Sessions: keine Prüfung der Quell-IP-Adresse
authorMoritz Bunkus <m.bunkus@linet-services.de>
Tue, 14 May 2019 14:03:02 +0000 (16:03 +0200)
committerMoritz Bunkus <m.bunkus@linet-services.de>
Tue, 14 May 2019 14:07:15 +0000 (16:07 +0200)
commit3ccf5a8a5d5ede8cb37d5e5886c128c6bb35ae00
tree63526163da032907f5f480f2a47f28bc8a520a6a
parent3fb7a4a550f230117a766150e89d0bcdf960bf39
Sessions: keine Prüfung der Quell-IP-Adresse

Wenn ein Hostname sowohl A- (IPv4) als auch AAAA-Records (IPv6)
aufweist, nutzen manche Reverse Proxies wie nginx mal IPv4, mal
IPv6. Dadurch prüft kivitendo manchmal (nämlich genau dann, wenn die
Verbindung über IPv4 reinkommt) die Quell-IP. Wurde die Session aber
initial über IPv6 erzeugt, so schlägt die Quell-IP-Prüfung natürlich
fehl.

Die Quell-IP-Prüfung liefert eh einen mehr als fragwürdigen Gewinn an
Sicherheit. Für IPv6, wo sich die Quell-Adresse aufgrund von Techniken
wie Privacy Extensions mitten in der Session ändern kann, haben wir
die Prüfung ja eh schon nicht mehr.
SL/Auth.pm