Можно ли использовать IP-адрес для идентификации пользователя на вашем веб-сайте?

Вот моя ситуация. Я являюсь частью проекта, создающего благотворительный веб-сайт P2P, где пользователи подключаются и могут давать деньги друг другу. Из-за природы сайта мы знаем, что мошенники будут безудержными. У нас есть несколько превентивных мер, и одна идея, которая возникла, заключалась в привязке IP-адреса к учетной записи пользователя. Причиной этого было бы определить, когда кто-то из того же IP-адреса создает несколько учетных записей.

Будет ли это надежным? Почему или почему нет? Я искал поисковые запросы и нашел много противоречивых идей по этому вопросу. Спасибо за любую помощь, которую вы можете дать.

Ответ 1

Нет, это ненадежно. Потому что:

  • Частным клиентам, которые не платят за статический IP-адрес, часто видят, что их адреса часто меняются. Я нахожусь в AT & T DSL, и я вижу, что мой IP-адрес меняется примерно два раза в месяц в среднем.
  • Люди, законно использующие интернет-соединение, независимо от того, используют ли они разные рабочие станции в одном офисе с линией T1 или все подключены к одной и той же точке доступа Wi-Fi в Starbucks, будут иметь одинаковый IP-адрес.
  • В связи с вышеизложенным, люди, которые мобильны, например люди, которые используют ноутбуки для подключения к Wi-fi в кафе, аэропортах, отелях и т.д., будут иметь другой IP-адрес для каждого места, которое они посещают.
  • Даже люди, которые остаются в одном месте со статическим IP-адресом, могут обмануть вашу систему с помощью прокси-сервера или прокси-инструмента, такого как Tor. Это делает IP-ограничения тривиальными для обхода.

Ответ 2

Нет.

Многие подключения находятся за NAT (один IP-адрес общего шлюза для многих) или используют DHCP (часто изменяемые IP-адреса).

IP-адрес является одним из худших способов идентификации пользователя.

Ответ 3

Нет, не в последнюю очередь потому, что:

  • IP-адреса могут меняться со временем, благодаря истечению срока аренды DHCP.
  • Люди получают доступ к веб-сайтам из разных мест, включая дом, работу, кафе и т.д.
  • Когда за брандмауэром NAT или прокси-сервером многие люди могут использовать один и тот же IP-адрес.

У вас будет много людей, которые регистрируются, кто имеет право на получение денег? Я бы предложил ручной процесс проверки с использованием реальных людей, если это вообще возможно. Если ничего другого, вы можете заявить, что выполняете должную осмотрительность, если есть вовлеченный человек.

Ответ 4

Нет: например, любой прокси-сервер компании будет иметь только один внешний IP-адрес, поэтому каждый, зарегистрированный в сети, будет иметь один и тот же IP-адрес.

Ответ 6

Полностью ненадежный...

  • У кого-то из dial-up будет каждый другой IP-адрес при каждом подключении.

  • Пользователи DSL будут иметь разные IP-адреса каждый раз, когда они reset, или повторно подключат свою учетную запись, если они не платят за статический IP-адрес.

  • Многие пользователи в конкретной локальной сети будут использовать один общедоступный IP-адрес.

  • Пользователь может войти в систему из дома, на работу, в общедоступную точку доступа и иметь разные IP-адреса из каждого места.

Ответ 7

Существует советская доска, в которой я участвую в этом, запрещает марионетку (то есть несколько учетных записей одного и того же пользователя). У них нет средств автоматического их обнаружения, потому что нет возможности окончательно идентифицировать их. IP-адреса фиксируются, потому что они могут использоваться, чтобы помочь идентифицировать марионетки, но я знаю, что процесс их определения кропотливен, ручен и подвержен ошибкам.

Это делается только тогда, когда есть подозрение, что кто-то использует марионетки для вредоносных или разрушительных целей. В вашем случае нет реального ответа, кроме тщательного и ручного мониторинга привычек использования, используя информацию, которую вы собираете о пользователях, чтобы попытаться определить подозрительные привычки. Но вы также должны признать, что 80% марионеточных марионетков не будут обнаружены и сделают все возможное, чтобы предупредить других пользователей о возможности.

Ваша большая проблема, кстати, может быть Мюнхгаузен через Интернет, которую мы также поймали.

Ответ 8

Я занимаюсь разработкой службы ASP, и недавно мы провели проверку безопасности третьей стороны, чтобы получить статус, позволяющий нам размещать данные для определенного государственного учреждения. Поэтому, если я могу поделиться некоторой информацией, которую я собрал, чтобы перевести тренировки, возможно, это поможет.

Во-первых, IP-адреса могут использоваться для того, чтобы помочь в достижении того, чего вы пытаетесь достичь, но они, безусловно, не очень хороши сами по себе. Примером может служить беспроводная связь в McDonalds. Все в McDonalds подключены к одной и той же беспроводной сети и используют один и тот же публичный IP-адрес через NAT, который переводится с локального адреса (например, 192.168.0.xxx) на общедоступный адрес для всех компьютеров, расположенных за ним. NAT хранит записи, поэтому он знает, какой трафик разрешен для возврата в сеть, и на каком компьютере он будет работать.

Мы обнаружили, что хорошей мерой безопасности является использование зашифрованного ключа сеанса, который входит в состав всех отправлений GET/POST. Этот ключ сеанса содержит идентификатор GUID, который является поиском текущего сеанса. Поэтому, даже если кто-то нарушает шифрование сеанса, им все равно нужно угадать GUID, чтобы найти действительный сеанс. Кроме того, отслеживая IP-адреса, если они внезапно меняются, мы можем немедленно аннулировать сеанс (у нас также есть белый список в случае, если кто-то балансирует нагрузку на несколько интернет-линий, что может привести к частому изменению IP-адреса). Печенье также можно использовать вместо отслеживания IP-адресов, поскольку два человека за одним и тем же NAT могут потенциально захватывать друг друга, если они могут найти способ украсть ключ сеанса другого человека.

Зашифрованные файлы cookie также являются хорошим способом обеспечения безопасности. Но убедитесь, что вы используете фреймворк, который проверен и проверен, поскольку они уже закрыли известные уязвимости для вас. Верьте или нет, наша служба безопасности сообщила нам, что .NET стала одной из лучших защищенных инфраструктур, о которых они знают. Я почти упал со стула, когда услышал это.

Ответ 9

Это может быть несколько полезным как часть углубленного подхода к защите, но я бы не назвал его "надежным".

Ответ 10

Лично я не думаю, что он будет надежным.

Основная причина будет для тех, кто использует общий IP-адрес. Это включает в себя большинство пользователей, подключающихся внутри бизнеса и домашних пользователей, подключающихся через один и тот же центр WIFI.

Это более чем вероятно, что несколько пользователей придут на ваш сайт с тем же IP-адресом.

Добавляем к этому тот факт, что IP-адреса меняются со временем, и вы уже теряете репутацию своих пользователей.

Также стоит помнить, что часто несколько пользователей будут использовать один и тот же физический компьютер. Вы хотите иметь только одного члена семьи, способного регистрироваться и т.д.

Ответ 11

Если вы хотите идентифицировать пользователей, вы можете использовать cookie. В одном решении используется комбинация файлов cookie, локального хранилища, флэш-памяти и другой информации о состоянии, которая может храниться в браузере: http://samy.pl/evercookie/

Ничто не является надежным на 100%. Эти файлы cookie могут быть удалены определенным пользователем или в некоторых браузерах одним щелчком мыши. В конечном счете, во многих странах за пределами США пользователь имеет право не отслеживаться.

Ответ 12

В качестве альтернативы в будущем: Новые бизнес-процессоры Intel® обеспечивают ведущую безопасность, управляемость и производительность

Пока связь между браузером и ЦП не перегружена, и я полагаю, что с браузером существует больше рисков, чем в настольном приложении.