Изучая backend, столкнулся с такой проблемой недопонимания: есть сайт, сервер Nodejs (в принципе, какой угодно, но меня интересует именно Nodejs) и зашел на сайт посетитель. Не важно есть ли регистрация на сайте или нет — что именно идентифицирует посетителя? Я знаю, что управляется это сессиями.
Читал тут, но не понял откуда именно и чего и с каких данных server понимает, что вот сейчас именно тот самый посетитель? Допустим, на сайт зашли два посетителя: один из Москвы другой из Воркуты и на сайте есть чат. Чат простой и банальный — можно без регистрации отправить какой-нибудь пост или поболтать.
Надо в чате сделать так, чтобы сообщение пользователя из Воркуты было на синем фоне, а сообщения из Москвы — на зеленом. Тут же на этот сайт зашел новый посетитель тоже из Москвы и с того же IP адреса, но с другого компа который в соседней комнате нашего москвича (допустим это его супруга), вот ее (супруги) сообщение должен иметь фон оранжевый. В итоге, не прошу никакого кода (если это только не обязательно для наглядного примера). Прошу объяснить саму логику восприятия сервером посетителей. Как определить кто есть кто?
Что такое IP — адрес и можно ли по нему кого-то вычислить?
Отслеживать
задан 3 ноя 2017 в 7:49
14.5k 6 6 золотых знаков 33 33 серебряных знака 70 70 бронзовых знаков
Случайным образом сгенерированная строка в cookies. Всё.
3 ноя 2017 в 7:50
3 ноя 2017 в 7:53
Сервер проверяет есть ли у посетителя кукис, и если нет, то выдает ему уникальный ключ в качестве кукиса, тот его запоминает и показывает при каждом запросе, и сервер тоже запоминает себе. А потом сверяет. IP может вообще никак не участвовать.
3 ноя 2017 в 7:53
3 ноя 2017 в 7:55
3 ноя 2017 в 8:04
3 ответа 3
Сортировка: Сброс на вариант по умолчанию
Перечислю все известные мне способы идентификации пользователя.
IP-адрес
Указываю этот способ потому, что он единственный, который невозможно подделать. Его можно позаимствовать у других (прокси, VPN, Tor, просто динамический IP), но это обычно сложнее, чем, например, почистить куки. Удалить IP-адрес, аналогично чистке cookies, нельзя: какой-нибудь обязательно будет. В связи с его относительной надёжностью (не всем не лень держать наготове сотни прокси-серверов для смены IP) его часто используют для усиления безопасности: например, ограничивают максимальное число запросов в секунду/минуту/час с одного IP. Однако разных людей, сидящих через один интернет, IP различить не даст, что противоречит условию вопроса, поэтому едем дальше.
Банальные логин и пароль
Суть проста: тупо шлём логин и пароль в каждом запросе. Один из вариантов реализации этого способа уже присутствует в самом протоколе HTTP, через заголовок Authorization , уже реализован во всех основных веб-браузерах и веб-серверах.
В HTTP-варианте суть такова:
- при первом посещении сайта у клиента ничего нет и никакой дополнительной информации серверу не шлёт. Сервер отвечает ошибкой 401 Unauthorized и добавляет HTTP-заголовок WWW-Authenticate с информацией о способах входа (для простого логина-пароля это Basic realm=»default» )
- клиент получает это всё и просит у пользователя логин и пароль. После чего отправляет свой запрос повторно, но уже с HTTP-заголовком Authorization , в котором содержится логин-пароль в base64: Basic YWRtaW46MTIzNDU2 . Если этот пример раскодировать, получим admin:123456 — логин и пароль, разделённые двоеточием
- сайт это всё проверяет и или отвечает нормально, или опять 401 и запрашиваем логин-пароль на новый
- Этот Authorization: Basic YWRtaW46MTIzNDU2 шлём каждый раз во всех последующих запросах.
- простота. HTTP Basic Auth уже реализован в большинстве веб-браузеров и веб-серверов, ничего изобретать не надо. Если делать свой вариант, то достаточно реализовать проверку логина-пароля в каждом запросе без дополнительных сложностей.
- без HTTPS безопасность вообще никакая: логин-пароль по сути ходят по интернету в открытом виде (base64 не является шифрованием). Клиент тоже вынужден помнить у себя пароль в открытом виде, да и сервер тоже знает пароль (существуют схемы аутентификации, при которых сервер может и не знать пароль, но вопрос не об этом);
- HTTP Basic Auth в браузерах работает только в пределах текущей сессии; после перезапуска браузера логин-пароль нужно вводить снова.
Справедливости ради отмечу, что HTTP умеет не только голые логин-пароль (возможно полный список спосбов авторизации), но останавливаться на других способах не буду в связи с их низкой распространённостью.
ЧТО Я МОГУ СДЕЛАТЬ ЗНАЯ ТВОЙ IP АДРЕС
Случайная строка
Самый простой, самый сбалансированный в отношении «безопасность/удобство» и самый популярный способ идентификации. Самая распространённая в мире (наверно) кука PHPSESSID — это именно оно. Суть такова:
- при первом посещении сайта у клиента ничего нет. Сайт замечает это, создаёт новую случайную строку (подлиннее, чтоб трудно было подобрать; символов 30 хотя бы) и вместе с обычным ответом на запрос тем или иным образом отправляет эту сгенерированную строку (Set-Cookie, редирект на специальную ссылку или просто в теле ответа, если это например JSON API)
- клиент вместе с ответом получает эту строку и запоминает её где-нибудь (браузер сам хранит в cookies, SPA может положить её в localStorage и т.п.)
- при последующих посещениях сайта клиент добавляет эту строку к своему запросу (cookies, HTTP-заголовок Authentication или просто GET-параметр в запрашиваемом адресе — на некоторых старых PHP-форумах до сих пор можно наблюдать id сессии прямо в адресной строке)
- если нужно идентифицировать клиента более конкретно (вход по логину-паролю, например), сайт в своей базе данных после записывает, что такой-то случайной строке соответствует такой-то логин, а потом при последующих запросах считывает эту информацию из базы.
Если говорить о PHP, то всё это в него встроено: при вызове функции session_start() создаётся кука PHPSESSID из случайных букв и цифр (или читается существующая, если она уже есть). Данные, которые связаны с этой кукой, доступны через массив $_SESSION (а физически хранятся по умолчанию где-то в специальном каталоге на сервере), и вы можете его читать и изменять. При последующих запросах от пользователя содержимое сессии автоматически прочитается из файла при вызове session_start() , и все данные, которые вы положили в массив $_SESSION при обработке предыдущих запросов, снова станут доступны. Подробности в документации.
- простота — сравнивать строки тривиально;
- при смене IP-адреса (а на мобильниках это частое явление) идентификация не слетает;
- реализация кнопочки «Разлогинить меня на всех устройствах» сводится к простому удалению всех записей в базе, а если для каждого устройства создавать отдельную строку, то можно разлогинивать устройства выборочно (некоторые сайты предоставляют такую возможность, например ВК).
- генератор случайной строки должен быть действительно случайным (или не совсем случайным, но криптостойким, не uniqid() ), так как псевдослучайность злоумышленник может попытаться подобрать (например, подбор состояния генератора в PHP или Python, или подбор сессий, созданных черех uniqid(), в Invision Power Board). Ни в коем случае в качестве строки нельзя использовать хэш логина, хэш пароля, текущее время, одну-единственную заранее заготовленную строку и прочие неслучайные вещи, так как это сильно упрощает подбор. Как получить настоящую случайность, читайте в документации к вашему языку программирования. Или просто используйте готовую реализацию вроде session_start() в PHP;
- дополнительная нагрузка на сервер. Чтобы узнать, какой именно пользователь прячется за случайной строкой, ему приходится обращаться к базе данных. Не проблема для подавляющего большинства сайтов, но для гигантов типа гугла уже проблема;
- куки иногда баганутые: например, IE11 добавляет куки к поддоменам, даже когда его не просят (в Edge уже исправлено), что может привести к утечке данных на сторонние CDN, например. Поэтому следите за тем, как браузеры, для которых вы затачиваете сайт, манипулируют с куками. Ну и про HttpOnly не забывайте, чтобы нельзя было угнать куки через XSS (и про Secure, если сайт использует HTTPS).
Неслучайная, но защищённая строка (например, JWT)
Суть такова: нагло нарушаем вышеупомянутый запрет на неслучайные данные и пихаем в строку, например, ID пользователя и, опционально, имеющиеся права доступа (например, админ ли он), срок годности строки и какие-нибудь ещё данные. Но! Дополнительно к этой строке добавляем какой-нибудь хэш, который считается по данным плюс некой секретной строке, которую знает только сайт и никому не отдаёт. При запросе от клиента сайт, соответственно, проверяет, что хэш правильный. Это защищает от подбора и подделок: чтобы подделать данные, нужно пересчитать хэш, а злоумышленник, не зная секретной строки, этого сделать не сможет. (Секретная строка должна быть ОЧЕНЬ длинной, символов сто, чтоб вообще не подобрать, так как на ней вся безопасность.) (В JWT также вместо просто секретной строки можно применять RSA для подписи, что повышает безопасность, но расписывать все детали реализации не буду, и так длинно получилось)
- меньшая нагрузка на сервер. Клиент уже сам прислал все нужные данные, серверу остаётся лишь посчитать хэш от этих данных и секретной строки и проверить, что он совпадает с присланным. В базу данных ходить не надо: секретная строка обычно лежит в какой-нибудь переменной поблизости, так что всё это делается быстро;
- независимость от централизованной базы данных позволяет легко проверять аутентификацию на независимых и никак не связанных друг с другом микросервисах, в том числе географически разбросанных по миру, ведь им достаточно знать лишь секретную строку, которая меняется очень редко, для проверки присланного пользователем хэша, и не нужно связываться с другими микросервисами или с базой;
- клиент сам может прочитать JWT и понять, кто он такой (если данные только защищать хэшем, а не шифровать);
- при смене IP-адреса тоже не слетает.
- реализация усложняется. Если делать всё самому, то можно накосячить и получить дырку в безопасности, поэтому лучше брать готовые реализации вроде того же JWT (впрочем, в них тоже иногда находят дырки, так что обязательно мониторим новости и почитываем Хабр);
- кнопочку «Разлогинить меня на всех устройствах» сделать вообще нельзя. Чтобы пользовательская строка с данными стала недействительной, нужно или сменить секретную строку, или запомнить где-то в базе, что именно такая-то строка с такими-то данными стала недействительна. Но это всё довольно проблематично и сводит на нет все преимущества данного способа идентификации. Поэтому такие строки, как правило, делают короткоживущими: например, Google в своих API выдаёт JWT, действительный всего полчаса (информация о сроке годности хранится прямо в JWT и тоже защищается хэшем, в базу ходить не надо).
- информация может протухнуть. Например, если записать в JWT, что пользователь является админом, а потом отобрать права админа, то сайт, опираясь на данные JWT, будет продолжать считать клиента админом, пока сам JWT не протухнет целиком. Можно брать информацию из базы, но тогда опять становится проще использовать случайную строку.
- JWT и аналоги из-за того, что содержат всю необходимую информацию, обычно длинные; при большом количестве данных строка может, например, не влезть в cookies. Впрочем, если хранить только id пользователя, то это не проблема.
Суперкуки и прочий фингерпринтинг
Суть в использовании технологий не по назначению. У каждого браузера и каждой ОС есть свои особенности поведения, и по этим особенностям можно довольно точно идентифицировать, кто именно зашёл. Например, они рисуют текст немного по-разному, и по мелким отличиям в пикселях текста браузеры можно различать, или же на разных компьютерах будет немножко разный размер окна браузера, развёрнутого на весь экран (поэтому Tor Browser рекомендует не разворачивать его и блокирует сайтам доступ к canvas). Не буду расписывать всё во всех подробностях, оставлю ссылки для дальнейшего чтения:
- Evercookie — самые устойчивые куки
- Panopticlick 2.0 для фингерпринтинга браузера
- Супер-куки на основе HSTS отследят вас даже в приватном режиме
- хрен выпилишь. Если захотеть, то можно, конечно, но уж очень много мороки: нужно уметь мимикрировать под популярное сочетание браузер/ОС/устройство, чтобы «смешаться с серой массой». Это уже не просто кнопочку «Очистить cookies» нажать. Без специальных мер устройство клиента будет идентифицировано независимо от того, сменил ли он IP-адрес, почистил ли куки и т.п.
- точность не стопроцентная. Все айфоны довольно одинаковые, и отличить один айфон X от другого айфона X вряд ли получится (хотя это касается только фингерпринтинга, для суперкук попроще);
- пользователи вас найдут и больно побьют.
Источник: ru.stackoverflow.com
Как смотреть ivi.ru за пределами России: возможно ли обойти ограничение?
ivi.ru — это один из самых популярных онлайн-кинотеатров в России. Однако его просмотр ограничен только для пользователей с российским ай-пи. Значит ли это, что если вы не находитесь в России, вы не сможете смотреть ваши любимые фильмы и сериалы на ivi.ru? К счастью, нет. Существуют способы обойти это ограничение.
Использование VPN
VPN (виртуальная частная сеть) — это сервис, который позволяет вам изменить свой IP-адрес на тот, который соответствует российскому региону. Вы можете подключиться к серверам VPN из разных стран мира, чтобы смотреть фильмы и сериалы ivi.ru. С помощью VPN вы можете обмануть ivi.ru и воспользоваться его услугами за пределами России.
Smart DNS
Если вы не хотите использовать VPN, вы можете обратиться к сервису Smart DNS. Этот сервис позволяет вам изменить DNS-запись в вашем интернет-подключении, чтобы он распознавал ваш IP-адрес, как российский IP-адрес, идентифицируя вас как пользователя ivi.ru из России.
Использование браузерных расширений
Вы также можете обойти ограничение, используя расширения браузера, такие как Hola, ZenMate или Browsec. Эти расширения работают на принципе VPN, за исключением того, что они занимаются прямой маршрутизацией трафика через сервера, обеспечивая тем самым более быстрый доступ к ivi.ru. Вы можете скачать любое из этих расширений и установить его на свой браузер Chrome, Firefox, Opera и т.д.
Заключение
Несмотря на то, что ivi.ru ограничен только для пользователей с российским IP-адресом, это не означает, что вы не можете смотреть его за пределами России. С помощью VPN, Smart DNS и браузерных расширений вы можете обойти это ограничение и продолжать наслаждаться вашими любимыми фильмами и сериалами на ivi.ru. Обратите внимание, что использование VPN-сервисов и браузерных расширений не всегда является полностью безопасным, поэтому будьте осторожны при выборе сервисов, которые вы используете.
- На какой вопрос я не могу ответить? )))
- И меня уже нету. Фильм? Актриса? Доброй ночи. 🙂
- История России 8 класс: таблица
- Мне нравится один молодой человек, но я слишком стеснительна!
- Статья о Махатме Ганди
- Как смотреть ivi.ru за пределами России: возможно ли обойти ограничение?
- Skyrim: Какой класс лучше всего (воин, маг, вор) и какие способности нужно брать?
- Кто выиграет в предстоящем матче Арсенал — Лидс?
Источник: sovet-kak.ru
Онлайн-кинотеатр ivi заблокировал партнёра с рекламой Tor
В ivi почему-то посчитали, что рекламировать анонимную сеть Tor в России то ли нельзя, то ли опасно для самих себя, в любом случае — это крайне странное решение данного сервиса.
Онлайн-кинотеатр ivi заблокировал рекламного партнера, который поставлял в онлайн-кинотеатр рекламу TOR-браузера — об этом сообщили в пресс-службе ivi:
«На сервисе ivi, как и на большинстве других интернет-ресурсов, часть рекламы размещается не самой площадкой, а сторонними продавцами рекламы — партнерами, которые несут ответственность за качество и юридическую чистоту рекламных материалов. В настоящее время мы заблокировали размещение всей рекламы от этого партнера. Окончательное решение по дальнейшему сотрудничеству будет принято после завершения проверки и юридической оценки».
В ivi рассказали, что рекламу Tor увидели небольшое число пользователей. В компании не стали раскрывать причины, по которым отказались от трансляции рекламы анонимной сети.
«Мы тщательно следим за тем, что появляется на сервисе и соблюдаем законодательство РФ. В настоящее время кампания остановлена, партнёр найден, мы проводим разбирательство и будем принимать соответствующие меры ответственности к партнёру», — заявил представитель онлайн-кинотеатра. Также в ivi заверили, что имя партнёра будет раскрыто только по завершении проверки. Сроки сотрудничества с заблокированным партнёром и сроки проведения проверки в компании не уточнили.
Возможно, отказ от сотрудничества с партнёром, рекламирующим браузер Tor, продиктован вступлением в силу закона «об анонимайзерах» (276-ФЗ), который запрещает сервисам VPN, Proxy и анонимайзерам предоставлять российским пользователям возможность обхода государственных блокировок.
Напомним, исполнять закон 276-ФЗ уже отказались как минимум семь известных, либо стремительно набирающих популярность VPN-сервисов. Многие владельцы считают, что для пользователей из России VPN и анонимайзеры, которые не дают возможность получать доступ к заблокированным сайтам, теряют всякий смысл.
Между тем, в сети Tor открывают свои «представительства» всё большее количество крупных интернет-сервисов.
В конце октября ежедневная американская газета The New York Times, ведущая свою историю с 1895 года и имеющая общемировую популярность и влияние, решила провести эксперимент в области безопасных коммуникаций и сделать свою страничку nytimes.com доступной для сервиса Tor Onion.
На этот шаг издание решило пойти по той причине, что огромное количество читателей NYT находятся в тех точках мира, где сайт nytimes.com заблокирован, поэтому пользователям приходится прибегать к услугам Tor. Также пользователи из некоторых стран беспокоятся, что внутри их сетей проводится мониторинг, выявляющий всех посещающих «запрещённые» сайты юзеров, поэтому им приходится прибегать к разного рода техническим средствам, обеспечивающим конфиденциальность в интернете, в том числе — Tor.
«Луковые» сервисы используют уже многие популярные сайты, социальные сети и почтовые службы. Например, одним из первых в Tor открыли свои сайты Facebook, автономная некоммерческая организация ProPublica, в ведении которой находится крупнейший информационный ресурс журналистских расследований, и швейцарский сервис зашифрованной почты ProtonMail. О намерении открыть свою «тёмную» веб-версию сайта заявляла также популярная онлайн-энциклопедия Wikipedia.
Источник: roskomsvoboda.org