Um das Problem der Sitzungsfixierung zu verhindern, wie können wir die IP-Adresse mit der Session-ID binden? Ist es möglich, die Session-ID mit der der IP-Adresse zu verbinden ??Bindung der IP-Adresse mit Session-ID
Sie können, aber es ist nicht so eine gute Idee. Wenn sich Ihr Client hinter einer Proxy-Farm befindet, kann sich die externe IP-Adresse bei jeder Anfrage ändern. AOL macht das zum Beispiel.
Ich denke nicht, dass dies eine gute Idee ist. Nachfolgende Anforderungen von denselben Benutzern müssen nicht unbedingt von derselben IP-Adresse stammen, da die Anforderung möglicherweise von einem anderen Proxy stammt. IIRC Dies war früher für alle AOL-Benutzer der Fall und könnte auch für andere Anbieter oder einige Unternehmensnetzwerke gelten.
Es ist besser, Ihre Sitzung mit page tokens zu sichern, um das Hochjacking einer Sitzung zu verhindern.
http://en.wikipedia.org/wiki/Session_fixation
if($_SERVER['REMOTE_ADDR'] != $_SESSION['PREV_REMOTEADDR']) {
session_destroy(); // destroy all data in session
}
session_regenerate_id(); // generate a new session identifier
$_SESSION['PREV_REMOTEADDR'] = $_SERVER['REMOTE_ADDR'];
Dies wird nicht funktionieren. Wenn Sie eine authentifizierte Sitzung haben, zerstören Sie praktisch die Sitzung eines Opfers und lassen den "Angreifer" eine neue Sitzung basierend auf der IP-Adressdifferenz erstellen. Die IP-Adressenerkennung funktioniert nur, wenn ein Client mit seiner IP-Adresse verhandelt, um die Adresse immer gleich zu halten. Außerdem werden XSS-Schmiedeangriffe nicht unterstützt – ha9u63ar
Ich habe vor ein paar Artikel darüber lesen. Es ist möglich, dass Sie die Benutzer-IP-Adresse als zusätzliche Sitzungsmetadaten überprüfen. Wenn Sie es jedoch als allgemeine Sitzungs-ID verwenden möchten, haben Sie möglicherweise Probleme, sich mit Benutzern hinter einem bestimmten Proxy-Gateway zu befassen, bei dem alle Benutzer dieselbe IP-Adresse haben. obwohl es verwendet werden könnte, um Session-Diebstahl (mit Techniken wie Cookie-Hochjacking) für einige Ebene zu verhindern. Es sollte jedoch berücksichtigt werden, dass der Cookie-Hijacker auch die IP-Adresse des Opfers nachahmen kann. Das Überprüfen der Benutzersitzung und auch der IP-Adresse kann eine gute Methode sein, um eine höhere Sicherheit zu haben, ist aber keine kugelsichere Lösung.
Dies ist noch kein Problem, aber sobald IPv6 verwendet wird, ändern Clients ihre IP-Adresse ziemlich oft, egal ob sie von AOL kommen oder nicht. – innaM
@Manni Pflege, um darauf näher einzugehen? – vartec
Ich bezog mich auf die "IPv6 Privacy Extensions". : http://tools.ietf.org/html/rfc3041 – innaM