セッション固定の問題を防ぐために、IPアドレスをセッションIDとどのようにバインドできますか? セッションIDをIPアドレスのセッションIDにバインドすることはできますか?IPアドレスとセッションIDのバインド
答えて
あなたはそうすることはできますが、そのような良い考えはありません。クライアントがプロキシーのファームの後ろにいる場合、その要求のたびに外部IPアドレスが変更される可能性があります。例えば、AOLはこれを行う。
これは良い考えではないと思います。要求が別のプロキシから来る可能性があるため、同じユーザーからの後続の要求は、必ずしも同じIPアドレスから取得されたとは限りません。 IIRCは以前はAOLのすべてのユーザーに適用されていましたが、他のプロバイダや企業ネットワークの場合もあります。
セッションをハイジャックしないように、セッションをpage tokensで保護する方がよいでしょう。
http://en.wikipedia.org/wiki/Session_fixation
if($_SERVER['REMOTE_ADDR'] != $_SESSION['PREV_REMOTEADDR']) {
session_destroy(); // destroy all data in session
}
session_regenerate_id(); // generate a new session identifier
$_SESSION['PREV_REMOTEADDR'] = $_SERVER['REMOTE_ADDR'];
これはうまくいきません。認証されたセッションがある場合、被害者のセッションを実質的に破棄し、IPアドレスの違いに基づいて新しいセッションを作成するように「攻撃者」に任せます。 IPアドレスの検出は、クライアントがいつも同じアドレスを保持するために自分のIPとネゴシエートしない限り動作しません。また、これはXSS鍛造攻撃をサポートしていません – ha9u63ar
私は前にそれについていくつかの記事を読みました。追加のセッションメタデータとしてユーザーのIPアドレスを確認することが可能です。一般的なセッションIDとして使用する場合は、すべてのユーザーが同じIPアドレスを持つ特定のプロキシゲートウェイの背後にいるユーザーに対処するのに問題があるかもしれません。 ですが、セッション盗難(cookieハイジャックなどの技術を使用)をあるレベルで防ぐために使用できます。クッキーハイジャッカーは被害者のIPアドレスを模倣することもできると考えられるべきである。したがって、ユーザーセッションとIPアドレスを確認することは、セキュリティを強化するための良い習慣になる可能性がありますが、防弾対策ではありません。
- 1. PHPのクッキーとセッション変数とIPアドレス
- 2. TomcatのセッションIDからIPアドレスを取得しますか?
- 3. screamスパイダーと異なるIPアドレスをバインド
- 4. IPv6アドレスをソースIPアドレスとしてPythonソケットにバインド
- 5. MACアドレスとIPアドレス
- 6. IISExpressをIPアドレスにバインドできない
- 7. バインドとIPエイリアシング
- 8. リモートIPアドレスと物理アドレスの違い
- 9. AndroidのIPアドレスとjava
- 10. ソケットと複数のIPアドレス
- 11. SSDPとインターフェイスのIPアドレス
- 12. PHPとIPアドレスのカール
- 13. IPアドレス
- 14. IPアドレス
- 15. MaskedTextBoxのIPアドレス?
- 16. SilverlightのIPアドレス
- 17. そのIPアドレス
- 18. Springのrmi設定でIPアドレスをバインドする方法は?
- 19. IPアドレスとポート番号C#
- 20. IPアドレスと位置情報
- 21. Tortoisesvn repoブラウザとIPアドレス?
- 22. WCFサービスをIPアドレスにバインドする方法
- 23. jbossを外部IPアドレスにバインドできません
- 24. UDPデータを受信する特定のIPアドレスとポートにバインドする
- 25. aspnet_Membership IPアドレス
- 26. AndroidタブレットIPアドレス
- 27. IPアドレスが
- 28. リモートIPアドレス
- 29. 取得IPアドレス
- 30. IPアドレス? - ココア
これはまだ問題ではありませんが、IPv6が使用されると、クライアントはAOLかどうかにかかわらず、IPアドレスを頻繁に変更します。 – innaM
@マニーケアはこれを詳しく説明していますか? – vartec
私は「IPv6プライバシー拡張」を参照していました。 :http://tools.ietf.org/html/rfc3041 – innaM