

Last but not least: An einer anderen Stelle habe ich hier im Forum bereits einmal darauf hingewiesen, dass die Verbindung von einem Browser zu einem Webserver keine Point-2-Point-Verbindung ist. Das scheint wohl niemanden zu interessieren, daher noch einmal: Bei einem HTTP-Request sind viele Geräte mit vielen IP-Adressen beteiligt, hinter denen sich mehr als nur zwei juristische Personen verbergen. Wer hier forensisch vorgehen möchte, dem wünsche ich einfach nur Glück.

Rosti
Last edited: 2012-12-14 22:50:00 +0100 (CET)