Enlace de la dirección IP con ID de sesión

Question

Para evitar el problema de la fijación de la sesión, ¿cómo podemos vincular la dirección IP con la identificación de la sesión? ¿Es posible enlazar la identificación de la sesión con la de la dirección IP?

Answer 1

Puede, pero no es una buena idea. Si su cliente está detrás de una granja de servidores proxy, su dirección IP externa puede cambiar en cada solicitud. AOL hace esto, por ejemplo.

Answer 2

No creo que esta sea una buena idea. Es posible que la solicitud posterior de los mismos usuarios no provenga necesariamente de la misma dirección IP porque la solicitud puede provenir de un proxy diferente. IIRC esto solía ser el caso para todos los usuarios de AOL y también podría ser el caso para otros proveedores o algunas redes corporativas.

Es mejor proteger su sesión con page tokens para evitar el secuestro de una sesión.

Answer 3

http://en.wikipedia.org/wiki/Session_fixation

if($_SERVER['REMOTE_ADDR'] != $_SESSION['PREV_REMOTEADDR']) { 
    session_destroy(); // destroy all data in session 
} 
session_regenerate_id(); // generate a new session identifier 
$_SESSION['PREV_REMOTEADDR'] = $_SERVER['REMOTE_ADDR']; 

Answer 4

he leído algún artículo sobre él antes. Es posible que verifique la dirección IP del usuario como metadatos de sesión extra. pero si desea usarlo como ID de sesión general, puede tener problemas para tratar con los usuarios detrás de una determinada puerta de enlace proxy, donde todos los usuarios tendrán la misma dirección IP. aunque podría usarse para evitar el robo de sesión (usando técnicas como el secuestro de cookies) para algún nivel. pero se debe considerar que el secuestrador de cookies también puede imitar la dirección IP de la víctima. así que consultar la sesión del usuario y también la dirección IP puede ser una buena práctica para tener una mayor seguridad, pero no es una solución a prueba de balas.