user81147
2016-10-17 13:43:55 UTC
בהתחשב בפגיעות XSS המתאימה, תוקף יכול לחטוף הפעלה של מישהו עם הנתונים המועברים לשרת וממנו.
מדוע הפעלות לא תמיד בלעדיות ל- IP שעליו התחילו? כלומר, מתי אתר / שירות יצטרכו לנהל הפעלה מאומתת על פני מספר כתובות IP? אני לא בטוח מדוע הפעלות מאפשרות זאת, ולכן אני לא מבין איך זה אי פעם נתיב אפשרי לתוקף.
כתובת IP אינה דרך אמינה לזהות משתמש.
יש אנשים שאוהבים להשתמש ב- TOR _and_ נתמכים בהפעלות ...
אז אם אני בטלפון שלי ויוצא מהבית שלי (מאבד wifi אבל מתחבר ל- 4G) אני צריך לאבד את כל ההפעלות שלי?
@NajibIdrissi לא רק טלפונים, אלא גם מחשבים ניידים.לקחת את המחשב הנייד שלך למקום אחר, לאבד הפעלות בכל האתר?לא תודה.
נשמע שמה שאתה מחפש הוא [עוגיות מאוגדות לערוץ] (http://www.browserauth.net/channel-bound-cookies).(יישום הרבה יותר פרקטי ובטוח של מה שאתה מציע.)
כפילות אפשרית של [האם הפעלות PHP מבוססות על קובצי cookie או על זוג cookie-IP?] (Http://security.stackexchange.com/questions/6569/are-php-sessions-based-on-cookies-or-a-cookieזוג זוג)
התקפות XSS מזריקות קוד לדפדפן של המשתמש, וכך אפילו בקשות מזויפות מקורן באותה IP כמו המשתמש.
שים לב שחלק מספקי האינטרנט הרמים משנים את כתובת ה- IP שלך בכוונה.
http://security.stackexchange.com/q/112819/971, http://security.stackexchange.com/q/6569/971, http://security.stackexchange.com/q/13009/971,
ישנם אתרי אינטרנט שעושים זאת.קומודו הוא דוגמה.למדתי זאת כשניסיתי להשיג אישור SSL מקומודו באמצעות Tor.
אם זה היה המקרה, יהיה עליכם להתחבר לעיתים קרובות יותר, מה שיפתח דלתות חדשות מבחינת הפגיעות.
@AndréBorie לא התנהגות 'רמאי' ולו במעט - המונח הנכון הוא * כתובת IP דינמית * ומשתנה כאשר תוקף חוזה השכירות מסתיים (לעיתים קרובות כאשר אתחול מחדש של הנתב).כתובת IP דינמית זולה בהרבה משימוש ב- IP סטטיים, ומשמשת בעיקר לחבילות פס רחב למגורים;אם אתה רוצה כתובת סטטית, עליך לשאול את ספק שירותי האינטרנט או לעבור לחבילה עסקית.
@cybermonkey בימינו ובעתיים שבהם כולם מחוברים בכל מקרה אני לא מבין מדוע כתובות IP דינמיות יהיו זולות יותר.בכל מקרה מנוי אחד ישווה IP אחד.אני עדיין תומך בכך ש- IP דינמיים בשנת 2016 הם רק תירוץ רמאי למכור חבילות פרימיום "עסקיות" הכוללות IP סטטי.
כתובות ה- IP הדינמיות של @AndréBorie זולות יותר עבור ספק שירותי האינטרנט מכיוון שלא כל הלקוחות יהיו מחוברים למרכזיה (שרתי הספק) בו זמנית.פירוש הדבר שניתן להפיץ כתובות IP שאינן בשימוש והן זמינות לשימוש, בעוד שכתובות IP סטטיות מוקצות ללקוח יחיד ואינן ממוחזרות.
@cybermonkey אלא אם כן אנחנו מדברים על מקרי חיוג או קצה כמו נייד / אלחוטי / לווין, בכל מקרה כולם מחוברים 24/7 כך שהטיעון שלך לא מחזיק מעמד.
@AndréBorie בארה"ב אולי, אבל זה בעיקר לא המקרה.
@cybermonkey למעשה אני באירופה, ו- DSL זמין כמעט בכל מקום ונשמר תמיד, כך שכל לקוח תמיד משתמש בכתובת ה- IP שלו.כבלים וסיבים מגלגלים גם הם והם נשמרים תמיד.שוב, מלבד חיבורי חיוג, לווין או דומים שבהם הלקוח לא תמיד שומר על הקישור, כתובות IP דינמיות הן רק הונאה, אשר לעתים קרובות מבוצעות על ידי ספקי שירותי אינטרנט שבהם אין להם מעט תחרות.אם אתה רואה מקרה שימוש לגיטימי של כתובות IP דינמיות בשנת 2016 אנא נא לי, אך שוב, מלבד חיבורים אלחוטיים או ארעיים אני לא רואה כאלה.
באמריקה, נתוני 3G נוטים לעבוד כמו VPN ... אתה יכול לעבור ממגדל למגדל מבלי לשנות את כתובת ה- IP הציבורית שלך.לעומת זאת, נתוני 4G / LTE נוטים לעבוד כמו נקודת גישה של Wi-Fi עם ידיים "קשות" ... בכל פעם שהטלפון שלך מתחבר למגדל אחר, ייתכן שתוקצה לו כתובת IP חדשה (אולי ממגוון אחררשת משנה מהקודמת).זו בעיה ענקית אם אתה משתמש בה ברכב נע, כמו רכבת או מכונית בכביש מהיר ... כל 45-180 שניות, כתובת ה- IP שלך יכולה להשתנות.זה גורם לבעיות ענק למשתמשים בכמה רשתות VPN ואפליקציות בנקאיות.