কেন আমি একক সেশনের জন্য কোনও ওয়েবসাইটে একাধিক আইপি ঠিকানাগুলি অনুমতি দেব?

18

আমি আশা করি আমার প্রশ্নটি এই সাইটের ক্ষেত্রের সাথে মেলে।

আমি একটি সিএমএস বিকাশ করছি । বর্তমানে আমার লগ ইন করা ব্যবহারকারীরা সেশনের জন্য তাদের আইপি ঠিকানায় লক হয়ে আছেন। দুর্ভাগ্যক্রমে আমার ইউজারবেসের একটি ছোট অংশ অবিচ্ছিন্নভাবে দুটি বা ততোধিক আইপি ঠিকানার মধ্যে ঝাঁপিয়ে পড়ে। তাদের বেশিরভাগ সম্ভবত লোড ব্যালেন্সার ব্যবহার করে। প্রযুক্তিগতভাবে এটির একটি আইপি ঠিকানায় ব্যবহারকারীদের সেশনগুলি লক করা প্রয়োজন হয় না। আমি আশা করি না যে ক্লায়েন্টরা আমার ওয়েবসাইটে একক পৃষ্ঠার অনুরোধের জন্য একাধিক আইপি ঠিকানাগুলির মধ্যে স্যুইচ করবে।

আমি এখন অবাক, আমার ক্লায়েন্টদের একটি পৃষ্ঠার অনুরোধের জন্য আইপি অ্যাড্রেসের মধ্যে ক্রমাগত ঝাঁপিয়ে পড়ার অনুমতি দেওয়া কী কী ঝুঁকির জন্য রয়েছে (উদাহরণস্বরূপ, সিএসএস ফাইলগুলি এক্সএক্সএক্সএক্সএক্সএক্সএক্সএক্সএক্সএক্সএক্স এবং জাভাস্ক্রিপ্ট ফাইলগুলি yyy.yyy.yyy দ্বারা অনুরোধ করা হয়েছে) yyy)? আমার কি সাধারণভাবে অনুমতি দেওয়া বা নিষেধ করা উচিত?

security 
yoru
সূত্র
39
এমনকি আইপি ঘুরে দেখার জন্য আপনার ভার ভারসাম্যের দরকার নেই। সাবওয়েতে আপনার ফোনে সংযোগ স্থাপন করুন, ট্রেনটি ভ্রমণ করার সাথে আপনি কয়েক মিনিট পরে আলাদা আইপি পেতে পারেন এবং তারপরে আবার যখন আপনার ফোন কোনও গন্তব্যে ওয়াইফাইতে স্যুইচ করে।
হোসনেম
13
এছাড়াও ল্যাপটপগুলির অবস্থানগুলির মধ্যে চলার জন্য (বলুন, হোম> ওয়ার্ক> স্টারবাক্স)। এছাড়াও: আইপিভি 6 র্যান্ডম ঠিকানা (আইপিভি 6 এসএলএএসি গোপনীয়তা বর্ধন)।
মার্সেলেম
স্বজ্ঞাতভাবে, আমি প্রত্যাশা করব যে ক্লায়েন্টটি বিভিন্ন উত্স আইপিএসের চারপাশে ঝাঁপিয়ে পড়ে সমস্যা সৃষ্টি করবে যদি এটি "মাঝে মধ্যে" চেয়ে আরও কিছু ছিল।
টম এইচ
1
যদি আপনি একটি ওয়েব অ্যাপ্লিকেশনটি একটি নেটওয়ার্ক আপনি নিয়ন্ত্রণ অথবা আপনি তোমাদের জ্ঞান আছে ইনস্টল করা হবে উন্নয়নশীল হয় পারে যেহেতু আপনি বলতে "এই অবস্থা একাধিক আইপিগুলি যেহেতু ব্যবহারকারীদের আবশ্যক ঘটতে যাচ্ছে না হয় সক্ষম হতে পারেন সুরক্ষার জন্য এই কাজ করার সিদ্ধান্ত নেন তাদের ডাব্লুএস থেকে এটি অ্যাক্সেস করুন এবং এর মধ্যে কোনও লোড ব্যালেন্সার বা অন্য কোনও সামগ্রী নেই যা তাদের আইপি পরিবর্তন করতে পারে "... সেই ক্ষেত্রে আপনি এমনকি ব্যবহারকারীদের আইপিগুলি ট্র্যাক করতে সক্ষম হতে পারেন যেহেতু তাদের ডাব্লুএসে সর্বদা একই থাকে (বা এটি) প্রতি কয়েক মাস অন্তর একবার পরিবর্তিত হতে পারে)
বাকুরিউ
1
@ টমএইচ না, বিপুল সংখ্যাগরিষ্ঠ ওয়েব অ্যাপগুলি আপনার আইপি ঠিকানাটির বিষয়ে চিন্তা করে না, তারা কোনও নতুন টিসিপি সংযোগের জন্য এইচটিটিপি অনুরোধে একই কুকিজ গ্রহণ করবে। কেবল বিকৃত এবং খারাপভাবে ডিজাইন করা ক্র্যাপগুলি আপনার সেশনটিকে আইপি বা কোনও সংযোগে লক করে।
নবীন

উত্তর:

35

আমার ইউজারবেসের একটি ছোট্ট অংশ অবিচ্ছিন্নভাবে দুটি বা ততোধিক আইপি ঠিকানার মধ্যে ঝাঁপিয়ে পড়ে।

কারণসমূহ

ধরে নিই যে আপনার ব্যবহারকারীরা কোনও নামহীন পরিষেবা ব্যবহার করে তাদের আসল আইপি ঠিকানাগুলি সক্রিয়ভাবে গোপন করার চেষ্টা করছেন না ...:

বেশিরভাগ কর্পোরেট উদাহরণগুলি আমি দেখেছি বড় সংস্থাগুলি এবং কিছু আইএসপি প্রক্সি সার্ভারগুলির একটি ক্লাস্টার ব্যবহারের কারণে ঘটেছিল, যার প্রত্যেকটির আলাদা আলাদা বাহ্যিক আইপি-ঠিকানা রয়েছে, ব্যবহারকারীদের অনুরোধগুলি সেই ক্লাস্টারের উপর ভারসাম্য ভারসাম্যপূর্ণ হয়ে উঠছে।

আপনি দ্বৈত স্ট্যাক ব্যবহারকারীরা উভয় আইপিভি 4 এবং আইপিভি 6-র উপর অনুরোধ করা এবং পরবর্তী অনুরোধগুলির জন্য দুটি প্রোটোকল আরএফসি 8305 এর মধ্যে স্যুইচ করতে দেখতে পাচ্ছেন ।

অন্য দৃশ্যটি হ'ল যখন আমি কোনও Wi-Fi অ্যাক্সেস পয়েন্টের চরম পরিসরে থাকি এবং আমার ডিভাইসটি "এলোমেলোভাবে" Wi-Fi এবং সেলুলার ডেটার মধ্যে স্যুইচ করে।

সলিউশন

প্রথম দৃশ্যে আপনি কেবলমাত্র প্রথম তিনটি অক্টেট বিবেচনা করে আপনার সেশনে এই জাতীয় আইপি ঠিকানা "সুরক্ষা" রাখার বিষয়ে আপস করতে পারেন, যেমন প্রক্সি সার্ভারগুলির একটি ক্লাস্টার সমস্ত ছোট সাবনেটের মধ্যে থাকে এবং তার প্রতিবেশী আইপি ঠিকানাগুলি থাকতে পারে।

দ্বিতীয় এবং তৃতীয় দৃশ্যে আপনি সম্পূর্ণ ভিন্ন ক্লায়েন্টের আইপি অ্যাড্রেস দেখতে পাবেন, এমনকি সম্পর্কহীন সরবরাহকারীদের থেকেও।

কোনও নির্দিষ্ট আইপি ঠিকানার সাথে আপনার সেশনগুলি বেঁধে রাখবেন না, এটি প্রকৃত উন্নত সুরক্ষা দেওয়ার চেয়ে ব্যবহারকারীর অভিজ্ঞতা ভাঙ্গার সম্ভাবনা বেশি।

HBruijn
সূত্র
27
ঠিক এই কারণগুলির জন্য কেউই আর আইপি ঠিকানার সাথে সেশনগুলি বেঁধে রাখে না।
মাইকেল হ্যাম্পটন
33
আইপি-অ্যাড্রেসে কখনও সেশন টাই করবেন না, ৮০ এর দশক শেষ! আমার আইএসপি আমার ফোনে একটি সম্পূর্ণ / 64 নেটওয়ার্ক সরবরাহ করে যাতে আমার ব্রাউজারটি পাগলের মতো ঘুরে যায়।
বিজোস্টার
6
সর্বোপরি, মাল্টিপথ টিসিপি ক্রমশ সাধারণ হয়ে উঠছে।
পোয়েরাজোয়েলু
3
আপনি যদি প্রযুক্তিগত ব্যবহারকারীদের জন্য নিজের সিএমএস তৈরি করে থাকেন তবে লগইন পৃষ্ঠায় আপনি কেবল "আইপি (xxx.yyy.zzz.iii) সীমাবদ্ধ করুন" চেকবক্সটি রাখতে পারেন
ফেরিবিগ
6
@ বিজেস্টার এর কারণ আইপিভি privacy গোপনীয়তা বাড়ানো, এটি ঠিকানা পরিবর্তন করে রাখে যাতে ওয়েবসাইটগুলি আপনাকে কেবল আইপি দ্বারা ট্র্যাক করতে না পারে (একাধিক লোক একই ঠিকানার পিছনে থাকায় এটি আইপিভি 4 নিয়ে কোনও সমস্যা নয়)
ফেরিবিগ
9

আমি এখন অবাক, আমার ক্লায়েন্টদের একটি পৃষ্ঠার অনুরোধের জন্য আইপি অ্যাড্রেসের মধ্যে ক্রমাগত ঝাঁপিয়ে পড়ার অনুমতি দেওয়া কী কী ঝুঁকির জন্য রয়েছে (উদাহরণস্বরূপ, সিএসএস ফাইলগুলি এক্সএক্সএক্সএক্সএক্সএক্সএক্সএক্সএক্সএক্সএক্স এবং জাভাস্ক্রিপ্ট ফাইলগুলি yyy.yyy.yyy দ্বারা অনুরোধ করা হয়েছে) yyy)? আমার কি সাধারণভাবে অনুমতি দেওয়া বা নিষেধ করা উচিত?

প্রাথমিক ঝুঁকিটি হ'ল দূষিত ব্যবহারকারী সেশনটি হাইজ্যাক করে। আপনি যদি এক বা আইপি ঠিকানাগুলির একটি ছোট সেটটিতে লক করতে পারেন তবে আপনি ব্যবহারকারীদের পুরোপুরি আলাদা আইপি ঠিকানাগুলি সেশন হাইজ্যাক করা থেকে আটকাতে পারবেন।

সমস্যাটি হ'ল কিছু ব্যবহারকারী বৈধভাবে এটি করেন। তারা লোড ভারসাম্য প্রক্সি ব্যবহার করছে বা দুটি বেতার অ্যাক্সেস পয়েন্টের (বা যাই হোক না কেন) মার্জিনে থাকুক না কেন, তারা একাধিক আইপি ঠিকানা ব্যবহার করে। সুতরাং আপনাকে বেশিরভাগ ক্ষেত্রে এটি ব্যবহারকারীর জন্য মঞ্জুরি দিতে হবে। এবং কোন ব্যবহারকারীদের একাধিক আইপি অ্যাড্রেস থেকে অনুরোধ করা বাদে একাধিক আইপি ঠিকানা প্রয়োজন তা বলা শক্ত।

এর প্রভাব হ্রাস করার একটি উপায় হ'ল এইচটিটিপিএস। তারপরে দূষিত অভিনেতার সেশন কুকির পাশাপাশি সুরক্ষিত স্তরকে আপস করার উপায় থাকতে হবে। কোনও অনিরাপদ সংযোগের পরে, দূষিত অভিনেতা সেশন কুকিতে আপোষ করার জন্য কেবল নেটওয়ার্ক পরিদর্শন ব্যবহার করতে পারেন। তবে এইচটিটিপিএসের মাধ্যমে একই দূষিত অভিনেতার কথোপকথনের এক প্রান্তে অ্যাক্সেস থাকা দরকার। এবং যদি দূষিত অভিনেতার কাছে এটি থাকে, তবে এটির আলাদা আইপি ব্যবহার করার দরকার নেই।

টিএল; ডিআর : আপনার একই ব্যবহারকারীর জন্য বিভিন্ন আইপি ঠিকানা থেকে অনুরোধের অনুমতি দেওয়া উচিত। এটি ঘটতে পারে এমন বৈধ কারণ রয়েছে। এই শ্রেণীর শোষণ থেকে রক্ষা করতে পরিবর্তে এইচটিটিপিএস ব্যবহার করুন।

mdfst13
সূত্র
4

পৃষ্ঠাগুলির জন্য আমার ক্লায়েন্টদের নিয়মিত আইপি ঠিকানার মধ্যে ঝাঁপিয়ে পড়তে দেওয়াতে কী কী ঝুঁকি রয়েছে?

সুরক্ষা দৃষ্টিকোণ থেকে - শূন্য ঝুঁকি।

এখন, ব্যবহারিক দৃষ্টিকোণ থেকে। এর অর্থ আপনি সুরক্ষা বা ডিওএস সুরক্ষার জন্য নির্দিষ্ট ধরণের অ্যালগরিদম ব্যবহার করতে পারবেন না ।

ব্যবহারকারীদের অনুরোধগুলি থ্রটল করার একটি সহজ উপায় হ'ল আইপি ঠিকানার মাধ্যমে ট্র্যাক করা। যেহেতু এটি আপনার অ্যাপ্লিকেশন সার্ভারের সাথে ইন্টারঅ্যাক্ট করার দরকার নেই আপনি এটি করতে নিম্ন স্তরের পরিষেবাগুলি ব্যবহার করতে পারেন। অ্যাপাচি এর মোড_ডেসিভের মতো সফ্টওয়্যার এটি করে। আপনি এখনও এই কৌশলগুলি ব্যবহার করতে পারেন, তবে ব্যবহারকারী পরিবর্তিত আইপি ঠিকানাগুলি তাদের কার্যকারিতা হ্রাস করবে। তারপরে আবারও, ব্যবহারকারীরা যে কোনও উপায়ে আইপি ঠিকানাগুলি স্যুইচ করবেন যাতে এই কৌশলগুলি কখনই কার্যকর হয় না।

একটি সম্পর্কিত, তবে পৃথক, ব্যবহারের ক্ষেত্রে ব্যর্থ লগইন প্রচেষ্টা থ্রোটল করছে। এটি হ'ল ব্রুট ফোর্স পাসওয়ার্ড অনুমান করা রোধ করা। তবে আবার, ব্যবহারকারীরা আইপি অ্যাড্রেসগুলি পরিবর্তন করে তবে আপনি কিছুই করতে পারবেন না। একজন সত্যই গুরুতর হ্যাকার তার নিজের মেশিনগুলিও ব্যবহার করবেন না। তিনি কেবল কোনও বোটনেটে (বা তার নিজের পূর্বে সংক্রামিত বোটনেট ব্যবহার করুন) কিছুটা সময় কিনতে চাইবেন এবং 10,000 জন ব্যক্তির পিসি (আইপি ঠিকানা) এর মাধ্যমে আপনার পরিষেবায় সংযুক্ত হবেন। এটি ব্যবহারকারীর আইপি ঠিকানা সীমাবদ্ধ করার সাথে সম্পর্কিত নয় কারণ এটি প্রাক-লগইন, তবে এটি মনে রাখা দরকার to

slebetman
সূত্র
1

ব্যবহারকারী কোনও নতুন আইপি ঠিকানায় ঝাঁপিয়ে পড়ার বিভিন্ন কারণ রয়েছে।

  1. আইপিভি 6 গোপনীয়তা এক্সটেনশান, আজকাল অনেক আইপিভি 6 ক্লায়েন্ট ল্যানের মধ্যে / 64 এর মধ্যে লাফিয়ে উঠবে।
  2. ভারসাম্যযুক্ত প্রক্সিগুলি লোড করুন, ক্লায়েন্টদের অনুরোধটি পৃথক আইপি সহ প্রতিটি কয়েকটি প্রক্সির মধ্যে একটিতে পৌঁছে যায়।
  3. NAT পুল, সীমানা নাট একাধিক আইপি ঠিকানা দিয়ে কনফিগার করা হয়েছে এবং ক্লায়েন্ট টিসিপি সংযোগগুলিতে পুল আরবিটারিলি থেকে আইপি / পোর্ট সংমিশ্রণ নির্ধারণ করে।
  4. ব্যবহারকারী আজকাল ফোনের সাথে প্রচলিত বিভিন্ন নেটওয়ার্ক বা কোনও নেটওয়ার্কের অংশগুলির মধ্যে চলে।
  5. দ্বৈত স্ট্যাক ব্যবহারকারীরা আইপিভি 4 এবং আইপিভি 6 এর মধ্যে হ্যাপ করতে পারেন।

আমি এখন অবাক, আমার ক্লায়েন্টদের একটি পৃষ্ঠার অনুরোধের জন্য আইপিগুলির মধ্যে ক্রমাগত ঝাঁপিয়ে পড়ার অনুমতি দেওয়ার মধ্যে কী কী ঝুঁকি রয়েছে?

আইপিগুলিতে ক্লায়েন্ট সেসসিনগুলি লক করার সুবিধা হ'ল এটি অধিবেশন চুরির আক্রমণকে আরও শক্ত করে তোলে। যদি কোনও আক্রমণকারীর কাছে এমন কোনও ব্যবস্থা থাকে যা তাদের ক্লায়েন্টদের কুকিগুলি চুরি করতে দেয় তবে তাদের ক্লায়েন্টের আইপি ঠিকানা থেকে আপনার সার্ভারে সংযোগ তৈরি করতে দেয় না তবে আইপি লকটি তাদের সেশন চুরি করতে বাধা দেবে।

নেতিবাচকতাটি যেমনটি আপনি বলেছেন যে এটি এমন কিছু ব্যবহারকারীদের জন্য বিরতি সৃষ্টি করবে যা কোনও স্পষ্ট কারণ ছাড়াই তাদের সেশনটি অবৈধ বলে মনে করে।

বেশিরভাগ সাইটগুলি আজকাল মনে হচ্ছে ভাঙ্গা এই জাতীয় লকিংয়ের উপকারের চেয়ে বেশি।

পিটার গ্রিন
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.