gpt4 book ai didi

PHP REMOTE_ADDR 和安全 session

转载 作者:行者123 更新时间:2023-12-04 14:48:46 27 4
gpt4 key购买 nike

我过去用来建立更安全 session 的方法之一是在握手时记录客户端 IP 地址和用户代理。每次客户端移动页面并调用 session_start() 时,我还会检查存储的 IP 地址和用户代理是否仍然相同,以防止劫持。

但是,如果有人从公司网络连接,那么所有用户都可能拥有相同的外部静态 IP 地址,而且他们也很容易使用相同的用户代理。是否有其他我可以使用的指标,这些指标仅适用于物理机器?

谢谢

最佳答案

就普遍可用和可靠的指标而言,不是真的,不是。代理有时会发出像 X-HTTP-FORWARDED-FOR 这样的 header ,但是任何自尊的路由器都不会告诉服务器它的哪个客户端正在访问它。

我认为你能做的最好的事情就是结合

  • session cookie
  • 用户代理字符串

我不会检查 IP 地址,首先是因为您提到的原因,其次是因为某些 ISP(例如 AOL)使用的代理可以在同一 session 期间多次更改同一客户端的 IP。

想到的“软”安全措施是地理定位。如果同一个 session cookie 被位于法国巴黎的 IP 使用,并且同时(或仅仅一个小时后)被位于澳大利亚悉尼的 IP 使用,可能一些阴暗的事情正在发生。我之所以说“可能”,是因为存在可以想象的合法场景 - 例如,巴黎的澳大利亚人切换到他们公司的 VPN。

如果您真的非常关心安全性,您可以构建一些东西来在这种情况下触发一些警钟,或者向用户询问一个 secret 问题或其他东西。有许多地理定位提供商,例如MaxMindGeobytes .我认为像这样的事情是大联盟、亚马逊、PayPal 等全局网站为防止欺诈所做的。

关于PHP REMOTE_ADDR 和安全 session ,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/2763765/

27 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com