Para evitar el problema de la fijación de la sesión, ¿cómo podemos vincular la dirección IP con la identificación de la sesión? ¿Es posible enlazar la identificación de la sesión con la de la dirección IP?Enlace de la dirección IP con ID de sesión
Respuesta
Puede, pero no es una buena idea. Si su cliente está detrás de una granja de servidores proxy, su dirección IP externa puede cambiar en cada solicitud. AOL hace esto, por ejemplo.
No creo que esta sea una buena idea. Es posible que la solicitud posterior de los mismos usuarios no provenga necesariamente de la misma dirección IP porque la solicitud puede provenir de un proxy diferente. IIRC esto solía ser el caso para todos los usuarios de AOL y también podría ser el caso para otros proveedores o algunas redes corporativas.
Es mejor proteger su sesión con page tokens para evitar el secuestro de una sesión.
http://en.wikipedia.org/wiki/Session_fixation
if($_SERVER['REMOTE_ADDR'] != $_SESSION['PREV_REMOTEADDR']) {
session_destroy(); // destroy all data in session
}
session_regenerate_id(); // generate a new session identifier
$_SESSION['PREV_REMOTEADDR'] = $_SERVER['REMOTE_ADDR'];
Esto no va a funcionar. Si tiene una sesión autenticada, está prácticamente destruyendo la sesión de la víctima y dejando que el "atacante" cree una nueva sesión basada en la diferencia de dirección IP. La detección de la dirección IP nunca funcionará a menos que un cliente negocie con su IP para mantener la dirección en todo momento. Además, esto no es compatible con los ataques de falsificación de XSS – ha9u63ar
he leído algún artículo sobre él antes. Es posible que verifique la dirección IP del usuario como metadatos de sesión extra. pero si desea usarlo como ID de sesión general, puede tener problemas para tratar con los usuarios detrás de una determinada puerta de enlace proxy, donde todos los usuarios tendrán la misma dirección IP. aunque podría usarse para evitar el robo de sesión (usando técnicas como el secuestro de cookies) para algún nivel. pero se debe considerar que el secuestrador de cookies también puede imitar la dirección IP de la víctima. así que consultar la sesión del usuario y también la dirección IP puede ser una buena práctica para tener una mayor seguridad, pero no es una solución a prueba de balas.
- 1. ¿Cómo obtener la dirección IP cuando se crea una sesión?
- 2. Obtener la dirección IP de los visitantes
- 3. Cómo habilitar el registro de la dirección IP con Log4Net
- 4. php cookies y variables de sesión y dirección IP
- 5. ¿Cómo configuro la dirección IP con CherryPy?
- 6. Powershell interacción remota con la dirección IP de destino como
- 7. Dirección IP de sk_buff
- 8. Obteniendo la dirección IP local
- 9. Obtenga la dirección IP de la máquina
- 10. Obteniendo la dirección IP de la solicitud con Pyramid
- 11. ¿Cómo compararías la dirección IP?
- 12. ¿Cómo obtener la dirección IP?
- 13. Obtener la dirección IP de la puerta de enlace en android
- 14. Búsqueda de la dirección IP del usuario
- 15. Permitir dirección IP sin autenticación
- 16. Cómo obtener la dirección IP de sockaddr
- 17. Resolviendo la dirección IP del nombre de host con PowerShell
- 18. Uso de la dirección IP estática con Amazon EC2
- 19. Obtener el país de la dirección IP con PHP
- 20. C# Dirección IP de cadena
- 21. Obtener mi dirección de IP
- 22. cURL dirección IP
- 23. incorrecto Dirección IP con Nginx + unicornio carriles
- 24. Geocodificar una dirección IP?
- 25. .Net Dirección IP IPv4
- 26. Dirección IP en Silverlight
- 27. Dirección IP inyección SQL
- 28. Obtener la dirección IP con la cadena URL? (Java)
- 29. Validar una dirección IP (con máscara)
- 30. Generar dirección IP aleatoria
Esto todavía no es un problema, pero tan pronto como se use IPv6, los clientes cambiarán su dirección IP con bastante frecuencia, ya sea que provengan de AOL o no. – innaM
@Manni Care para profundizar en eso? – vartec
Me refería a las "Extensiones de privacidad IPv6". : http://tools.ietf.org/html/rfc3041 – innaM