Hallo,
Da die Antwort nicht in einen Tweet passt, mache ich das hier etwas ausführlicher.
Danke 
ZitatLiveConfig verwaltet seine Session-ID über die URL, da mehrere gleichzeitige Sessions mit dem selben Browser über Cookie-basierte Session-IDs nicht möglich sind.
Macht auch durchaus Sinn, um somit gleichzeitig als unterschiedlicher User eingeloggt zu sein.
ZitatDa LiveConfig nicht anfällig für XSS (Cross Site Scripting) ist, besteht die einzige "Gefahr" also in einer bewußten oder unbewußten Weitergabe der URL mitsamt Session-ID (z.B. Screenshot, ...).
Mir fallen noch weitere Möglichkeiten ein:
- Proxy-Caches/Logs
- Internet-Cafes mit WLAN
ZitatUm diesem vorzubeugen, werden wir in der nächsten Preview-Version (1.1.4) ein zusätzliches Cookie mit speichern, welches die Verwendung der Session-ID auf den jeweiligen Browser begrenzt.
Klingt gut
ZitatEine Begrenzung auf die IP-Adresse des Logins (bzw. einer /16 (IPv4) oder /64 (IPv6) Maske) macht unserer Erfahrung nicht immer Sinn; wir haben häufig den Fall erlebt, dass ein Nutzer mehrere verschiedene Internet-Uplinks gleichzeitig nutzt (Outbound Load Balancing), die in völlig verschiedenen Netzbereichen lagen.
Klar - auch AOL-Proxy-User dürften wenig begeistert von IP-Limitierungen sein.
Allerdings war es etwas schockierend zu sehen, dass die simple Weitergabe der URL ("hier, schau mal!") plötzlich aus einem einfachen User einen Admin machte.
Ansonsten bin ich auf die weiteren Tests und Funktionalitäten gespannt
Viele Grüße,
Anton Dollmaier