it-swarm.com.de

Warum sind Sitzungen nicht exklusiv für eine IP-Adresse?

Bei entsprechender XSS-Sicherheitsanfälligkeit kann ein Angreifer die Sitzung einer Person mit den Daten entführen, die an den und vom Server übergeben werden.

Warum sind Sitzungen nicht immer exklusiv für die IP, mit der sie gestartet wurden? d.h. wann müsste eine Website/ein Dienst eine authentifizierte Sitzung über mehrere IP-Adressen hinweg beibehalten? Ich bin mir nicht sicher, warum Sitzungen dies zulassen, daher verstehe ich nicht, wie dies jemals ein praktikabler Weg für einen Angreifer ist.

47
user81147

Erstens ist das Verknüpfen einer Sitzung mit einer IP-Adresse nicht sicher, da auf dem Server aus verschiedenen Gründen viele verschiedene Benutzer dieselbe IP-Adresse verwenden können (alle Arten von Proxyservern, z. B. Client, Reverse Proxy, CDN usw.). ).

Zweitens könnte derselbe Benutzer sehr gut unterschiedliche IP-Adressen für dieselbe Sitzung verwenden. Beispielsweise könnte jemand von demselben Gerät aus zwischen Netzwerken wechseln.

Da es nicht effektiv ist und Probleme mit der Benutzerfreundlichkeit und Skalierbarkeit verursacht, ist dies keine Funktion, die normalerweise aktiviert ist.

80
Stephane

Früher war AOL dafür berüchtigt, den Datenverkehr zwischen seinem internen Netzwerk und dem Internet über alle seine Exit-Proxys aggressiv auszugleichen. Dies bedeutete, dass eine Anforderung für eine einzelne Webseite und deren Inhalt von vielen verschiedenen IP-Adressen kam: Wenn Sie eine Sitzung an eine einzelne IP-Adresse angeheftet haben, wurde die Sitzung unterbrochen, bevor die Seite "Anmeldung erfolgreich" vollständig geladen wurde.

Diese Art des Lastausgleichs ist weniger verbreitet, kann jedoch dennoch auftreten, wenn jemand einen "Web Accelerator" -Proxy oder einen weniger technisch versierten ISP verwendet. Langsamere Schichten treten häufiger auf, z. B. wenn jemand einen drahtlosen Internetdienstanbieter verwendet und bei jedem Wechsel der Basisstation eine neue Adresse erhält.

Das Anheften einer Sitzung an eine einzelne IP-Adresse kann Angriffe zum Stehlen von Sitzungen erschweren. Dies geht jedoch zu Lasten einiger Personen, die Ihren Dienst vollständig nutzen, und einer Beeinträchtigung anderer.

14
Mark

Ein Angreifer kann von derselben Adresse aus eine Verbindung zum Server herstellen. Zum Beispiel nutzen ein Angreifer und das Opfer dasselbe WLAN.
Außerdem kann es dem Benutzer Probleme bereiten, wenn er mehrere Routen zum Server hat und die IP des Benutzers einen Netzwerkadressübergang durchläuft.

10
one

Ein weiterer Grund gegen das Binden von Sitzungen an eine bestimmte IP-Adresse ist "Happy Eyeballs" (ja, wirklich!).

Es handelt sich im Grunde genommen um einen Mechanismus, der versucht, den besten Weg zum Herstellen einer Verbindung zu ermitteln, wenn eine Dual-Stack-Verbindung verwendet wird (IPv4 und IPv6 werden unterstützt).

Einige Betriebssysteme tun dies sehr aggressiv. Beispielsweise versucht OS X sogar (zum Beispiel), die Webseite selbst über IPv6 zu laden, und lädt dann einige Bilder über IPv4, um einen Benchmark zu erhalten, der besser funktioniert.

Und da IPv4 und IPv6 völlig unterschiedliche Adressen verwenden, die Sie nicht korrelieren können, passieren natürlich wirklich seltsame Dinge, wenn Sie IP-Adressen an Sitzungen binden.

Weitere Informationen: https://en.wikipedia.org/wiki/Happy_Eyeballs

7
Tobias Mädel