IPアドレスとセッションIDのバインド

Question

セッション固定の問題を防ぐために、IPアドレスをセッションIDとどのようにバインドできますか？ セッションIDをIPアドレスのセッションIDにバインドすることはできますか？

Answer 1

あなたはそうすることはできますが、そのような良い考えはありません。クライアントがプロキシーのファームの後ろにいる場合、その要求のたびに外部IPアドレスが変更される可能性があります。例えば、AOLはこれを行う。

Answer 2

これは良い考えではないと思います。要求が別のプロキシから来る可能性があるため、同じユーザーからの後続の要求は、必ずしも同じIPアドレスから取得されたとは限りません。 IIRCは以前はAOLのすべてのユーザーに適用されていましたが、他のプロバイダや企業ネットワークの場合もあります。

セッションをハイジャックしないように、セッションをpage tokensで保護する方がよいでしょう。

Answer 3

http://en.wikipedia.org/wiki/Session_fixation

if($_SERVER['REMOTE_ADDR'] != $_SESSION['PREV_REMOTEADDR']) { 
    session_destroy(); // destroy all data in session 
} 
session_regenerate_id(); // generate a new session identifier 
$_SESSION['PREV_REMOTEADDR'] = $_SERVER['REMOTE_ADDR']; 

Answer 4

私は前にそれについていくつかの記事を読みました。追加のセッションメタデータとしてユーザーのIPアドレスを確認することが可能です。一般的なセッションIDとして使用する場合は、すべてのユーザーが同じIPアドレスを持つ特定のプロキシゲートウェイの背後にいるユーザーに対処するのに問題があるかもしれません。 ですが、セッション盗難（cookieハイジャックなどの技術を使用）をあるレベルで防ぐために使用できます。クッキーハイジャッカーは被害者のIPアドレスを模倣することもできると考えられるべきである。したがって、ユーザーセッションとIPアドレスを確認することは、セキュリティを強化するための良い習慣になる可能性がありますが、防弾対策ではありません。