Wenn ein Hostname sowohl A- (IPv4) als auch AAAA-Records (IPv6) aufweist, nutzen manche Reverse Proxies wie nginx mal IPv4, mal IPv6. Dadurch prüft kivitendo manchmal (nämlich genau dann, wenn die Verbindung über IPv4 reinkommt) die Quell-IP. Wurde die Session aber initial über IPv6 erzeugt, so schlägt die Quell-IP-Prüfung natürlich fehl.
Die Quell-IP-Prüfung liefert eh einen mehr als fragwürdigen Gewinn an Sicherheit. Für IPv6, wo sich die Quell-Adresse aufgrund von Techniken wie Privacy Extensions mitten in der Session ändern kann, haben wir die Prüfung ja eh schon nicht mehr.
Sessions: keine Prüfung der Quell-IP-Adresse
Wenn ein Hostname sowohl A- (IPv4) als auch AAAA-Records (IPv6)
aufweist, nutzen manche Reverse Proxies wie nginx mal IPv4, mal
IPv6. Dadurch prüft kivitendo manchmal (nämlich genau dann, wenn die
Verbindung über IPv4 reinkommt) die Quell-IP. Wurde die Session aber
initial über IPv6 erzeugt, so schlägt die Quell-IP-Prüfung natürlich
fehl.
Die Quell-IP-Prüfung liefert eh einen mehr als fragwürdigen Gewinn an
Sicherheit. Für IPv6, wo sich die Quell-Adresse aufgrund von Techniken
wie Privacy Extensions mitten in der Session ändern kann, haben wir
die Prüfung ja eh schon nicht mehr.