ABAKUS

Guten Abend.

Mich beschäftigt gerade folgende Frage, die ich hier stellen möchte:

Wie lässt sich ein Nutzer (bzw. deren ClientRecher) sicher wieder erkennen gegenüber einem WebServer, ausgenommen die Hilfe von:
- Cookies
- IP-Adresse
- Browserkennung / Betreibsystemkennung
- JavaScript
- Java-Applets sowie Flash und alle ActiveX Elemente

Die Frage ist wahrscheinlich mehr theoretisch, aber das macht ja nichts.

Die Frage bezieht sich sowohl auf Modem- als auch auf DSL/Kabel Surfer, und versteht sich, auf ein Standart Linux-Webserver.

Grüsse
Hasso

Inwiefern meinst du das?

Meinst du es, wenn er direkt auf einen weiteren Link deiner Seite klickt? Dann würde ich eine Session vorschlagen. Denke aber nicht, daß du das meinst.

Aber evtl. gibt es eine Möglichkeit mit einem Java-Applet. Damit kannst du diverse Globale Variablen auslesen (interne IP-Adresse, Userhome etc.). Es muss halt zumindest ein JRE installiert und aktiviert sein. Oder Action-Script aber da kenne ich mich gar nicht aus.

Ich meinte es mehr als der Zugriff überhaupt, also der erster Zugriff auf den Webserver. SessionID ist daher etwas falsche Richtung, da der User Bsp. eine andere IP haben kann, und wie schon erwähnt an IP sollte die Erkennung nicht gebunden sein.

Gut, dass Du es erwähnst, die Java-Applets sowie Flash und alle ActiveX Elemente sind davon auch ausgenommen , habe mein Posting nun ergänzt.

Freue mich über weitere Anregungen.

Grüsse
Hasso

Nunja, fassen wir mal zusammen. Dir bleiben also nur noch die Daten, die ein Browser übermittelt...

Das sind nicht wirklich viele.... bzw. keine, wenn ich die von dir angegebenen Werte mal herausfiltere.

Habe mal was lustiges gesehen. Ein kleines Script, daß dir gesagt hat, ob du z.b. auf google warst.... Aber das hatte sich lediglich eines kleinen Tricks beholfen. Wenn google.de bereits besucht war, dann wurde die Styledefinition visited geladen und der Text wurde sichtbar indem Stand ja du warst dort..... Du könntest höchstens soweit gehen, daß du den weiterführenden Link dann ausblendest und einen anderen einblendest wenn jemand schon hier war und es noch in seinen cache hat. Aber das ist nunja, eine eher suboptimale Lösung und kann leicht umgangen werden.

Was anderes würde mir jetzt beim besten Willen auch nicht einfallen

HI,

ohne
- Cookies
- IP-Adresse
- Browserkennung / Betreibsystemkennung
- JavaScript
- Java-Applets sowie Flash und alle ActiveX Elemente

Keine mir bekannte Möglichkeit!

(evt. Trojaner )

RW

Ändert sich die Sachlage, wenn ich den Zugriff jetzt mittels .htaccess - Eintrages automatisch auf die verschlüsselte Verbindung lenke, lässt sich da mehr über den Nutzer erfahren?

Grüsse
Hasso

also bisher hat sich eine Username/Passwort Kombination hervorragend zur eindeutigen Userwiedererkennung bestens bewährt....

net(t)worker hat geschrieben:also bisher hat sich eine Username/Passwort Kombination hervorragend zur eindeutigen Userwiedererkennung bestens bewährt....

ja, klar , ..... aber was machst du nach dem Login? dann brauchst du auch wieder ip oder cookie (oder seasion id)....

Cookies, Sessions (über Cookie und URL) und HTTP-Authentifizierung sind die einzig sicheren Wege, einen Nutzer eindeutig zu verfolgen. IP, UA-Kennung, etc. sind alle sehr unsicher und nicht geeignet, einen Nutzer wiederzuerkennen.

Mit Ausschluss der von Dir genannten Kriterien bleibt die in der Tat nichts.....ausser vielleicht ein speziell angepasstes Virus.......um einen User wiederzuerkennen.

Bitte gestatte folgende Frage, wenn auch nur theoretisch
Worauf willst du hinaus?
Möchtest du jemanden wieder erkennen oder wunderst du dich, wie du selber ohne beschriebene Hilfsmittel wieder erkannt wurdest?
Twigg

800XE hat geschrieben:

net(t)worker hat geschrieben:also bisher hat sich eine Username/Passwort Kombination hervorragend zur eindeutigen Userwiedererkennung bestens bewährt....

ja, klar , ..... aber was machst du nach dem Login? dann brauchst du auch wieder ip oder cookie (oder seasion id)....

http-auth, da kannste dann username/Passwort bei jedem Seitenaufruf abfragen... keine cookies, ip oder Sessions nötig...

........und wenn er den login weitergibt ? Ist auch nicht sicher....

shapeshifter hat geschrieben:........und wenn er den login weitergibt ? Ist auch nicht sicher....

so gesehen hast du keine Möglichkeit deine User eindeutig wiederzuerkennen.... nichtmal über sessionid oder cookie, kann beides gefakt werden....

also müsstest du schon biometrische Verfahren implementieren... aber ein Finger oder nen Auge kann man auch weitergeben...

.. Username, Passwort bei jedem Seitenaufruf abfragen, oder biometrische Verfahren - klar das geht, aber das ist schon zu weit gegriffen, da hier schon weitere Handlungen von Seiten des Users nötig sind, was in der Aufgabe so nicht vorgegeben war.

@twiggie
Nun, wie heißt es so schön - "Ich will es wissen!", es gibt sicherlich schon mehr oder weniger gute Ansätze/Gedanken, die ich jedoch wiederum immer wieder in Frage stelle, darum interessiert es mich, was die anderen zu dem Thema zu sagen haben, vorausgesetzt natürlich, dass es für anderen genau so interessant ist, wie für mich. Denn auch, wenn wir es an der Ebene der "OSI-Modell" betrachten, bleibt ja die Frage offen, wie weit man gehen könnte - welche Daten ein Webserver angefragt werden könnte, oder auch nicht... , erstmal theoretisch.

Als Beispiel wäre z.B. die “Physikalische Adresse” (bspw. bei DSL Usern)
Die “Physikalische Adresse” sollte ja bspw. tatsächlich ein Teil des IP Headers bei IPv6 sein....

Grüsse
Hasso