можно обнаружить интернет-провайдеров, которые дают пользователю разные IP-адреса на каждой странице запроса на безопасность входа в систему?

Question

Недавно мы попытались добавить проверку IP-адреса для безопасности входа на наш веб-сайт. Поэтому, в дополнение к наличию файла cookie с действительными учетными данными, мы проверили, что ваш IP-адрес в запросе страницы совпадает с тем, с которым вы изначально вошли. Идея заключалась в том, что если ваш файл cookie будет украден, другой пользователь не сможет выдать себя за вас, если он фактически не находится на одном IP-адресе.

Для большинства пользователей не было никаких проблем, но, похоже, некоторые интернет-провайдеры (а именно AOL и BT) используют своего рода прокси-ферму, которая фактически дает пользователю разные IP-адреса при каждом исходящем соединении, что, конечно, делает вход невозможно для тех пользователей. Адреса в некоторых случаях также полностью различались между запросами, поэтому даже проверка верхнего октета или аналогичного элемента не представляется возможной.

Мы должны были это сорвать. У меня вопрос: есть ли какой-либо способ обнаружения этих типов конфигурации интернет-провайдера, чтобы исключить их из проверки IP, или какой-либо общий совет о том, как повысить безопасность, не включая IP-адрес. Мне кажется, что сайты онлайн-банкинга делают вышеупомянутое, но, возможно, им просто не хватает времени на использование файлов cookie.

Answer 1

Я бы установил таймер, чтобы вы записывали не только с какого IP-адреса они пришли, но и когда они в последний раз приходили с него. После того, как пользователь приходит с одного и того же IP-адреса для определенного количества просмотров страниц, скажем, три, затем продолжайте и в основном сохраните cookie-файл lock_ip для пользователя или запишите его в переменных сеанса на вашей стороне. Затем используйте это, чтобы указать, что сеанс должен быть заблокирован для IP. Если вы используете подход с использованием файлов cookie, вам нужно убедиться, что вы записали это в базу данных на своей стороне, а также, чтобы злоумышленник не мог просто показать старый файл cookie или без дополнительного файла cookie lock_ip, в зависимости от Вы реализуете это ..

Answer 2

Вы правы, идеального решения не существует. Если вы хотите ослабить ограничения, лучше всего выполнить проверку на основе пользовательского агента. Это не полное доказательство, но это лучше, чем ничего.

Answer 3

Подписанные куки, которые учитывают пользовательский агент и исходный IP-адрес, в порядке, если вам действительно нужно быть таким жестким

Для борьбы с прокси используйте HTTPS. Если вы говорите о безопасности, всегда используйте HTTPS перед другими мерами.

Для борьбы с проверкой различных IP-адресов источника (если вам это действительно нужно) вы можете попробовать номера whois и AS.

Answer 4

Интернет-провайдеры меньше всего беспокоятся. У вас также будут проблемы с корпоративными пользователями с ноутбуками, которые переходят из состыкованного в отстыкованный и каждый раз получают новый IP-адрес. А крупные корпоративные прокси-фермы часто действуют как AOL. Я настоятельно рекомендую вам игнорировать согласованность IP-адресов в вашем подходе к обеспечению безопасности - это большая головная боль с сомнительным возвратом.