Является ли видимый IP-адрес мобильного устройства наиболее стабильным для веб-сеанса?

Question

Часто ли меняется IP-адрес, который веб-сайт видит для мобильного устройства (например, подключенный через GRPS, 3G и т. Д.), Или он достаточно стабилен, что он вряд ли изменится во время сеанса обычного пользователя " «

Я понимаю, что IP-адрес не специфичен для данного устройства; это будет IP-адрес шлюза, через который подключено устройство, который используется многими (многими) устройствами. (Точно так же, как устройства, подключенные через NAT, как пользователи, использующие соединение WiFi или люди в корпоративной сети за брандмауэром, все используют один и тот же общедоступный IP-адрес.) Это нормально для моих целей. Если бы сильно изменило для одного и того же пользователя во время сеанса (между сеансами все в порядке), это было бы проблематично.

По сути, я связываю куки сессии пользователя с IP-адресом клиента, который мы видели при аутентификации пользователя, как несовершенную защиту от перехвата сессии через кражу куки . Это несовершенно; это одна из нескольких мер, используемых для уменьшения поверхности атаки. Но это может создать проблемы для мобильных пользователей, если мы будем постоянно аннулировать их сеансы, поскольку их очевидный IP-адрес изменился.

Но вопрос не в файлах cookie сеанса, а в том, как часто меняется видимый IP-адрес устройства.

Answer 1

Они не меняются у известных мне операторов (Испания, Португалия, Италия, Южная Африка). Но для всех потребителей существует 10-100 IP-адресов.Возможно, вы можете использовать HTTP-заголовки useragent и других операторов / телефонов.

Answer 2

Вы можете запустить несколько тестов на своем сайте, просмотреть его со своего телефона и посмотреть, когда и если он изменится, в access_log. Я сомневаюсь, что это будет часто меняться, но это может произойти, если вы бродите или перемещаетесь и меняете башни.

Также, если вы хотите предотвратить перехват сеанса через кражу файлов cookie, рассмотрите возможность использования файлов cookie только для Https.