From: Moritz Bunkus <m.bunkus@linet-services.de>
Date: Tue, 14 May 2019 14:03:02 +0000 (+0200)
Subject: Sessions: keine Prüfung der Quell-IP-Adresse
X-Git-Tag: release-3.5.4~70
X-Git-Url: http://wagnertech.de/gitweb/gitweb.cgi/mfinanz.git/commitdiff_plain/3ccf5a8a5d5ede8cb37d5e5886c128c6bb35ae00?ds=inline;hp=3ccf5a8a5d5ede8cb37d5e5886c128c6bb35ae00

Sessions: keine Prüfung der Quell-IP-Adresse

Wenn ein Hostname sowohl A- (IPv4) als auch AAAA-Records (IPv6)
aufweist, nutzen manche Reverse Proxies wie nginx mal IPv4, mal
IPv6. Dadurch prüft kivitendo manchmal (nämlich genau dann, wenn die
Verbindung über IPv4 reinkommt) die Quell-IP. Wurde die Session aber
initial über IPv6 erzeugt, so schlägt die Quell-IP-Prüfung natürlich
fehl.

Die Quell-IP-Prüfung liefert eh einen mehr als fragwürdigen Gewinn an
Sicherheit. Für IPv6, wo sich die Quell-Adresse aufgrund von Techniken
wie Privacy Extensions mitten in der Session ändern kann, haben wir
die Prüfung ja eh schon nicht mehr.
---