Security 是否可能检测到ISP在每个页面请求登录安全时为用户提供不同的IP地址?
我们最近尝试将ip地址验证添加到我们网站的登录安全性中。因此,除了使用具有有效凭据的cookie之外,我们还检查了页面请求上的ip地址是否与您最初登录的ip地址匹配。这个想法是,如果你的cookie被偷,其他用户不能模拟你,除非他们实际上在同一IP地址上 对于大多数用户来说,这并没有问题,但似乎一些ISP(即AOL和BT)使用某种代理服务器场,实际上在每个传出连接上为用户提供不同的IP地址,这当然使这些用户无法登录。在某些情况下,请求之间的地址也完全不同,因此即使检查上八位字节或类似的地址也不可行Security 是否可能检测到ISP在每个页面请求登录安全时为用户提供不同的IP地址?,security,authentication,ip-address,Security,Authentication,Ip Address,我们最近尝试将ip地址验证添加到我们网站的登录安全性中。因此,除了使用具有有效凭据的cookie之外,我们还检查了页面请求上的ip地址是否与您最初登录的ip地址匹配。这个想法是,如果你的cookie被偷,其他用户不能模拟你,除非他们实际上在同一IP地址上 对于大多数用户来说,这并没有问题,但似乎一些ISP(即AOL和BT)使用某种代理服务器场,实际上在每个传出连接上为用户提供不同的IP地址,这当然使这些用户无法登录。在某些情况下,请求之间的地址也完全不同,因此即使检查上八位字节或类似的地址也不可
我们不得不把它撕下来。我的问题是,是否有任何方法可以检测这些类型的ISP配置,从而将它们排除在IP检查之外,或者有任何关于如何在不包括IP地址的情况下增强安全性的一般建议。在我看来,网上银行网站似乎做到了以上几点,但也许他们只是有很短的时间依靠cookies生存。你说得对,没有完美的解决方案。如果您想放松限制,最好的办法是基于用户代理进行验证。这不是充分的证据,但总比没有好。你是对的,没有完美的解决方案。如果您想放松限制,最好的办法是基于用户代理进行验证。这不是充分的证据,但总比没有好。ISP是你最不担心的。你也会遇到公司用户的问题,他们的笔记本电脑从固定到取消固定,每次都会得到一个新的IP地址。大型企业代理农场的行为通常与AOL的类似。我强烈建议您在安全方法中忽略IP地址的一致性——这是一个令人头疼的问题,回报率也有问题。ISP是您最不担心的。你也会遇到公司用户的问题,他们的笔记本电脑从固定到取消固定,每次都会得到一个新的IP地址。大型企业代理农场的行为通常与AOL的类似。我强烈建议您在安全方法中忽略IP地址的一致性——这是一个令人头疼的问题,返回值有问题。考虑到用户代理和源IP的签名Cookie是可以的,如果您真的需要这么强硬的话 要对抗代理,请使用HTTPS。如果您谈论的是安全性,请在采取其他措施之前始终使用HTTPS
为了避免检查不同的源IP-s(如果您确实需要),您可以尝试使用whois和AS号码。考虑用户代理和源IP的签名Cookie是可以的,如果您确实需要这样做的话 要对抗代理,请使用HTTPS。如果您谈论的是安全性,请在采取其他措施之前始终使用HTTPS
为了防止对不同来源的IP-s进行检查(如果您真的需要),您可以尝试使用whois和AS号码。我会设置一个计时器,这样您不仅可以记录它们来自哪个IP地址,还可以记录它们最后来自哪个IP地址。当一个用户在一定数量的页面浏览中来自同一IP地址后,比如说三次,然后继续向用户下推一个锁定IP cookie,或者在您的会话变量中记下它。然后使用它来指示会话应该锁定到IP。如果您使用cookie方法,您将希望确保您也将其记录在您身边某个位置的数据库中,这样攻击者就不会仅仅带着旧的cookie或没有额外的锁定ip cookie出现,这取决于您如何实现它。我将设置一个计时器,以便您不仅记录它们来自哪个ip地址,但是当他们最后一次从那里回来的时候。当一个用户在一定数量的页面浏览中来自同一IP地址后,比如说三次,然后继续向用户下推一个锁定IP cookie,或者在您的会话变量中记下它。然后使用它来指示会话应该锁定到IP。如果您使用cookie方法,您将希望确保您也将其记录在您身边某个位置的数据库中,这样攻击者就不会仅仅带着旧的cookie或没有额外的锁定ip cookie出现,这取决于您如何实现它