IP rõ ràng của thiết bị di động có ổn định chủ yếu cho phiên web không?

Question

Địa chỉ IP mà trang web thấy cho thiết bị di động (ví dụ: được đính kèm qua GRPS, 3G, v.v.) có thường xuyên thay đổi hay không đủ để thay đổi trong khoảng thời gian của phiên "người dùng" thông thường ?

Tôi nhận thấy rằng địa chỉ IP là không phải là dành riêng cho thiết bị; nó sẽ là địa chỉ IP của cổng thông qua đó thiết bị được kết nối, được chia sẻ trên nhiều (nhiều) thiết bị. (Giống như các thiết bị được kết nối qua NAT, giống như người dùng chia sẻ kết nối WiFi hoặc mọi người trên mạng công ty đằng sau tường lửa, tất cả đều dùng chung IP công khai.) Điều đó không sao cho mục đích của tôi. Đó là nếu nó thay đổi rất nhiều cho cùng một người dùng, trong một phiên (giữa các phiên không sao), điều đó sẽ có vấn đề.

Về cơ bản, tôi đang liên kết cookie phiên của người dùng với IP ứng dụng mà chúng tôi đã thấy khi người dùng xác thực, là một quốc phòng không hoàn hảo chống lại session hijack via cookie theft. Nó không hoàn hảo; nó là một trong nhiều biện pháp được sử dụng để giảm bề mặt tấn công. Nhưng nó sẽ gây rắc rối cho người dùng di động nếu chúng tôi liên tục vô hiệu hóa các phiên của họ vì địa chỉ IP rõ ràng của họ đã thay đổi.

Nhưng câu hỏi không phải là về cookie phiên, đó là về tần suất mà địa chỉ IP rõ ràng của thiết bị thay đổi.

Answer 1

Chúng không thay đổi trong các toán tử mà tôi biết (Tây Ban Nha, Bồ Đào Nha, Ý, Nam Phi) Nhưng có 10-100 IP cho tất cả người tiêu dùng. Có lẽ bạn có thể sử dụng useragent và các tiêu đề HTTP của nhà điều hành/điện thoại khác.

Answer 2

Bạn có thể chạy một vài thử nghiệm trên trang web của mình, duyệt qua từ điện thoại của bạn và xem thời điểm và nếu nó thay đổi trong access_log. Tôi nghi ngờ nó sẽ thay đổi thường xuyên, nhưng nó có thể nếu bạn đi lang thang hoặc nếu bạn đang di chuyển và thay đổi tháp.

Ngoài ra, nếu bạn muốn ngăn chặn trộm cắp cookie trộm cắp phiên, hãy cân nhắc sử dụng cookie chỉ dành cho Https.