La limitazione delle sessioni a un IP assoluto può avere un impatto considerevole sulle reti mobili?

4

Il nostro sito Web attualmente limita una sessione basata su cookie all'indirizzo IP che originariamente aveva inviato l'intestazione HTTP Set-Cookie. In passato l'IP di un utente raramente cambiava, quindi questo non presentava molti inconvenienti. Tuttavia, alcuni dei nostri clienti che accedono tramite dispositivi 3G stanno riscontrando problemi di sessione a causa di questa restrizione IP.

Conosco poco l'infrastruttura di rete utilizzata per le reti mobili. La maggior parte dei provider tenta di instradare le connessioni a un IP pubblico comune per mantenere la compatibilità con siti Web come il nostro, oppure dovrei considerare di limitare le sessioni a un intervallo IP, invece?

    
posta tjbp 29.07.2012 - 11:54
fonte

4 risposte

4

Do the majority of providers attempt to route connections to a common public IP in order to maintain compatibility with websites like ours, or should I consider restricting sessions to an IP range instead?

Risposta breve : gli indirizzi IP non hanno alcuna relazione con l'identità di un utente. Inoltre, non è possibile prevedere con precisione quale indirizzo o blocco di indirizzi verrà assegnato a un utente.

Risposta più lunga : Gli indirizzi IP cambiano costantemente negli ambienti mobili e cambiano persino raramente per i clienti wireline.

Dato che stai essenzialmente utilizzando un indirizzo IP per mappare l'identità dell'utente, l'algoritmo è effettivamente rotto come sospetti. Non importa se sei riuscito a fare questo lavoro con successo in passato; quel successo è stato il riflesso di una dimensione del campione limitata, e non il risultato di un buon design.

L'estrazione in intervalli di indirizzi specifici del provider rappresenta una soluzione alternativa inadeguata per il problema. Trascorrerai un tempo parziale quantificando gli intervalli di indirizzi utilizzati dai provider; e sicuramente troverà la frustrazione dopo che un cliente ha fatto un passo su un aereo, per poi estetetizzare in seguito centinaia di miglia dai precedenti tentativi (di solito risultante in un blocco di indirizzi completamente nuovo dal provider di telefonia mobile). A complicare ulteriormente questo problema sarà l'uso quasi senza interruzioni di IPv4 / IPv6 / tunneling tra IPv4 e IPv6 per alcuni provider che cercano di gestire lo spazio di indirizzi IPv4 limitato. In breve, non vi è alcuna garanzia che lo stesso utente riceva sempre lo stesso indirizzo IP o che l'indirizzo che hanno sia in un blocco di indirizzi prevedibile al 100%.

    
risposta data 29.07.2012 - 13:59
fonte
1

Non sono sicuro che sia necessario serrare l'indirizzo IP all'utente specifico, a meno che non sia necessaria la verifica durante la transazione di pagamento online o altre operazioni critiche. Se hai intenzione di memorizzarlo in modo permanente, non ha senso in quanto l'IP era dinamico.

Inoltre, se parli di IP mobile, sono molto frequenti: l'IP continua a cambiare quando ti muovi. Puoi provarlo in qualsiasi sito di monitoraggio geografico, ad es. link , controlla il tuo IP mentre ti muovi.

    
risposta data 03.08.2012 - 09:05
fonte
0

Recentemente ho affrontato un problema simile con un sistema che avevo progettato. Per motivi di sicurezza, al momento del login l'utente ha ricevuto un hash, che è stato memorizzato in un cookie. Questo è stato quindi verificato rispetto al record nel database su ogni richiesta e confrontato con il loro indirizzo IP per garantire che fosse lo stesso utente.

Questo ha funzionato bene per anni, ma quando gli utenti hanno iniziato ad accedere al sistema tramite cellulare (o un laptop utilizzando un dongle 3G) hanno iniziato a incontrare problemi.

Per preservare la durata della batteria, i cellulari si connetteranno, scaricheranno la pagina Web e chiuderanno la connessione. Quando l'utente fa clic su un collegamento, il cellulare si ricollegherà, scaricherà la pagina e chiuderà nuovamente la connessione. Di conseguenza ciascuna richiesta avrà un indirizzo IP diverso. Lo stesso accadrà se si utilizza un laptop su un dongle 3G, in questo caso c'è spesso un'impostazione nelle proprietà per fermare questo comportamento, ma molto pochi se qualche utente lo avrà modificato rispetto al comportamento predefinito.

Pertanto non è più possibile fare affidamento sull'indirizzo IP per verificare l'identità di un utente. Da allora ho riscritto l'applicazione per spostare questa restrizione.

    
risposta data 03.08.2012 - 11:38
fonte
-2

Come ha sottolineato Mike sopra. È meglio non limitare l'indirizzo IP o una mappa a un indirizzo ip all'identità di un utente

Entrambi i provider di servizi Internet cablati e wireless offrono ai propri clienti indirizzi IP dinamici o indirizzi IP statici. Tutti i provider di servizi Internet non forniscono indirizzi IP statici ai propri clienti. alcuni provider forniscono indirizzi ip statici e alcuni non forniscono indirizzi ip statici.

    
risposta data 30.07.2012 - 12:43
fonte

Leggi altre domande sui tag