¿La dirección IP que un sitio web ve para un dispositivo móvil (por ejemplo, conectado mediante GRPS, 3G, etc.) cambia con frecuencia o es lo suficientemente estable como para que no cambie durante la "sesión" normal de un usuario? ?¿La IP aparente de un dispositivo móvil es en su mayoría estable para una sesión web?
Me doy cuenta de que la dirección IP es no específica para el dispositivo; va a ser la dirección IP de la puerta de enlace a través de la cual está conectado el dispositivo, que se comparte a través de muchos (muchos) dispositivos. (Al igual que los dispositivos conectados a través de NAT, como los usuarios que comparten una conexión WiFi o las personas en una red corporativa detrás de un firewall, todos comparten la misma IP pública). Eso está bien para mis propósitos. Es si cambia mucho para el mismo usuario, durante una sesión (entre sesiones está bien), eso sería problemático.
Básicamente, estoy vinculando cookies de sesión de usuario a la dirección IP del cliente que vimos cuando el usuario se autenticó, como una defensa imperfecta contra session hijack via cookie theft. Es imperfecto; es una de varias medidas usadas para reducir la superficie de ataque. Pero causaría problemas a los usuarios de dispositivos móviles si invalidamos constantemente sus sesiones porque su aparente dirección IP ha cambiado.
Pero la cuestión no es sobre las cookies de sesión, sino sobre la frecuencia con la que cambia la dirección IP aparente del dispositivo.
Gracias por la información. Sí, como dije, la dirección IP es * parte * de la solución, no del todo. –