Авторизация по IP-адресу – хитрости реальности

Jus fi, flickr До сих пор в Интернете популярна авторизация по IP-адресу, например в тех же CMS (но не только). Например, помимо предъявления авторизационного куки-файла, для авторизации требуется, чтобы и запрос был с заданного IP-адреса, скажем с того же, с которого делался логин, породивший куку, или просто готовится “белый список” допустимых IP-адресов.

С одной стороны, это увеличивает “стойкость”, так как, на первый взгляд, если злоумышленник “угнал куки” или подслушал снифером пароль, то авторизоваться в системе со своей машины он не сможет, так как у этой машины, предположительно, другой IP-адрес.

А вот с другой стороны в реальности есть хитрости. Например, пользователи, которым требуется авторизация в “защищаемой системе”, могут располагаться за тем или иным NATом – это приводит к тому, что извне IP-адрес соединения пользователя будет выглядеть другим, нежели внутренний адрес этого пользователя. Но не это главное. Главное, что “внешний” адрес разделяется между многими пользователями внутренней сети, то есть с точки зрения внешнего сервера разные компьютеры всех этих пользователей будут выглядеть как имеющие один и тот же IP-адрес. Это сейчас очень и очень распространённая ситуация и в корпоративных сетях, и у “домовых” интернет-провайдеров: IP-адреса – ресурс дефицитный. При этом пользователь, не будучи подкован в технических вопросах, может и не подозревать о том, как хитро всё работает и что он разделяет с соседями один “внешний” IP-адрес.

Теперь приплюсуем сюда такой момент: прослушивать, с целью похищения “куков и паролей”, сетевой трафик данного пользователя минимальными затратами, скорее всего, могут его соседи по сети (скажем, “хакеры-пионеры” балуются в плохо настроенных “домовых сетях”). Выходит, что похитивший авторизационные данные нехороший сосед, очень вероятно, автоматом имеет возможность работать с внешним сервером с того же IP-адреса, что и пострадавший пользователь.

Так что на практике дополнительная авторизация по IP-адресу хоть и работает хорошо, но уже не выглядит панацеей.

Интересен и другой практический эффект: в системах онлайн-голосования за всякие рейтинги и конкурсы запрет повторного голосования с одного IP-адреса в течение некоторого отрезка времени (типа, защита от накруток, вспоминаем “Премию Рунета”) приводит к тому, что множество добросовестных пользователей вообще не могут проголосовать (они, волей админов, сидят за общим “IPшником”), а владелец среднего ботнета (или социальной сети) элементарно накручивает голосовалку, действуя с набора разных IP-адресов, да ещё и с нужным разбросом по времени.

()

Похожие записки:



Далее - мнения и дискуссии

(Сообщения ниже добавляются читателями сайта, через форму, расположенную в конце страницы.)

Комментарии читателей блога: 5

  • 1. 1st February 2009, 09:36 // Читатель Valentin написал:

    Не думаю, что кто то этим пользуется. Это логично только для интранет ресурса.

  • 2. 1st February 2009, 10:54 // Александр Венедюхин ответил:

    Не думаю, что кто то этим пользуется.

    Чем именно? Авторизацией с IP-адресом? Да все подряд пользуются: livejournal.com, мастерхостовская панель управления и т.д., и т.п. Очень распространённое решение.

  • 3. 3rd February 2009, 23:55 // Читатель виктор написал:

    а как же по другому защищаться от накруток та если не по айпи адресу?

  • 4. 8th February 2009, 03:22 // Читатель Alatar написал:

    Александр Венедюхин, Вы забыли упомянуть про “обратную сторону медали” – динамические IP. =) Вся ирония заключается в том, что добропорядочный пользователь может быть гнусно обломан по причине того, что у него случился дисконнет, а при реконнекте ему выдали другой ИП (типичная ситуация для dialup/GPRS).
    виктор, ИМХО, любая привязка к ИП неправильная вещь. Типичный пример – рапидшара. Я с нее могу качать только ночью и то если сильно повезет, потому что живу в сету, где на 10 000 юзеров всего пол дюжины ИПов =) С другой стороны, если я злой дядя и хочу обойти твое ограничение, то в моем распоряжении несчетное количество бесплатных прокси по всему миру =)
    Как защищаться? Ну тут все зависит от ценности голосования, но ИМХО оптимальный вариант – регистрацией. Я хоть и противник систем, требующих регистрации для получения доступа (типа однокласников, вконтакте и иже с ними), но считаю вполне логичным закрывать анрегам доступ на запись.

  • 5. 8th February 2009, 11:55 // Александр Венедюхин ответил:

    Вы забыли упомянуть про ?обратную сторону медали? – динамические IP. =)

    Да, точно, динамическое распределение адресов “без ведома пользователя” – это дополнительная неприятность.