Авторизация по IP-адресу – хитрости реальности
До сих пор в Интернете популярна авторизация по IP-адресу, например в тех же CMS (но не только). Например, помимо предъявления авторизационного куки-файла, для авторизации требуется, чтобы и запрос был с заданного IP-адреса, скажем с того же, с которого делался логин, породивший куку, или просто готовится “белый список” допустимых IP-адресов.
С одной стороны, это увеличивает “стойкость”, так как, на первый взгляд, если злоумышленник “угнал куки” или подслушал снифером пароль, то авторизоваться в системе со своей машины он не сможет, так как у этой машины, предположительно, другой IP-адрес.
А вот с другой стороны в реальности есть хитрости. Например, пользователи, которым требуется авторизация в “защищаемой системе”, могут располагаться за тем или иным NATом – это приводит к тому, что извне IP-адрес соединения пользователя будет выглядеть другим, нежели внутренний адрес этого пользователя. Но не это главное. Главное, что “внешний” адрес разделяется между многими пользователями внутренней сети, то есть с точки зрения внешнего сервера разные компьютеры всех этих пользователей будут выглядеть как имеющие один и тот же IP-адрес. Это сейчас очень и очень распространённая ситуация и в корпоративных сетях, и у “домовых” интернет-провайдеров: IP-адреса – ресурс дефицитный. При этом пользователь, не будучи подкован в технических вопросах, может и не подозревать о том, как хитро всё работает и что он разделяет с соседями один “внешний” IP-адрес.
Теперь приплюсуем сюда такой момент: прослушивать, с целью похищения “куков и паролей”, сетевой трафик данного пользователя минимальными затратами, скорее всего, могут его соседи по сети (скажем, “хакеры-пионеры” балуются в плохо настроенных “домовых сетях”). Выходит, что похитивший авторизационные данные нехороший сосед, очень вероятно, автоматом имеет возможность работать с внешним сервером с того же IP-адреса, что и пострадавший пользователь.
Так что на практике дополнительная авторизация по IP-адресу хоть и работает хорошо, но уже не выглядит панацеей.
Интересен и другой практический эффект: в системах онлайн-голосования за всякие рейтинги и конкурсы запрет повторного голосования с одного IP-адреса в течение некоторого отрезка времени (типа, защита от накруток, вспоминаем “Премию Рунета”) приводит к тому, что множество добросовестных пользователей вообще не могут проголосовать (они, волей админов, сидят за общим “IPшником”), а владелец среднего ботнета (или социальной сети) элементарно накручивает голосовалку, действуя с набора разных IP-адресов, да ещё и с нужным разбросом по времени.
Адрес записки: https://dxdt.ru/2009/01/31/2042/
Похожие записки:
- STARTTLS и SMTP
- Наложенные сети Chrome для размещения сервисов
- Gitea и омоглифы не в ту сторону
- Про цепочки, RSA и ECDSA
- Техническое: имена в TLS и Nginx
- Общее представление о шифрах и бэкдоры
- Техническое: ключи DNSSEC и их теги
- Трафик на тестовом сервере TLS 1.3 и ESNI
- Автоматизация ИИ-агентов и атаки
- IP-адреса на разных уровнях восприятия
- Ретроспектива заметок: ключ по фотографии
Комментарии читателей блога: 5
1 <t> // 1st February 2009, 09:36 // Читатель Valentin написал:
Не думаю, что кто то этим пользуется. Это логично только для интранет ресурса.
2 <t> // 1st February 2009, 10:54 // Александр Венедюхин:
Чем именно? Авторизацией с IP-адресом? Да все подряд пользуются: livejournal.com, мастерхостовская панель управления и т.д., и т.п. Очень распространённое решение.
3 <t> // 3rd February 2009, 23:55 // Читатель виктор написал:
а как же по другому защищаться от накруток та если не по айпи адресу?
4 <t> // 8th February 2009, 03:22 // Читатель Alatar написал:
Александр Венедюхин, Вы забыли упомянуть про “обратную сторону медали” – динамические IP. =) Вся ирония заключается в том, что добропорядочный пользователь может быть гнусно обломан по причине того, что у него случился дисконнет, а при реконнекте ему выдали другой ИП (типичная ситуация для dialup/GPRS).
виктор, ИМХО, любая привязка к ИП неправильная вещь. Типичный пример – рапидшара. Я с нее могу качать только ночью и то если сильно повезет, потому что живу в сету, где на 10 000 юзеров всего пол дюжины ИПов =) С другой стороны, если я злой дядя и хочу обойти твое ограничение, то в моем распоряжении несчетное количество бесплатных прокси по всему миру =)
Как защищаться? Ну тут все зависит от ценности голосования, но ИМХО оптимальный вариант – регистрацией. Я хоть и противник систем, требующих регистрации для получения доступа (типа однокласников, вконтакте и иже с ними), но считаю вполне логичным закрывать анрегам доступ на запись.
5 <t> // 8th February 2009, 11:55 // Александр Венедюхин:
Да, точно, динамическое распределение адресов “без ведома пользователя” – это дополнительная неприятность.