Авторизация по IP-адресу – хитрости реальности
До сих пор в Интернете популярна авторизация по IP-адресу, например в тех же CMS (но не только). Например, помимо предъявления авторизационного куки-файла, для авторизации требуется, чтобы и запрос был с заданного IP-адреса, скажем с того же, с которого делался логин, породивший куку, или просто готовится “белый список” допустимых IP-адресов.
С одной стороны, это увеличивает “стойкость”, так как, на первый взгляд, если злоумышленник “угнал куки” или подслушал снифером пароль, то авторизоваться в системе со своей машины он не сможет, так как у этой машины, предположительно, другой IP-адрес.
А вот с другой стороны в реальности есть хитрости. Например, пользователи, которым требуется авторизация в “защищаемой системе”, могут располагаться за тем или иным NATом – это приводит к тому, что извне IP-адрес соединения пользователя будет выглядеть другим, нежели внутренний адрес этого пользователя. Но не это главное. Главное, что “внешний” адрес разделяется между многими пользователями внутренней сети, то есть с точки зрения внешнего сервера разные компьютеры всех этих пользователей будут выглядеть как имеющие один и тот же IP-адрес. Это сейчас очень и очень распространённая ситуация и в корпоративных сетях, и у “домовых” интернет-провайдеров: IP-адреса – ресурс дефицитный. При этом пользователь, не будучи подкован в технических вопросах, может и не подозревать о том, как хитро всё работает и что он разделяет с соседями один “внешний” IP-адрес.
Теперь приплюсуем сюда такой момент: прослушивать, с целью похищения “куков и паролей”, сетевой трафик данного пользователя минимальными затратами, скорее всего, могут его соседи по сети (скажем, “хакеры-пионеры” балуются в плохо настроенных “домовых сетях”). Выходит, что похитивший авторизационные данные нехороший сосед, очень вероятно, автоматом имеет возможность работать с внешним сервером с того же IP-адреса, что и пострадавший пользователь.
Так что на практике дополнительная авторизация по IP-адресу хоть и работает хорошо, но уже не выглядит панацеей.
Интересен и другой практический эффект: в системах онлайн-голосования за всякие рейтинги и конкурсы запрет повторного голосования с одного IP-адреса в течение некоторого отрезка времени (типа, защита от накруток, вспоминаем “Премию Рунета”) приводит к тому, что множество добросовестных пользователей вообще не могут проголосовать (они, волей админов, сидят за общим “IPшником”), а владелец среднего ботнета (или социальной сети) элементарно накручивает голосовалку, действуя с набора разных IP-адресов, да ещё и с нужным разбросом по времени.
()
Похожие записки:
- "Перечислимость" IP-адресов
- Реплика: индексация секретов "Яндексом" и robots.txt
- Интерактивные очки на носу и ЭМ-поля
- Поумневшая пыль
- Продолжение: браузеры, которые делают "не у нас"
- Реплика: фильтрация поиска
- Увод паролей от электронных кошельков и техническая грамотность
- Механические проблемы и неразвитая безопасность
- Алгоритмы шифрования и исходные коды Skype
- Реплика: утеря персональных данных
- Реплика: и снова Twitter с разведкой
- Больше кириллических доменов
- Chrome без онлайн-проверки отзыва сертификатов (OCSP и CRL)
- Связь на орбитах (низких)
- Нелегальное получение SSL-сертификатов и ЦРУ
- Социальные сети, мониторинг, и дезинформация
- Техническое: практика IPv6
Кратко этот сайт характеризуется так: здесь можно узнать про технологический прогресс, Интернет, математику, авиацию, компьютеры, авиационные компьютеры, вооружения, роботов, вооружение роботов, армии мира, астрономию, космические исследования. И иногда о чём-то ещё (
.
Недавние комментарии:
Управление пулями, баллистика
Ссылки: следим за доменом РФ – снижение
Заказанный “Мистраль”
Заказанный “Мистраль”
Управление пулями, баллистика
Ссылки: следим за доменом РФ – снижение
Управление пулями, баллистика
Управление пулями, баллистика
Управление пулями, баллистика
Управление пулями, баллистика
Управление пулями, баллистика