Привязка IP-адреса к идентификатору сессии

Question

Чтобы предотвратить проблему с фиксацией сеанса, как мы можем связать IP-адрес с идентификатором сеанса? Можно ли привязать идентификатор сеанса к IP-адресу ??

Answer 1

Не думаю, что это хорошая идея. Последующий запрос от одних и тех же пользователей может не обязательно приходить с одного и того же IP-адреса, поскольку запрос может исходить от другого прокси. IIRC раньше это делало для всех пользователей AOL, а также для других провайдеров или некоторых корпоративных сетей.

Лучше защитить сеанс с помощью маркеров страницы , чтобы предотвратить перехват сеанса.

Answer 2

Можно, но это не такая хорошая идея. Если ваш клиент находится за фермой прокси, его внешний IP-адрес может меняться при каждом запросе. AOL сделать это, например.

Answer 3

Я читал статью об этом раньше. Возможно, вы проверите IP-адрес пользователя в качестве дополнительных метаданных сеанса. но если вы хотите использовать его в качестве общего идентификатора сеанса, у вас могут возникнуть проблемы с пользователями за определенным прокси-шлюзом, где все пользователи будут иметь одинаковый IP-адрес. хотя это может быть использовано для предотвращения кражи сеанса (с использованием таких методов, как перехват файлов cookie) для некоторого уровня. но следует учитывать, что угонщик файлов cookie также может имитировать IP-адрес жертвы. поэтому проверка сеанса пользователя, а также IP-адреса может быть хорошей практикой для обеспечения более высокой безопасности, но не является пуленепробиваемым решением.

Answer 4

http://en.wikipedia.org/wiki/Session_fixation

if($_SERVER['REMOTE_ADDR'] != $_SESSION['PREV_REMOTEADDR']) {
   session_destroy(); // destroy all data in session
}
session_regenerate_id(); // generate a new session identifier
$_SESSION['PREV_REMOTEADDR'] = $_SERVER['REMOTE_ADDR'];