使用IP地址识别您网站上的用户是否可靠?

时间:2011-07-26 15:41:01

标签: ip

这是我的情况。我是一个创建P2P慈善网站的项目的一部分,用户可以在这个网站上进行连接并互相捐款。由于网站的性质,我们知道诈骗者将会猖獗。我们有几个预防措施的想法,并提出了一个想法是将IP地址绑定到用户的帐户。这样做的原因是能够检测来自同一IP地址的某人何时创建多个帐户。

这可靠吗?为什么或者为什么不?我一直在谷歌上搜索,并发现了很多有关这个问题的矛盾观点。感谢您提供任何帮助。

12 个答案:

答案 0 :(得分:20)

不,它不可靠。这是因为:

  1. 没有专门为静态IP地址付费的住宅客户经常会看到他们的地址经常变化。我正在使用AT& T DSL,我发现我的IP地址平均每月平均变化两次
  2. 人们合法地共享互联网连接,无论他们是在同一个办公室使用T1线路使用不同的工作站,还是他们都连接到星巴克的同一个Wi-Fi热点,都将拥有相同的IP地址。
  3. 与上述相关,移动用户,例如使用笔记本电脑连接到咖啡店,机场,酒店等无线网络的人,他们访问的每个地点都会有不同的IP地址。
  4. 即使使用静态IP地址呆在一个地方的人也可以使用代理服务器或Tor之类的代理工具欺骗您的系统。这使得IP限制无法绕过。

答案 1 :(得分:10)

没有

许多连接都在NAT(许多人的一个公共网关IP地址)之后,或使用DHCP(经常更改的IP地址)。

IP地址是识别用户的最糟糕方式之一。

答案 2 :(得分:3)

不,尤其是因为:

  1. 由于DHCP租约过期,IP地址可能会随时间而变化。
  2. 人们从许多不同的地方访问网站,包括家庭,工作,咖啡店等。
  3. 当在NAT防火墙或代理服务器后面时,许多人可以共享相同的IP地址。

    4. 您是否有许多人注册谁有权接收钱?如果可能的话,我建议使用真人进行人工验证。如果没有别的,如果有人参与,你可以声称要进行尽职调查。

答案 3 :(得分:2)

否:例如,任何公司代理只有一个外部IP地址,因此从网络中注册的每个人都会看到相同的IP地址。

答案 4 :(得分:2)

最近的法律案例或许值得一读:http://yro.slashdot.org/story/11/05/03/2020205/An-IP-Address-Does-Not-Point-To-a-Person-Judge-Rules

答案 5 :(得分:2)

完全不可靠......

  1. 每次拨号时,拨号的人都会有不同的IP地址。

  2. 每次重置或重新连接帐户时,DSL用户都会拥有不同的IP地址,除非他们支付静态IP费用。

  3. 特定局域网上的许多用户将共享一个公共IP地址。

  4. 特定用户可以在家,工作,公共热点登录,并且每个位置都有不同的IP。

答案 6 :(得分:2)

有一个讨论板,我是禁止袜子木偶的一部分(即同一个用户的多个帐户)。他们无法自动检测它们,因为没有办法明确地识别它们。捕获IP地址,因为它们可用于帮助识别袜子木偶,但我知道识别这些木偶的过程是费力的,手动的,并且容易出错。

仅在怀疑有人使用袜子木偶进行恶意或破坏性目的时才会进行此操作。在您的情况下,除了仔细和手动监控使用习惯之外,没有真正的答案,使用您收集的有关用户的信息来尝试识别可疑习惯。但是你也必须接受80%的袜子木偶未被发现,并尽你所能警告其他用户这种可能性。

顺便提一下,你的更大问题可能是Munchausen by Internet我们也被抓住了。

答案 7 :(得分:2)

我为ASP服务进行开发,最近我们进行了必要的第三方安全审核,以获取允许我们为某个政府机构托管数据的状态。因此,如果我可以分享一些我收集到的培训信息,也许会有所帮助。

首先,IP地址可用于协助您尝试完成的任务,但它们本身肯定不是很好。一个例子是麦当劳的无线网络。麦当劳的每个人都连接到相同的无线网络,并通过NAT使用相同的公共IP地址,NAT从本地地址(即192.168.0.xxx)转换为位于其后面的所有计算机的公共地址。 NAT保留条目,以便它知道允许哪些流量返回到网络,以及它将进入哪台计算机。

我们发现一个好的安全措施是使用所有GET / POST提交中包含的加密会话密钥。该会话密钥包含一个GUID,它是对当前会话的查找。因此,即使有人破坏了会话加密,他们仍然需要猜测GUID才能找到有效的会话。最重要的是,通过跟踪IP地址,如果它突然改变,我们可以立即使会话无效(我们也有白名单,以防有人负载平衡多个互联网线路,这可能导致IP频繁更改)。也可以使用cookie代替IP地址跟踪,因为如果同一NAT后面的两个人可以找到窃取他人会话密钥的方法,则他们可能会互相劫持。

加密的cookie也是强制执行安全性的好方法。但请确保您使用的是经过试用和测试的框架,因为它们已经为您关闭了已知的漏洞。信不信由你,我们的安全公司告诉我们,.NET已经成为他们所知道的顶级安全框架之一。听到这个消息后,我差点从椅子上掉下来。

答案 8 :(得分:0)

作为深度防御方法的一部分,它可能有点有用,但我不会称之为“可靠”。

答案 9 :(得分:0)

我个人认为这不可靠。

主要原因是那些使用共享IP的人。这包括从业务内部连接的大多数用户和通过同一WIFI中心连接的家庭用户。

多个用户很可能使用相同的IP地址访问您的网站。

除此之外,IP地址会随着时间的推移而发生变化,而且您已经失去了对用户的追踪。

值得记住的是,多个用户通常会使用同一台物理计算机。您是否希望只有一个家庭成员能够注册等?

答案 10 :(得分:0)

如果要识别用户,可以使用cookie。一种解决方案使用cookie,本地存储,闪存和可以存储在浏览器中的其他状态信息的组合:http://samy.pl/evercookie/

没有什么是100%可靠的。这些cookie可以由确定的用户擦除,或者在某些浏览器中单击即可删除。最终,在美国以外的许多国家,用户有权不被跟踪。

答案 11 :(得分:0)

作为未来的替代方案:New Intel® Business Processors Deliver Leading Security, Manageability and Performance

只要浏览器和CPU之间的连接不受干扰,我认为使用浏览器的风险比桌面应用程序更大。

相关问题
最新问题