Сообщение Re: IP адрес клиента меняется каждые 10 секунд, насколько эт от 27.03.2020 6:04
Изменено 27.03.2020 6:06 vsb
Re: IP адрес клиента меняется каждые 10 секунд, насколько это нормально?
Здравствуйте, AndrewN, Вы писали:
AN>Впервые столкнулся с ситуацией, когда у одного из клиентов IP меняется каждые 10-30 секунд.
AN>Видимо так странно настроен балансировщих выходных каналов у провайдера.
AN>Из-за этого у клиента постоянно слетает сессия авторизации на одном из наших WEB ресурсов, клиент жалуется.
AN>Насколько общепринятым решением считается учёт адреса, с которого произошло подключение в параметрах сессии?
По-моему не считается. У сотовых телефонов адрес может меняться достаточно часто. У домашних провайдеров он тоже может меняться, может не слишком часто, но это не повод выкидывать пользователя из сессии.
В общем это всё баланс между удобством использования и безопасностью. В интернет-банке это может иметь смысл. У обычного сервиса — имхо, нет. Я рекомендую подумать, какую цель собственно преследует фиксация IP-адреса, какую конкретно угрозу она пытается предотвратить, насколько эта угроза реальна и нет ли у злоумышленника других способов навредить вам в случае реализации этой угрозы.
AN>Впервые столкнулся с ситуацией, когда у одного из клиентов IP меняется каждые 10-30 секунд.
AN>Видимо так странно настроен балансировщих выходных каналов у провайдера.
AN>Из-за этого у клиента постоянно слетает сессия авторизации на одном из наших WEB ресурсов, клиент жалуется.
AN>Насколько общепринятым решением считается учёт адреса, с которого произошло подключение в параметрах сессии?
По-моему не считается. У сотовых телефонов адрес может меняться достаточно часто. У домашних провайдеров он тоже может меняться, может не слишком часто, но это не повод выкидывать пользователя из сессии.
В общем это всё баланс между удобством использования и безопасностью. В интернет-банке это может иметь смысл. У обычного сервиса — имхо, нет. Я рекомендую подумать, какую цель собственно преследует фиксация IP-адреса, какую конкретно угрозу она пытается предотвратить, насколько эта угроза реальна и нет ли у злоумышленника других способов навредить вам в случае реализации этой угрозы.
Re: IP адрес клиента меняется каждые 10 секунд, насколько эт
Здравствуйте, AndrewN, Вы писали:
AN>Впервые столкнулся с ситуацией, когда у одного из клиентов IP меняется каждые 10-30 секунд.
AN>Видимо так странно настроен балансировщих выходных каналов у провайдера.
AN>Из-за этого у клиента постоянно слетает сессия авторизации на одном из наших WEB ресурсов, клиент жалуется.
AN>Насколько общепринятым решением считается учёт адреса, с которого произошло подключение в параметрах сессии?
По-моему не считается. У сотовых телефонов адрес может меняться достаточно часто. У домашних провайдеров он тоже может меняться, может не слишком часто, но это не повод выкидывать пользователя из сессии.
В общем это всё баланс между удобством использования и безопасностью. В интернет-банке это может иметь смысл. У обычного сервиса — имхо, нет. Я рекомендую подумать, какую цель собственно преследует фиксация IP-адреса, какую конкретно угрозу она пытается предотвратить, насколько эта угроза реальна для вашего случая и нет ли у злоумышленника других способов навредить вам в случае реализации этой угрозы. Думаю очевидно, что неудобство использования от такого решения вполне себе реально конкретно у этого пользователя и, вероятно, у многих других, которые просто не пишут вам.
AN>Впервые столкнулся с ситуацией, когда у одного из клиентов IP меняется каждые 10-30 секунд.
AN>Видимо так странно настроен балансировщих выходных каналов у провайдера.
AN>Из-за этого у клиента постоянно слетает сессия авторизации на одном из наших WEB ресурсов, клиент жалуется.
AN>Насколько общепринятым решением считается учёт адреса, с которого произошло подключение в параметрах сессии?
По-моему не считается. У сотовых телефонов адрес может меняться достаточно часто. У домашних провайдеров он тоже может меняться, может не слишком часто, но это не повод выкидывать пользователя из сессии.
В общем это всё баланс между удобством использования и безопасностью. В интернет-банке это может иметь смысл. У обычного сервиса — имхо, нет. Я рекомендую подумать, какую цель собственно преследует фиксация IP-адреса, какую конкретно угрозу она пытается предотвратить, насколько эта угроза реальна для вашего случая и нет ли у злоумышленника других способов навредить вам в случае реализации этой угрозы. Думаю очевидно, что неудобство использования от такого решения вполне себе реально конкретно у этого пользователя и, вероятно, у многих других, которые просто не пишут вам.