Um das Problem der Sitzungsfixierung zu verhindern, wie können wir die IP-Adresse mit der Session-ID binden? Ist es möglich, die Session-ID mit der der IP-Adresse zu verbinden ??Bindung der IP-Adresse mit Session-ID
Antwort
Sie können, aber es ist nicht so eine gute Idee. Wenn sich Ihr Client hinter einer Proxy-Farm befindet, kann sich die externe IP-Adresse bei jeder Anfrage ändern. AOL macht das zum Beispiel.
Ich denke nicht, dass dies eine gute Idee ist. Nachfolgende Anforderungen von denselben Benutzern müssen nicht unbedingt von derselben IP-Adresse stammen, da die Anforderung möglicherweise von einem anderen Proxy stammt. IIRC Dies war früher für alle AOL-Benutzer der Fall und könnte auch für andere Anbieter oder einige Unternehmensnetzwerke gelten.
Es ist besser, Ihre Sitzung mit page tokens zu sichern, um das Hochjacking einer Sitzung zu verhindern.
http://en.wikipedia.org/wiki/Session_fixation
if($_SERVER['REMOTE_ADDR'] != $_SESSION['PREV_REMOTEADDR']) {
session_destroy(); // destroy all data in session
}
session_regenerate_id(); // generate a new session identifier
$_SESSION['PREV_REMOTEADDR'] = $_SERVER['REMOTE_ADDR'];
Dies wird nicht funktionieren. Wenn Sie eine authentifizierte Sitzung haben, zerstören Sie praktisch die Sitzung eines Opfers und lassen den "Angreifer" eine neue Sitzung basierend auf der IP-Adressdifferenz erstellen. Die IP-Adressenerkennung funktioniert nur, wenn ein Client mit seiner IP-Adresse verhandelt, um die Adresse immer gleich zu halten. Außerdem werden XSS-Schmiedeangriffe nicht unterstützt – ha9u63ar
Ich habe vor ein paar Artikel darüber lesen. Es ist möglich, dass Sie die Benutzer-IP-Adresse als zusätzliche Sitzungsmetadaten überprüfen. Wenn Sie es jedoch als allgemeine Sitzungs-ID verwenden möchten, haben Sie möglicherweise Probleme, sich mit Benutzern hinter einem bestimmten Proxy-Gateway zu befassen, bei dem alle Benutzer dieselbe IP-Adresse haben. obwohl es verwendet werden könnte, um Session-Diebstahl (mit Techniken wie Cookie-Hochjacking) für einige Ebene zu verhindern. Es sollte jedoch berücksichtigt werden, dass der Cookie-Hijacker auch die IP-Adresse des Opfers nachahmen kann. Das Überprüfen der Benutzersitzung und auch der IP-Adresse kann eine gute Methode sein, um eine höhere Sicherheit zu haben, ist aber keine kugelsichere Lösung.
- 1. Express SessionID unterscheidet sich von SessionID in Cookie
- 2. asp.net SessionID Postbacks ändern?
- 3. ASP.Net SessionID geht immer verloren
- 4. Asp.net cookieless sessionId URL Standort
- 5. Warum kann ich auf der Client-Seite nicht 'SessionID' bekommen?
- 6. Symfony 1.4 Re-Creating Sessions/Sessionid beim Ändern der Authentifizierung
- 7. Erstellen einer neuen SessionID bei der Anmeldung (ASP.NET)
- 8. Wie bekomme ich browser sessionId mit Selenium webdriver
- 9. SessionID ändert sich in ASP.NET MVC warum?
- 10. Verwendung der checkedValue-Bindung mit Optionsfeldern
- 11. Portable „typeof“ der Namen mit externer Bindung
- 12. Probleme mit der Bindung von Objekten
- 13. Verwendung der benutzerdefinierten Bindung mit ko.observableArray()
- 14. Problem mit später Bindung!
- 15. Bindung Diagrammplotter mit MVVM
- 16. Einmalige Bindung mit Filter
- 17. Silverlight - Bindung mit ObservableCollections
- 18. Bindung ist mit StackLayout
- 19. Angular2 Bindung mit Bedingungsoperator
- 20. MvvMCross Bindung mit Formatzeichenfolge
- 21. TwoWay-Bindung mit ItemsControl
- 22. Docker Ändern der Port-Bindung
- 23. Hilfe mit WPF-Bindung
- 24. Eindeutige Reihenfolge der Instance-Bindung
- 25. Angular 2 Bindung innerhalb der Bindung. Interpolation innerhalb des Ereignisses
- 26. Frühe Bindung gegen späte Bindung
- 27. Knockout, wenn innerhalb der Bindung
- 28. WPF-Aktualisierung Bindung bei direkter Bindung an DataContext mit Konverter
- 29. empfange sessionid nach dem Login über die Spring Security
- 30. Ändern der ngModel-Bindung innerhalb der Schleife
Dies ist noch kein Problem, aber sobald IPv6 verwendet wird, ändern Clients ihre IP-Adresse ziemlich oft, egal ob sie von AOL kommen oder nicht. – innaM
@Manni Pflege, um darauf näher einzugehen? – vartec
Ich bezog mich auf die "IPv6 Privacy Extensions". : http://tools.ietf.org/html/rfc3041 – innaM