質問はばかげているように聞こえるかもしれませんが、私がWeb上のセキュリティ問題を扱ってから長い時間が経ちました。
ユーザーがログインして、30分間有効なトークンを取得した場合。数分後、彼はインターネットを切断します。30分のウィンドウが閉じる前に、彼は再び接続します。以前のトークンはまだ有効ですか?
明確にするために、認証はトークンとユーザーの資格情報の組み合わせ、またはトークンとIPの組み合わせに依存しますか?
2 に答える
1
最初に明白なことを述べます。IP アドレスの (可能性のある) 変更以外に、クライアントが切断/再接続されたこと、または常に接続されたままであることをサーバーが認識する方法はありません。
通常、トークンは厳密な IP アドレスにバインドされていません。これは、後続の接続が異なる IP アドレスから来る場合があるためです (負荷分散されたプロキシ サーバーを介してルーティングされる可能性があります。この時代でも、一部の人々はまだそれらを使用しています/一部の ISP はまだそれらを実装しています)、または IP アドレスがどのように変化するかが他の方法である可能性があります。 . そうは言っても、私の経験では、これらの場合、「サブネット」は同じままです(したがって、XXX.XXX.XXX.YYY では、YYY はリクエスト間で変更される可能性があり、X は同じままです。IPv6 でこの ID がどのようになるかはわかりません)。そのため、一部のシステムでは、トークンのハイジャックを回避するために、トークンを 24 の最上位ビットにバインドしていることを知っています (誰かが何らかの理由でトークンを取得した場合、トークンを有効にするために同じサブネットから接続する必要があります)。
結局、すべてはシステムに依存します。簡単に確認できるはずです。ラップトップでサイトにログインします。次に、ブラウザーを開いたまま、VPN (アノニマイザー) 経由で接続するか、電話のテザリング経由でラップトップを接続するか、近所の人や地元のコーヒー ショップの Wi-Fi を使用するように依頼して、まだログインしているかどうかを確認します。
于 2013-03-07T10:11:02.710 に答える
1
使用されているテクノロジーに関する情報がまったくなく、それを入手する方法がない場合は、試してみることをお勧めします.
自分がユーザーになり、切断を試み、IP を変更してみてください。
しかし、最善の策は、どのテクノロジーが使用されているかを把握しようとすることです。
于 2013-03-07T10:06:26.717 に答える