4

これについて読んだことを覚えていると確信していますが、リンクを見つけることはできません。一部のISP(米国の少なくとも1つの大きなISPを含む)では、ユーザーのGETおよびPOSTリクエストが来るように見える可能性があります。さまざまなIPから。

(これは完全にプログラミングに関連していることに注意してください。以下に例を示します)

2つのリクエスト間でIPアドレスを動的に変更することについて話しているのではありません。

私はこれについて話している:

IP 1:  123.45.67.89
IP 2:  101.22.33.44

同じユーザーがGET、POST、GET、POSTの順に作成すると、サーバーはこれを確認します。

- GET  from IP 1
- POST from IP 2
- GET  from IP 1
- POST from IP 2

そのため、同じユーザーですが、WebサーバーはGETとPOSTに対して異なるIPを認識します。

HTTPがステートレスプロトコルであることは確かにわかりますが、これは完全に合法ですよね?

特定のISPがこれが発生するようにネットワークを構成する方法/理由についての説明を見つけたいと思います。

誰かが私に次のIPフィルターを実装するように頼んだので、私はそれが根本的に壊れたコードであると確信しているので、私は尋ねています(少なくとも1人の主要なアメリカのISPユーザーにとって壊滅的な大混乱)。

これは、いくつかの攻撃から保護することになっているJavaサーブレットフィルターです。理由は次のとおりです。

どのセッションフィルターでも、リクエストのIPアドレスがセッションの作成時に使用されたものと同じであることを確認します。したがって、この場合、偽のセッションを形成するためにセッションIDを盗むことはできませんでした。」

http://www.servletsuite.com/servlets/protectsessionsflt.htm

ただし、異なるIPからのGETとPOSTが表示される可能性のあるISPがあるため、これは本質的に壊れていると確信しています。

4

2 に答える 2

5

一部の ISP (または大学のネットワーク) は、ネットワーク負荷が最も少ない発信ノードからの要求を中継する透過的なプロキシを運用しています。

ローカル マシンでこれを構成して、負荷が最も低い NIC を使用することもできますが、これもこの状況になる可能性があります。

これは HTTP の有効な状態であることは間違いありません。比較的まれに発生するはずですが、これが IP に基づくユーザーの検証が適切な ID の決定ではない理由です。

于 2010-05-29T14:37:33.123 に答える
1

Web サーバーがこれを認識していることは、エンド ユーザーが何らかのプロキシ/ゲートウェイの背後にいることを意味します。あなたが言うように、HTTP がステートレスであることを考えると、それは完全に有効ですが、私は珍しいと思います。私が知る限り、ほとんどの ISP はホーム ユーザーに実際の変換されていない IP を割り当てます (通常は動的ではありますが)。

もちろん、企業/機関ネットワークの場合、彼らは何でもできます。負荷分散は、リクエストが異なる IP から送信されることを意味する可能性があり、リクエスト タイプが異なるゲートウェイに送信されることもあります (ただし、N_GET >> N_POST を考えると、その理由を知りたいと思います)。

于 2010-05-29T14:47:47.500 に答える