Привязка аккаунта к IP

Захотелось сделать работу пользователей с сайтом как можно безопаснее. Куда уж здесь без привязки аккаунта к IP

Собственно, хочется разработать сложный и универсальный алгоритм. Но проблема в скудных знаниях... Почитал сейчас про IP - с ходу не разберёшься. Придётся сидеть и понимать, ибо во время учёбы нам это рассказывали всё поверхностно, хоть и отучился на программиста. И как назло, никаких готовых решений в сети я не увидел. Поэтому, хочу поднять данный вопрос тут. Интересуют чисто теоретические знания, необходимые для создания алгоритма, а дальше уже дело техники, как говорится

Хочется сделать не привязку типа у пользователя сменился IP (если динамический) и всё, его выкинуло из логина. Или сделать тупо привязку к конкретному статическому IP, который он укажет в настройках аккаунта. Этого мало.

К примеру, зашёл я в настройки некой CMS и вижу там такие параметры:

Уровень безопасности сессии по IP-адресу:

Фиксация сети класса C|Фиксация сети класса B|Без фиксации

Прочитал про классы IP, но сопоставив этому параметру данной CMS, не понял, как это будет работать... Нужен небольшой пример и малость пояснений

И второй параметр:

Вход только с указанных IP-адресов и подсетей

Ну, чисто IP задать - это понятно. Конкретно с какого человек может зайти и их может быть несколько. С подсетями опять не хватает знаний... Пояснение этого пункта авторами CMS:



Просьба объяснить все эти вещи, как оно работает. В первую очередь очень интересно, а во вторую мне это нужно для создания алгоритма + для других людей будет полезная инфа

Спасибо!

(Отредактировано автором: 11 Марта, 2010 - 02:12:15)

-----
Yuriy

По-моему такие вещи именно в том виде как вы указали можно решить только в организационной сети - потому что для этого желательно иметь доступ к маршрутизаторам/шлюзам и установить на них дополнительные сервисы которые будет отдавать статичтичесую информацию о подключаемых клиентах
Как вариант можно сделать с привязкой по MAC ибо сетевую карту не часто все меняют
В интернете все это сделать очень сложно потому что за тем же NAT (Пусть он даже не symmetric а full-cone все равно вы получите не MAC клиента а шлюза

-----
Сделать можно все что угодно - нужно только старание, терпение и хороший поисковик
Безлимитный web-хостинг от 15 рублей за 40 МБ дискового пространства - http://ihost[dot]oks71[dot]ru/

Я почитал в сети, что MAC адрес узнать нереально. Ну и собственно далее вы примерно это и написали.

---

Вот как раз зашёл сегодня в кошелёк WebMoney и мне пишут:



(если что, IP вымышленные).

Интересно, какой параметр мне нужно было бы выбрать в той CMS



чтобы я не вылетел из аккаунта при такой смене IP?

Вот именно все эти моменты меня интересуют, чтобы реализовать похожую систему защиты.

(Отредактировано автором: 11 Марта, 2010 - 22:28:01)

-----
Yuriy

Да именно так то есть узнать MAC-адрес то впринципе можно с помощью обращения к файерволу или ARP-таблице - но вполне вероятно что это будет вовсе не тот MAC-адрес к которому надо привязывать аккаунт
Вообще любая такая фиксация по IP может вылететь пользователя из авторизации - я бы рекоммендовал уж для пущей безопсности использовать не чистую проверку по IP - а скажем какой-нибудь ActiveX-элемент который со стороны клиента мог бы делать полезные вещи например tracert до вашего сервера - ведь обычно адреса первых шлюзов и узлов которые идут внутри сети провайдера до выода на внешний IP являются постоянными

-----
Сделать можно все что угодно - нужно только старание, терпение и хороший поисковик
Безлимитный web-хостинг от 15 рублей за 40 МБ дискового пространства - http://ihost[dot]oks71[dot]ru/

Согласен. Но такая защита, хоть не супер-крутая, но должна быть.



Честно говоря, я боюсь экспериментировать, а лучше пока буду делать также, как делают другие

В общем, я разобрался с теми параметрами безопасности, что описал в первом сообщении. Поговорил с другом, он дружит с сетями. Теперь информации мне достаточно для реализации Сложного вообще ничего там нет. Простые знания IP, из чего он состоит (часть под адрес сети, час под адрес хоста), виды адресации (классовая, бесклассовая). Это то, что мне нужно было

Спасибо за ответы!

-----
Yuriy

В общем вы решили сделать фиксацию по классам и подсетям
Пожалуйста! Учтите что предложенный мной метод это не просто асбтрактная идея а и метод авторизации который долгое время использовался (И сейчас частично используется в платежной системе Webmoney

-----
Сделать можно все что угодно - нужно только старание, терпение и хороший поисковик
Безлимитный web-хостинг от 15 рублей за 40 МБ дискового пространства - http://ihost[dot]oks71[dot]ru/

Да-да.



мм, а вот это уже интересно. Вы умеете заинтриговать А имеется какая-либо информация по этому вопросу в сети, например? Или может у Вас есть личный опыт и желание им поделиться Очень интересно!

-----
Yuriy

Спасибо Я хотел заметить что браузер IE и использование ActiveX-элементов/HTA-приложений дают огромные возможности в том числе и для безопасной авторизации - потому что с помощью этих технологий вы можете проделывать такие вещи которые нельзя сделать на обычном JS - в частности из-за того что в ашем распоряжении почти полноценное windows-приложений и все что может сделать оно то сможет сделать и ваша страница
Теперь более кокнрктно касаемо безопасности - при регистрации навашем сайте пользователь устанавливает ActiveX-элемент котороый будет хранить запароленный ключик - при авторизации он будетвводить свой пароль и пересылать ключик а сервер сначала будет расшифровывать ключик а потом проверять его со своей таблицей - насколько я помню такая технология называется шифрование с открытым и закрытым ключом Если пойти дальше то можно сделать цифровой конверт
Что я могу конкретно вам посоветовать - вы можете разработать авторизационную систему на C/C++ и потом слинковать ее в ActiveX-элемент - как собственно работает WM Acceptor

-----
Сделать можно все что угодно - нужно только старание, терпение и хороший поисковик
Безлимитный web-хостинг от 15 рублей за 40 МБ дискового пространства - http://ihost[dot]oks71[dot]ru/

Уже более-менее ясно Даже почитал сейчас о создании ActiveX - ничего сложного в этом нет. Но пока такой уровень защиты для меня не требуется. В будущем - возможно, сделаю что-то такое

Спасибо за информацию!

-----
Yuriy

Пожалуйста! Действительно ничего особо сложного там нет - но если решите так сделать обращайтесь

-----
Сделать можно все что угодно - нужно только старание, терпение и хороший поисковик
Безлимитный web-хостинг от 15 рублей за 40 МБ дискового пространства - http://ihost[dot]oks71[dot]ru/

Непременно!

Только жаль, что в данной теме нас всего двое, и ни у кого она не вызвала интереса...

-----
Yuriy

ОК спасибо за интерес к вопросу
Действительно в последние дни народ стал менее активным - а почему - а потому что из активных участников мало кто посещал форум в последние дни - а многие другие не любят обсуждать тему которые выходят за рамки среднестатистического PHP - например всякие недокументированные возможности и walkaroundы сложный проблем - или вообще сосдение темы типа сетевых технологий

-----
Сделать можно все что угодно - нужно только старание, терпение и хороший поисковик
Безлимитный web-хостинг от 15 рублей за 40 МБ дискового пространства - http://ihost[dot]oks71[dot]ru/