Citat:
Återigen. Det finns mycket stora ISP som faktiskt ändrar subnet mitt i sessioner. Återigen kan jag peka på AOL som ett bra exempel. Det finns fler. Därmed måste man vara medveten att detta förr eller senare kan komma att sätta krokben för någon (eller flera) användare. Sedan får man själv sätta det i relation till vad man uppnår.
|
Om dom får nytt IP mitt under sessionen får dom logga in igen, många sidor som har verkligt höga krav på säkerhet gör så. Om det skulle vara så att man har en ISP som byter IP väldigt ofta, t.ex AOL så är det bara att skippa IP-nr koll på dessa, det är ändå få ISP som byter IP så ofta.
Citat:
Något annat som kan diskuteras är att många webbläsare har funktionalitet för att komma ihåg formulärdata och därmed kan fylla i ett loginformulär åt dig. Det har inget med sessioner att göra.
|
Jag har inte sagt att det är en session heller, jag menade att det är ett annat alternativ.
Läs kommentarerna till artikeln på denna sida:
http://shiflett.org/articles/session-hijacking
Flera som anser att IP-nr koll är det enda säkra.
Prova logga in på en svensk bank, byt sen IP och se vad som händer.