Un téléphone portable, a-t-il une adresse ip variable ?

[ortolojf]

Bonsoir

Quelqu'un m'a dit sur un newsgroup, que les téléphones portables, avaient une adresse ip cliente variable, même durant une visite à un site web.

Est-ce vrai ?

Dans ce cas, le nouveau procédé d'authentification des visiteurs que j'ai mis en place ce soir sur mon site partenaire http://---.lescourses.com , serait inopérant, car il nécessite que chaque visiteur, durant sa navigation sur le site, ait une adresse ip fixe.

Merci beaucoup pour vos réponses, qui pourront conditionner le degré de sécurité de mon site partenaire.

Bien amicalement.

Jean François Ortolo

[jcaron]

Ce n'est pas valable que pour les mobiles, mais de façon générale pour tous les clients qui passent par une "ferme" de proxies, firewalls ou équipement qui font du NAT. De la même façon, tu peux avoir plusieurs clients complètement distincts qui utilisent la même IP. Se baser sur l'adresse IP est donc généralement une très mauvaise idée. Suivant les cas, des cookies ou une forme d'authentification plus forte sont une bien meilleure idée.

Jacques.

[ortolojf]

Ce n'est pas valable que pour les mobiles, mais de façon générale pour tous les clients qui passent par une "ferme" de proxies, firewalls ou équipement qui font du NAT. De la même façon, tu peux avoir plusieurs clients complètement distincts qui utilisent la même IP. Se baser sur l'adresse IP est donc généralement une très mauvaise idée. Suivant les cas, des cookies ou une forme d'authentification plus forte sont une bien meilleure idée.

Jacques.

Bonjour Monsieur

Attention.

J'ai bien dit "au cours de la navigation sur un site".

Autrement, c'est sûr que les adresses ip des mobiles, peuvent varier suivant le moment de leur allumage, évidemment.

Quant aux adresses ip identiques, elles ne sont pas gênantes pour le fonctionnement et la sécurité du site.

Quant aux proxies, firewall et praticiens de NAT, même chose : Au pire plusieurs visiteurs auront la même adresse ip, mais ça n'a pas d'importance, à partir du moment où leur adresse ip ne change pas au cours de leur navigation sur le site ( pour chaque visiteur ).

Mon problème, n'est pas de savoir si polusieurs visiteurs peuvent avoir la même adresse ip.

Mon problème, c'est de savoir si l'adresse ip peut varier en cours de navigation sur le site.

Est-ce que c'est le cas pour les téléphones mobiles ?

Merci beaucoup de votre réponse.

Bien amicalement.

Jean François Ortolo

[jcaron]

Oui, comme dit précédemment, n'importe quel utilisateur qui passe par une ferme de proxies/firewalls/NATs, comme c'est souvent le cas des utilisateurs mobiles, peut changer d'adresse IP d'une requête à la suivante.

Je pense qu'en général un effort est fait pour faire en sorte que l'adresse reste la même pendant une "session" (quoi que ça veuille dire), mais il n'y a absolument aucune garantie que ce soit toujours le cas.

Jacques.

[ortolojf]

Oui, comme dit précédemment, n'importe quel utilisateur qui passe par une ferme de proxies/firewalls/NATs, comme c'est souvent le cas des utilisateurs mobiles, peut changer d'adresse IP d'une requête à la suivante.

Je pense qu'en général un effort est fait pour faire en sorte que l'adresse reste la même pendant une "session" (quoi que ça veuille dire), mais il n'y a absolument aucune garantie que ce soit toujours le cas.

Jacques.

Bonjour Monsieur

Dans ce cas, celà exclut les utilisateurs des téléphones mobiles, du fait d'utiliser mon site partenaire.

Mais, je suis obligé de sécuriser ce site, car la différence entre son très gros trafic ( d'après Alexa il est 10ème dans la catégorie "Courses Hippiques" ), et son peu de rentabilité, donne à supposer, que des gentils hackers ont réussi, à donner le moyen à un grand nombre de personnes, d'accéder à ses pronostics sans payer.

Sécuriser un site face à des adresse ip variables, comment faire ?

Bien amicalement.

Jean François Ortolo

[Leonick]

Dans ce cas, celà exclut les utilisateurs des téléphones mobiles, du fait d'utiliser mon site partenaire.

pas que : AOL procède aussi comme ça, avec des glissements d'ip

Sécuriser un site face à des adresse ip variables, comment faire ?

peut-être avec des variables de session et une connexion en https ?

[JanoLapin]

avec l'adresse MAC au lieu de l'IP ?

[_Soul]

avec l'adresse MAC au lieu de l'IP ?

C'est quoi mon adresse MAC la? Je pense qu'on peut aussi se baser sur l'IP privé nan? Ou encore la taille de la fenêtre d'anticipation TCP? >.<

Utilises des sessions en php avec une authentification forte (key en js & en php + sha1). Un visiteur de base ne changera pas son adresse IP pendant la visite mais certains oui. Il suffit de passer par plusieurs proxys ou un VPN dynamique.

[ortolojf]

avec l'adresse MAC au lieu de l'IP ?

C'est quoi mon adresse MAC la? Je pense qu'on peut aussi se baser sur l'IP privé nan? Ou encore la taille de la fenêtre d'anticipation TCP? >.<

Utilises des sessions en php avec une authentification forte (key en js & en php + sha1). Un visiteur de base ne changera pas son adresse IP pendant la visite mais certains oui. Il suffit de passer par plusieurs proxys ou un VPN dynamique.

Bonjour Monsieur

Effectivement, je ne sais pas détecter l'adresse MAC d'un client, avec un programme php sur un serveur.

Sinon, ce serait l'idéal...

Si JanoLapin pouvait me dire comment c'est possible, qu'est-ce que je lui serais reconnaissant.

Pour ce qui est des sessions telles que je les ai programmées, j'ai un identificateur de session, qui change de valeur entièrement aléatoire, à chaque qu'une page est chargée.

Le problème, serait si le vrai visiiteur payant, met du temps avant de changer de page...

A ce moment-là, le gentil hacker, lit l'identificateur de session, puis immédiatement, simule une connexion.

Si je fais en sorte, pour toutes les adresses ip clientes, que ces modificatiosn de l'id de session aient lieu à chaque chargement de page, l'id de session va changer dès que le hacker aura chargé une page. Et à ce moment-là... le vrai visiteur sera déconnecté.

Actuellement, l'id de session ne change pas, si soit l'adresse ip, soit l'user-agent, est différent de ceux du visiteur payant.

Voilà ( en partie ), pourquoi j'ai besoin de différencier, le gentil hacker du vrai visiteur.

Si je pouvais avoir l'adresse MAC cliente, le problème serait théoriquement résolu, encore que sur certaines cartes Ethernet, il soit possible de changer l'adresse MAC... ;(

A part AOL, qui est un FAI plutôt en perte de vitesse ( il me semble ), s'il n'y a que les téléphones mobiles et les planqués derrière leurs proxies d'entreprise ou autre, qui risque de changer leur adresse ip en cours de navigation, je pense que je suis fondé à laisser les choses comme çà, puisque le but, est d'augmenter la rentabilité du site, c'est-à-dire éviter à tout prix, qu'il soit possible de voir les pronostics sans payer.

Pour ce qui concerne l'authentification actuellement, elle utlise une variable de session, qui est une clé créée avec sha1, avec en paramètre, le password su visiteur, l'adresse ip cliente, et l'user-agent du visiteur, concaténés.

Cette clé et les autres caractéristiques de la session, sont enregistrés dans une table MySQL, qui est lue à chaque vérification de l'authentification.

Cette table MySQL, contient un champ faisant office de timestamp, les enregistrements ne sont coneervés que pendant 24 heures.

En fait, à partir du moment où il est nécessaire, pour authentifier le visiteur, d'avoir un cookie dans le navigateur ( id de session ), qu'il soit crypté ou pas, peu importe, il suffit de le lire, et de simuler la connexion.

Merci beaucoup de me donner vos suggestions, pour une meilleure sécurisation du site, avec des adresses ip clientes variables ( ou fixes ).

Merci baucoup de vos réponses.

Bien amicalement;

Jean François Ortolo

[rikew]

Dans ce cas, celà exclut les utilisateurs des téléphones mobiles, du fait d'utiliser mon site partenaire.

pas que : AOL procède aussi comme ça, avec des glissements d'ip

Sécuriser un site face à des adresse ip variables, comment faire ?

peut-être avec des variables de session et une connexion en https ?

J'ai l'impression que AOL ne le fait plus depuis quelque temps. Par contre en effet j'ai constaté ce phénomène sur des connexions depuis iphone.

[ortolojf]

J'ai l'impression que AOL ne le fait plus depuis quelque temps. Par contre en effet j'ai constaté ce phénomène sur des connexions depuis iphone.

Bonjour Monsieur

J'ai parlé de ce problème à mon Directeur de mon site partenaire, que j'ai sécurisé comme celà.

Il m'a dit : Les adresses ip des téléphones mobiles sont fixes une fois allumés, parce qu'il y a deux solutions pour les connexions :

- Le Wifi : A ce moment-là, c'est l'adresse ip de la Freebox jointe par ondes Wifi qui "est" l'adresse ip du téléphone mobile,

- La 3G : A ce moment-là, c'est le serveur du Fournisseur d'accès Internet ( Orange, Bouyghes ou SFR ( il n'a pas mentionné Free ) ) qui est joint par le téléphone mobile, et l'adresse ip affectée, est fixe pendant l'allumage du téléphone mobile.

Mon Dirlo, n'a pas mentionné la 4G.

Merci de me dire ce que vous en pensez.

Bien amicalement.

Jean François Ortolo

[JanoLapin]

C'est quoi mon adresse MAC la?

un début de réponse ici:
http://www.securityvibes.fr/menaces-alertes/o2-fuite-numero-mobile/

Pour ceux qui ont envie d'en savoir plus, il faut dévider la bobine et suivre le fil...