5
Để ngăn sự cố phiên làm việc, làm thế nào chúng ta có thể liên kết địa chỉ IP với id phiên? Có thể liên kết id phiên với địa chỉ IP không?Ràng buộc địa chỉ IP với id phiên
A
Trả lời
3
Bạn có thể, nhưng đó không phải là ý tưởng hay. Nếu khách hàng của bạn ở phía sau trang trại proxy, địa chỉ IP bên ngoài của họ có thể thay đổi theo mọi yêu cầu. AOL làm điều này, ví dụ.
7
Tôi không nghĩ rằng đây là một ý tưởng hay. Yêu cầu tiếp theo từ cùng một người dùng có thể không nhất thiết đến từ cùng một địa chỉ IP vì yêu cầu có thể đến từ một proxy khác. IIRC này từng là trường hợp của tất cả người dùng AOL và có thể là trường hợp đối với các nhà cung cấp khác hoặc một số mạng công ty.
Tốt hơn là nên bảo mật phiên của bạn với page tokens để ngăn chặn mức cao một phiên.
1
http://en.wikipedia.org/wiki/Session_fixation
if($_SERVER['REMOTE_ADDR'] != $_SESSION['PREV_REMOTEADDR']) {
session_destroy(); // destroy all data in session
}
session_regenerate_id(); // generate a new session identifier
$_SESSION['PREV_REMOTEADDR'] = $_SERVER['REMOTE_ADDR'];
+0
Tính năng này sẽ không hoạt động. Nếu bạn có một phiên xác thực, bạn đang thực tế phá hủy phiên của nạn nhân và để cho "Kẻ tấn công" tạo một phiên mới dựa trên sự khác biệt địa chỉ IP. Phát hiện địa chỉ IP sẽ không bao giờ hoạt động trừ khi khách hàng thương lượng với IP của họ để giữ địa chỉ giống nhau mọi lúc. Ngoài ra, điều này không hỗ trợ tấn công giả mạo XSS – ha9u63ar
2
Tôi đã đọc một số bài viết về nó trước đây. có thể bạn kiểm tra địa chỉ IP của người dùng dưới dạng dữ liệu meta phiên bổ sung. nhưng nếu bạn muốn sử dụng nó làm ID phiên chung, bạn có thể gặp sự cố để xử lý người dùng phía sau một cổng proxy cụ thể, nơi tất cả người dùng sẽ có cùng một địa chỉ IP. mặc dù nó có thể được sử dụng để ngăn chặn hành vi trộm cắp phiên (sử dụng các kỹ thuật như cookie highjacking) cho một số cấp độ. nhưng nó nên được xem xét rằng các hijacker cookie cũng có thể bắt chước địa chỉ IP của nạn nhân. vì vậy việc kiểm tra phiên người dùng và địa chỉ IP có thể là một phương pháp hay để có độ bảo mật cao hơn, nhưng không phải là giải pháp chống đạn.
Các vấn đề liên quan
- 1. Ràng buộc địa chỉ IPv6 vào ổ cắm Python làm địa chỉ IP nguồn
- 2. Chứng chỉ SSL có bị ràng buộc với địa chỉ IP của máy chủ không?
- 3. WCF: Net.TCP nhiều ràng buộc, cùng một cổng, Địa chỉ IP khác nhau
- 4. Kết nối IIS Express với một Địa chỉ IP
- 5. Tăng địa chỉ IP
- 6. Cách nghe trên nhiều địa chỉ IP?
- 7. Các ổ cắm ràng buộc vào các địa chỉ IPv6
- 8. Địa chỉ IP từ sk_buff
- 9. Địa chỉ IP trong MaskedTextBox?
- 10. trim địa chỉ ip octet
- 11. Cách bật ghi nhật ký địa chỉ IP với Log4Net
- 12. Tìm địa chỉ IP trong iphone
- 13. Duyệt Web Site Với Địa chỉ IP Thay vì localhost
- 14. Chuyển đổi [địa chỉ NSNetservice] để ip địa chỉ chuỗi
- 15. Powershell remoting với địa chỉ ip là mục tiêu
- 16. Địa chỉ IP bị khóa PHP
- 17. Số nguyên cho Địa chỉ IP - C
- 18. expressjs Bind đến một địa chỉ IP cụ thể
- 19. Không thể khởi động máy chủ: Ràng buộc trên cổng TCP/IP: Không thể gán địa chỉ được yêu cầu
- 20. Ràng buộc trên Id thư SMTP?
- 21. Nhận địa chỉ IP cục bộ
- 22. Đảo ngược ip, tìm tên miền trên địa chỉ IP
- 23. Cách lấy địa chỉ IP tăng :: asio :: ip :: tcp :: socket?
- 24. Trang web hiển thị khác với địa chỉ máy chủ cục bộ và địa chỉ IP
- 25. Nhận địa chỉ IP yêu cầu với Pyramid
- 26. Sử dụng địa chỉ IP tĩnh với Amazon EC2
- 27. Kết hợp địa chỉ IP với quốc gia
- 28. Xác thực địa chỉ IP (với mặt nạ)
- 29. Dns.GetHostEntry trả về nhiều địa chỉ IP
- 30. Tạo Địa chỉ IP Ngẫu nhiên
Đây chưa phải là vấn đề, nhưng ngay khi IPv6 được sử dụng, khách hàng sẽ thay đổi địa chỉ IP của họ khá thường xuyên, cho dù họ đến từ AOL hay không. – innaM
@Manni Care để giải thích về điều đó? – vartec
Tôi đang đề cập đến "Tiện ích mở rộng bảo mật IPv6". : http://tools.ietf.org/html/rfc3041 – innaM