Per evitare il problema di risoluzione della sessione, come è possibile associare l'indirizzo IP all'ID di sessione? È possibile associare l'ID di sessione a quello dell'indirizzo IP ??Connessione dell'indirizzo IP con ID sessione
risposta
È possibile, ma non è una buona idea. Se il tuo cliente si trova dietro una farm di proxy, il suo indirizzo IP esterno potrebbe cambiare a ogni richiesta. AOL fai questo, per esempio.
Non penso che questa sia una buona idea. Le richieste successive degli stessi utenti potrebbero non provenire necessariamente dallo stesso indirizzo IP perché la richiesta potrebbe provenire da un altro proxy. IIRC questo era il caso per tutti gli utenti AOL e potrebbe essere il caso anche per altri provider o alcune reti aziendali.
È meglio proteggere la sessione con page tokens per impedire il sequestro di una sessione.
http://en.wikipedia.org/wiki/Session_fixation
if($_SERVER['REMOTE_ADDR'] != $_SESSION['PREV_REMOTEADDR']) {
session_destroy(); // destroy all data in session
}
session_regenerate_id(); // generate a new session identifier
$_SESSION['PREV_REMOTEADDR'] = $_SERVER['REMOTE_ADDR'];
Questo non funzionerà. Se hai una sessione autenticata, stai praticamente distruggendo la sessione di una vittima e lasciando che "l'attaccante" crei una nuova sessione in base alla differenza di indirizzo IP. Il rilevamento dell'indirizzo IP non funzionerà mai a meno che un client non negozi con il loro IP per mantenere l'indirizzo sempre lo stesso. Inoltre, questo non supporta gli attacchi di forging XSS – ha9u63ar
ho letto qualche articolo su di esso prima. è possibile controllare l'indirizzo IP dell'utente come metadati di sessione aggiuntivi. ma se si desidera utilizzarlo come ID di sessione generale, si potrebbe avere un problema con gli utenti dietro un determinato gateway proxy, in cui tutti gli utenti avranno lo stesso indirizzo IP. anche se potrebbe essere usato per prevenire il furto di sessione (usando tecniche come il dirottamento di cookie) per un certo livello. ma si dovrebbe considerare che il dirottatore di cookie può anche imitare l'indirizzo IP della vittima. quindi controllare la sessione utente e anche l'indirizzo IP può essere una buona pratica per avere una maggiore sicurezza, ma non è una soluzione a prova di proiettile.
- 1. Flask - Come ottenere ID sessione
- 2. ID sessione di rigenerazione
- 3. httpservletrequest - crea nuova sessione/modifica sessione Id
- 4. Ottieni ID connessione PDO
- 5. Lunghezza ID sessione in Tomcat
- 6. ID sessione univoco in python
- 7. Connessione TCP/IP su un'interfaccia specifica
- 8. Connessione a SQL Server 2008 con TCP/IP
- 9. Come utilizzare la connessione con la sessione di phoenix?
- 10. Connessione socket tramite indirizzo IP secondario
- 11. Gran numero di Session_Start con lo stesso ID di sessione
- 12. Mantenimento ID utente Facebook in sessione
- 13. Come ottenere l'indirizzo IP quando viene creata una sessione?
- 14. id di sessione cookie nel GWT RPC
- 15. Come viene generato un ID sessione?
- 16. ID sessione PHP cambia tra le pagine
- 17. Trova l'indirizzo IP del client in una sessione SSH
- 18. Ottieni indirizzo IP server da JSP Richiesta/oggetto sessione
- 19. È possibile nascondere l'indirizzo IP in una connessione PHP?
- 20. Come stabilire una connessione TCP/IP abilitata SSL in Ruby
- 21. "Connessione chiusa da [HOST IP]" utilizzando l'autenticazione della chiave dsa
- 22. Determinazione dell'indirizzo IP e della porta di una connessione TCP/IP in entrata in Erlang
- 23. Ottieni l'indirizzo IP locale senza connessione a Internet
- 24. Azure e endpoint: consente la connessione di un solo IP
- 25. Forza il protocollo TCP/IP nella stringa di connessione
- 26. Come si interrompe una connessione TCP/IP arbitraria su Linux?
- 27. Connessione a un server TCP/IP tramite script php
- 28. Restrizione IP con htaccess
- 29. Token di convalida CSRF: ID di sessione sicuro?
- 30. Come analizzare HttpWebResponse.Headers.Keys per un ID sessione Set-Cookie restituito
Questo non è ancora un problema, ma non appena IPv6 viene utilizzato, i client cambieranno il loro indirizzo IP abbastanza spesso, sia che provengano da AOL o meno. – innaM
@Manni Ti interessa approfondire? – vartec
Mi riferivo alle "Estensioni della privacy IPv6". : http://tools.ietf.org/html/rfc3041 – innaM