Может ли изменение IP во время сеанса?
Как насчет разных движков (PHP, Django, Ruby и т. Д.)?
PS: Я не совсем понимаю, что такое «динамический ip» и как они принадлежат интернет-провайдерам … И как сеансы нарушаются …
Обновление. Должен ли я отслеживать изменение IP-адресов для обеспечения безопасности? В настоящее время я работаю с PHP, поэтому, если встроенная система сеансов не имеет безопасности, предоставьте некоторый код и алгоритмы
IP-адреса могут меняться в любой момент – идея HTTP заключается в том, что каждый запрос является независимым.
В мире доступно всего около 3 миллиардов адресов IPv4. Некоторые интернет-провайдеры (большинство из них фактически) назначают IP-адреса динамически для каждого подключающегося клиента – так что, когда этот клиент отключается, IP-адрес может быть повторно использован для кого-то другого.
Что касается «сессий», все зависит от состояния государства. Самым разумным подходом является использование cookie – который позволяет вам подключаться с произвольного IP-адреса на произвольном носителе – в этот момент вам не следует беспокоиться о IP-уровнях HTTP.
Но опять же, люди известны тем, что делают странные вещи, например, используя IP-адреса для вещей, которые они никогда не имели в виду (в смысле OSI / IETF) для идентификации, аутентификации и т. Д. Это вдвойне плохо, потому что один IP может обычно означать много клиенты – например, все ваше домохозяйство, вероятно, имеет один и тот же публичный IP-адрес – что, если вы и ваш партнер посетили один и тот же сайт? Как сервер может рассказать обо всех вас отдельно?
@Обновить
Нет, вам не следует отслеживать изменения IP-адресов для «безопасности». Единственное исключение – если вы имеете дело с функциями geoIP и хотите отключить / раздражать пользователей различными службами анонимности.
В принципе, если ваши пользователи напрямую подключаются (а не через proxy / TOR), очень вероятно, что они снова подключатся из ближайшего местоположения. Если ваши пользователи однажды подключаются из США, один раз из России – это может означать, что это два разных человека (один из которых мог украсть учетные данные) или что пользователь использует сортировщик анонимайзера.
Если сайт является высокооплачиваемой целью (банковское дело, финансы, центральные учетные данные (считайте учетную запись Google)), вы можете геоинформационировать IP-адреса и сравнить, если расстояние изменилось более чем на 100 км в течение часа более чем в два раза – это вероятно, подозрительный, и вы можете настроить пользователя на дополнительные учетные данные.
В противном случае вы можете отображать последние несколько IP-адресов, но это, скорее всего, обледенение на торт с небольшой реальной стоимостью.
@ update2 Безопасность – сложный вопрос – всякий раз, когда вы имеете дело с ним, вам нужно ответить на два основных вопроса:
Безопасность того, что такое ценное, которое нуждается в защите
И безопасность против чего : Каков сценарий атаки, который вас беспокоит?
Просто подумал, что я бы добавил комментарий к этому, хотя это старый поток. IP-адрес посетителя на вашем веб-сайте может измениться, например, когда посетитель решает переключиться с мобильных данных на Wi-Fi. Возможно, он хочет что-то загрузить с вашего сайта и считает, что лучше использовать Wi-Fi для этого. Сессия может оставаться неизменной во время процесса.
1) Да, IP-адрес может меняться во время сеанса.
3) Нет, я не могу придумать никаких преимуществ безопасности «отслеживания изменений IP».
2) «Динамический IP-адрес» просто противоположный «статическому IP-адресу:
a) При использовании динамических IP-адресов («DHCP») сеть назначает адрес хосту (как правило, при загрузке).
b) Со статическим IP-адресом вы настраиваете хост с фиксированным неизменным адресом.
c) Динамические IP-адреса являются нормой. Их легче администрировать, они избавляют конечного пользователя от необходимости выполнять какую-либо сетевую конфигурацию и уменьшают риски конфликтов сетевых адресов.
Вот хорошая ссылка, которая могла бы сделать различие между «статической» и «динамической» адресацией более ясными:
http://compnetworking.about.com/od/workingwithipaddresses/qt/staticipaddress.htm