Swiftech H220 pumba müra

StackOverflow kohta on seansi turvalisuse / seansi kaaperdamisega seotud palju küsimusi, kuid tundub, et probleemile pole tõesti head lahendust. Kolm kõige levinumat ettepanekut on järgmised:

  1. Jälgige kasutajate $ _SESSION andmete osana kasutaja IP-aadressi ja võib-olla kehtetuks muuta seanss, kui see muutub. Negatiivne külg on see, et paljudel kasutajatel on dünaamilised IP-aadressid, seega võite kasutaja näiliselt juhuslikult kehtetuks muuta (nende perspektiiv).

  2. Sama mis 1., kuid kasutades kasutajaagenti. Siin on kaks probleemi: jälgimiseks ei pruugi olla UA-d ja need võivad brauseri täiendamise ajal jne muutuda.

  3. Teine unikaalse märgiga küpsis. Siin on probleemiks see, et kui ründaja saab tavapärase seansiküpsise kinni, suudavad nad suure tõenäosusega ka teie teisese loa kinni hoida.

Niisiis näib nende kolme valiku korral parim valik IP-aadress, kuna teile garanteeritakse, et see edastatakse ja see on sõltumatu füüsilisest turvalisusest (ja kui kasutaja on füüsiliselt ohustatud, kaotate sellest hoolimata). Seda silmas pidades on mul paar IP-aadressi muutmisega seotud küsimust:

  1. Kui tihti muutuks kasutajate IP-aadress normaalsetes tingimustes. Mul on kodus DSL, tavapäraste dünaamiliste IP-muredega ja gmaili andmetel pole minu IP päevade jooksul muutunud. AFAIK, see juhtub tegelikult ainult siis, kui modem ikkagi tsüklib, eks? See tundub piisavalt haruldane sündmus, et see võib ole korras, et seanss kehtetuks muuta.

  2. Ma arvan, et mäletan, kuidas Jeff ütles ühes SO podcastis, et nad tegid midagi sarnast, ehkki see oli võib-olla millegi muu jaoks. Idee oli selles, et kahe esimese (minu arvates) IP-aadressi okteti kasutamist võib mõnes olukorras pidada piisavalt lähedaseks. See võimaldab kasutajal liikuda samal Interneti-teenuse pakkujal, kuid süsteem märkaks, kui kasutaja oleks äkki mõne teise Interneti-teenuse pakkuja vahemikus. Kas see on otstarbekas taktika?

  • Seega on küsimus, mis juhtub, kui ma tahan oma kodust autentida, ütleme näiteks a.b.c.d IP ja me tahame ühenduse luua oma töömasinal e.f.g.h IP-aadressiga. Selleks on vaja, mida teevad finantsasutused, mis salvestavad kasutaja jaoks mitu "profiili" erinevates asukohtades. Võimalik salvestada brauseragent, et vähemalt vaadata ja vaadata, kas see on sama. Samuti on kohtades hakatud kasutama neid salajasi pilte, kus nad kuvavad pilti ja mõnda teksti, mille olete sellele lisanud, ja see kinnitab teile, et nad on nii need, kellena nad ütlevad, kui ka teie, kes autentivad, et öelda, kes te olete.
  • Aga puhverserver ülikooli ülikoolilinnakus, kus 100 üliõpilast sirvivad kõik sama lehte, kuid tulevad samalt IP-aadressilt? KAS see on juhuste rünnak, et paljud meie kasutajad logivad sisse sama ip-lt sama brauseragendiga?!?! Ma tegelen selle probleemiga ülikoolis.

Ma pole 100% kindel, et see veebimeistrite hulka kuulub, aga vastan sellele siiski.

  1. Kasutaja IP-aadress muutub ainult siis, kui nende ühendus läheb võrguühenduseta ja ta taastub võrgus. Mul on kodus dünaamiline IP, kuid mul on see olnud kuu aega, sest nii kaua on möödas ruuteri taaskäivitamisest. Mõned Interneti-teenuse pakkujad sunnivad iga kord ühenduse katkestama n päevad, mõned mitte. Seda on võimatu öelda, kuid tänapäeval kestab IP-aadress tavaliselt paar päeva. SELLEGA, võib-olla on nad teie veebisaidile sisse loginud vahetult enne IP-de muutmist (voolukatkestus, võrgukaabli otsa komistamine jne), nii et pole üldse ohutu seda eeldada.

    Siit leiate suure probleemi, kui sihite mobiilikasutajaid. Siis on kõik panused välja lülitatud, kui nad kasutavad teie saidile juurdepääsemiseks oma 3G- või HSPDA-võrke.

  2. Kahte esimest oktetti on ilmselt üsna ohutu kasutada, kuid Austraalias on meil Interneti-teenuse pakkuja BigPond, kes on (kahjuks) riigi suurim. Nende eraldatavad IP-aadressid varieeruvad tohutult ja te ei saa kuidagi garanteerida, et nende kaks esimest oktetti on ühesugused.

Kõik see tähendab, et mind pole kunagi, kunagi, mitte kunagi, oma iPhone'i, koduvõrgu, tööklassi sülearvuti Stack Exchange'i saitidelt välja logitud (isegi kui ma lähen erinevatele saitidele või kasutan HSPDA-d). Nii et kõik, mida nad teevad, töötab.

Samuti pole ma kunagi kuulnud kasutajaagendi kasutamisest autentimismärgina. See võiks olla ainult üks osa autentimisprotsessi.

Ma arvan, et leiate, et ühe või kahe seansiküpsise olemasolu on üldjuhul piisav, kui te just seda ei tee uskumatult turvaline et teate, et teie saidi vastu tehakse tõsiseid kaaperdamiskatseid.

  • Ja see pole 100% kindel, kas saate taaskäivitamisel ka uue IP.

IP-aadresse saab muuta ainult siis, kui IP-aadressi väljastanud seade on lahti ühendatud ja Internetiga uuesti ühendatud. Kas ja kui sageli see juhtub, sõltub suuresti teie kasutusmustritest ja Interneti-teenuse pakkujast. Mõned dünaamiliste IP-dega Interneti-teenuse pakkujad üritavad sellest hoolimata alati teile sama IP-d väljastada, teised aga (staatiliste IP-de eest võib-olla lisatasusid saada) väljastavad teile uue ka siis, kui te nende võrgu ainult hetkeks katkestate.

Minu kogemus on, et IP-aadressi muutmine on piisavalt haruldane nähtus, et sessiooni kehtetuks muutmine ei oleks üleliigne. Pange tähele, et seda tuleks siiski vältida, kui teie sait ei tegele millegi tundlikuga.

Võtame näiteks selle saidi. Mis on halvim, mis võib juhtuda, kui keegi mu konto kaaperdab? Väike vandalism (et kogukond kiiresti kokku lööks), võib-olla mõni kaotas maine. Mõju on kasutaja jaoks väike ja eelis ründajale väike. Seetõttu oleks seda meedet siin liiga agressiivne rakendada.

Ja vastupidi, minu Google'i konto võib anda ründajale juurdepääsu igasugustele privaatsetele andmetele (sealhulgas boonusena juurdepääs sellele saidile). Seetõttu on loomulik, et Google on ettevaatlikum ja (järelikult) palusin seal sageli oma isikut kinnitada (kuigi tunnistan, et mul pole aimugi, milliseid kriteeriume nad kasutavad).

  • "IP-aadresse saab muuta ainult siis, kui IP-aadressi väljastanud seade on lahti ühendatud ja Internetiga uuesti ühendatud." - on Interneti-teenuse pakkujaid, kes saadavad https-liiklust erineva IP kaudu, nii et teie kasutaja logitakse sisse korralikult, küpsetatakse IP + UA + sessionid kaudu ja seejärel tabatakse uue IP-ga makselehte, kõik ühes seansis.
  1. Minu kodu IP-aadress pole mitu kuud muutunud. Ma tean, et Shaw Communicationsiga (kaabel-Interneti-teenuse pakkuja Kanadas) muutub minu IP-aadress ainult siis, kui mu välise Mac-aadressi muutus (ruuteri või otse modemiga ühendatud arvuti mac-aadress) VÕI ma ei kasuta oma Internetti paar päeva .

    Mitte liiga kaua aega tagasi kasutasin sissehelistamisühendust ja märkasin, et minu IP-aadress muutus iga kord, kui ühendasin uuesti, kuigi see ei muutnud nii palju. Ma pole kindel, kas see oleks DSL-i ja traadita telefonide puhul simulaarne.

    Teine asi, mida tuleks kaaluda, oleks sessiooni kaaperdamine samast kohalikust võrgust. Ma pole kindel, kas selle vastu saab tõesti midagi teha. Mõnes koolis ja suuremas ettevõttes on tõesti palju arvuteid ühel välisel IP-l. (mõni isp on ka äkki?)

  2. Ma ei ole liiga kindel, kas oskan vastata, kui kahte oktetti on ohutu kasutada. Ma oleksin huvitatud, et näeksin andmeid suurest kasutajabaasist ja seda, kui palju nende IP-aadress muutub.

  • Minu DSL-ruuter katkestab ühenduse, kui ma seda 15 minutit ei kasuta, ja saan iga kord uue IP-ühenduse.
  • Minu teenusepakkuja kasutab kahte või kolme väga erinevat IP-vahemikku.
  • Nad sunnivad ühenduse katkestama iga 24 tunni järel (täpselt nagu mu kaks eelmist DSL-i pakkujat).

Ma ei usu, et see on koduse Interneti-teenuse pakkuja juures tavaline, kuid puhverserver, mida üks meie suurematest klientidest kasutab kogu väljuva HTTP (S) liikluse jaoks (tuntud Ühendkuningriigi pank, kes peab lepingulistel põhjustel siinkohal nimeta olema) Mõnikord tundub, et nende kasutajad vahetavad IP-aadressi iga paari minuti tagant, isegi mõnikord samal lehel olevate alaobjektide (piltide ja nii edasi) päringute ploki keskel, nii et täpse IPv4-aadressi kasutamine teie seansi jälgimine on halb mõte juhul, kui mõned teie kasutajad on sarnase korralduse taga.

Juhul kui oleme näinud aadresse, mis on välja antud samas / 24 vahemikus, mitte kogu vahemikus, kuigi eriti ohutu, soovitaksin jääda IP-aadressi maksimaalselt kahe esimese oktetti juurde.

Isegi siis võite inimestele ebamugavusi tekitada, kui nad kasutavad teie rakendust reisimise ajal. Näiteks mul on mõnikord netiraamatuga reisides veebimeili seanss avatud - see võib alata minu kodus juhtmevabalt, seejärel liikuda rongijaamas tasuta traadita ühenduse juurde ja seejärel oma mobiiltelefoni pakkuja juurde, kui rongil, kuhu ma sattun, pole sisselülitamist - pardal traadita ühendus, siis veel üks tasuta traadita AP, seejärel mis tahes võrgus, mida ma oma sihtkohas kasutan. Kõik ilma Zimba juurest kunagi välja logimata (see on lihtsalt seal ja töötab iga kord, kui uinun netbooki uneta ja ühendan ühenduse kõigega, mis on saadaval) - võiksin sellisel teekonnal paari / 16-aastase vahel sirvida. Muidugi on see äärmuslik juhtum ja see ei pruugi kunagi mõjutada piisavalt teie kasutajaid, et seda tasuks oma plaanides kaaluda - eriti arvestades kõiki, kuid kõige valivamatel kasutajatel oleks hea, kui nad peaksid koduvõrgust mobiilsidevõrku üleminekul uuesti sisse logima .

Seansi kaaperdamist on raske täielikult blokeerida. Kui kaaperdaja saab kontrollida kliendi ja serveri vahelist liiklust kui midagi krüptimata kanali kaudu edasi-tagasi saatmist on lihtne jäljendada ja kui kaaperdaja on suutnud töötada hosti kaudu kliendi ja serveri vahelisel marsruudil, võivad nad isegi võltsida päringuid, mis näivad tulevat õigelt IP-aadressilt, nii et ei aita sind alati.Seansi kaaperdamise täielikuks peatamiseks peate kasutama HTTPS-i (ja kui soovite end paranoiliselt tunda: kui ründajal on teie sertifikaadi HTTPS-il mingil viisil või sellele juurdepääs (või võltsimine), ei peata see MiTM-i seansi käivitamise puhverserveritel põhinevaid rünnakuid). Oletan, et jagatud võtme otsustamiseks ilma seda edastamata võite rakendada ka midagi sellist nagu DH-võtmevahetus ja kasutada seda pluss praegust kellaaega pluss soola, et teha räsi, mida server suudab põhjendada, kuid ma kahtlen väga, kas see oleks praktiline ( korraliku keskseadme ja moodsa JS-mootoriga, nagu leidub FF3.5 +, Chrome'is või sarnases versioonis, võite esmase DH-vahetuse kasulike võtmesuuruste vastu teha piisavalt kiiresti, kuid ükski mobiilse IE kasutaja ei pääse sisse nädal).

Viimane probleem taotleja IP-aadressi kasutamisel teie seansi jälgimise osana: kui nad on NAT-kokkuleppe taga, võivad nad seda IP-aadressi sadade kasutajatega jagada. Kui olen oma 3G-teenuse pakkujaga ühendatud, saan aadressi ametlikult marsruutimata 10.xxx vahemikus - ma ei tea, kui paljudest avalikest aadressidest minu päringud pärinevad, kuid on võimalik, et ma jagan ühte avalikku aadressi tuhandetega inimesed sel hetkel (mul pole kindlasti enda jaoks avalikku pöördumist).

Pikk lugu lühidalt: kliendi IP-aadress pole nii hea, kui võiksite seansside jälgimiseks arvata, kuigi kahe esimese oktetti kasutamine pakuks mõne muu kasutatava seansimärgi peal täiendavat kaitset, ilma et see häiriks rohkem kui vähe kasutajaid.

none: Charles Robertson | none