IP 주소와 세션 ID의 바인딩

Question

세션 고정 문제를 방지하려면 IP 주소를 세션 ID와 어떻게 바인딩 할 수 있습니까? 세션 ID를 IP 주소의 세션 ID와 바인딩 할 수 있습니까 ??

Answer 1

하지만 그렇게 좋지는 않을 수 있습니다. 클라이언트가 프록시 팜 뒤에있는 경우 요청시마다 외부 IP 주소가 변경 될 수 있습니다. 예를 들면, AOL.

Answer 2

나는 이것이 좋은 생각이라고 생각하지 않습니다. 동일한 사용자의 후속 요청은 동일한 IP 주소에서 올 필요가 없을 수 있습니다. 그 이유는 요청이 다른 프록시에서 왔을 수 있기 때문입니다. IIRC는 모든 AOL 사용자의 경우였으며 다른 공급 업체 또는 일부 회사 네트워크의 경우 일 수도 있습니다.

세션을 하이킹하지 않으려면 page tokens으로 세션을 보호하는 것이 좋습니다.

Answer 3

http://en.wikipedia.org/wiki/Session_fixation

if($_SERVER['REMOTE_ADDR'] != $_SESSION['PREV_REMOTEADDR']) { 
    session_destroy(); // destroy all data in session 
} 
session_regenerate_id(); // generate a new session identifier 
$_SESSION['PREV_REMOTEADDR'] = $_SERVER['REMOTE_ADDR']; 

Answer 4

는 내가 전에 그것에 대해 몇 가지 기사를 읽었습니다. 추가 세션 메타 데이터로 사용자 IP 주소를 확인할 수도 있습니다. 일반적인 세션 ID로 사용하려면 모든 사용자가 동일한 IP 주소를 사용하는 특정 프록시 게이트웨이 뒤에있는 사용자를 다루는 데 문제가있을 수 있습니다. 이지만 세션 도용 (쿠키 하이 잭킹과 같은 기술 사용)을 방지하는 데 사용할 수 있습니다. 쿠키 도용자가 희생자의 IP 주소를 모방 할 수있는 것으로 간주되어야합니다. 따라서 사용자 세션과 IP 주소를 확인하는 것이 보안을 강화하는 좋은 방법이 될 수 있지만 방탄 솔루션이 아닙니다.