Overdoze.Ru
Запомнить авторизацию  [?] | Забыли пароль? | Регистрация
Сегодня: 26 июня 2017 г., 13:35:38  
Актуальные версии AVE CMS:   AVE CMS 3.0RC | AVE.CMS 2.09RC2 svn | AVE CMS 2.08 original

раскрутка сайтов

Категории:
Общие - Скрипты - Дизайн - Статьи - Партнеры - Объявления

Авторизация по IP-адресу - хитрости реальности



До сих пор в Интернете популярна авторизация по IP-адресу, например в тех же CMS (но не только). Например, помимо предъявления авторизационного куки-файла, для авторизации требуется, чтобы и запрос был с заданного IP-адреса, скажем с того же, с которого делался логин, породивший куку, или просто готовится “белый список” допустимых IP-адресов.

С одной стороны, это увеличивает “стойкость”, так как, на первый взгляд, если злоумышленник “угнал куки” или подслушал снифером пароль, то авторизоваться в системе со своей машины он не сможет, так как у этой машины, предположительно, другой IP-адрес.

А вот с другой стороны в реальности есть хитрости. Например, пользователи, которым требуется авторизация в “защищаемой системе”, могут располагаться за тем или иным NATом - это приводит к тому, что извне IP-адрес соединения пользователя будет выглядеть другим, нежели внутренний адрес этого пользователя. Но не это главное. Главное, что “внешний” адрес разделяется между многими пользователями внутренней сети, то есть с точки зрения внешнего сервера разные компьютеры всех этих пользователей будут выглядеть как имеющие один и тот же IP-адрес. Это сейчас очень и очень распространённая ситуация и в корпоративных сетях, и у “домовых” интернет-провайдеров: IP-адреса - ресурс дефицитный. При этом пользователь, не будучи подкован в технических вопросах, может и не подозревать о том, как хитро всё работает и что он разделяет с соседями один “внешний” IP-адрес.

Теперь приплюсуем сюда такой момент: прослушивать, с целью похищения “куков и паролей”, сетевой трафик данного пользователя минимальными затратами, скорее всего, могут его соседи по сети (скажем, “хакеры-пионеры” балуются в плохо настроенных “домовых сетях”). Выходит, что похитивший авторизационные данные нехороший сосед, очень вероятно, автоматом имеет возможность работать с внешним сервером с того же IP-адреса, что и пострадавший пользователь.

Так что на практике дополнительная авторизация по IP-адресу хоть и работает хорошо, но уже не выглядит панацеей.

Интересен и другой практический эффект: в системах онлайн-голосования за всякие рейтинги и конкурсы запрет повторного голосования с одного IP-адреса в течение некоторого отрезка времени (типа, защита от накруток, вспоминаем “Премию Рунета”) приводит к тому, что множество добросовестных пользователей вообще не могут проголосовать (они, волей админов, сидят за общим “IPшником”), а владелец среднего ботнета (или социальной сети) элементарно накручивает голосовалку, действуя с набора разных IP-адресов, да ещё и с нужным разбросом по времени.



02.02.2009, 18:17 | Site Root (scripts)

Новые комментарии



Ответил: Macho Dark
"...Перпезалейте, пожалуйста!"

18-04-2012 г. 19:04  |  Читать все...


Ответил: Alex Samarskiy
"...Добрый день, Присоединяюсь к вопросу о ЧПУ для данной сборки. Присутствует или нет? Спасибо"

20-10-2011 г. 13:01  |  Читать все...


Ответил: АЛЕКСАНДР КОРОВИН
"...Я В ЭТОМ ДЕЛЕ НОВИЧОК,,,НО КАЖЕТСЯ ПОПАЛ,КУДА НАДО,ХОТЕЛОСЬ БЫ ПОПРОБОВАТЬ СЕРТИФИЦИРОВАННОЕ ДЕТИЩЕ,ХОТЯ И 14 АНГИНУ СКАЧАТЬ НЕ УДАЛОСЬ,А УЧИТЬСЯ..."

18-02-2011 г. 07:00  |  Читать все...


Ответил: Игорь Ямпольский
"...А в ответ тишина ;) хоть бы написал как вышел на такое кол-во запросов - просветил бы. Выражаю благодарность разработчикам за отставание от..."

28-01-2011 г. 09:24  |  Читать все...


Ответил: Yes vik
"...Ты где столько запросов нашел? "

21-01-2011 г. 20:57  |  Читать все...


Ответил: stanlee xz
"...Это фуфло полное а не цмс Вы ребята похоже совсем от жизни отстали. а это ваще убило Количство запросов к БД: 289шт. Автор ты с головой..."

11-01-2011 г. 15:10  |  Читать все...



 

Печать страницы | Рекомендовать Сайт


рублей Яндекс.Деньгами
на счёт 41001130616963 (Разработки Overdoze.Ru)

Сибавтомастер: техобслуживание и ремонт японских автомобилей
Количство запросов к БД: 120шт. | Время генерации страницы: 0,0676