आईपी किसी भी समय बदल सकते हैं - HTTP के पीछे विचार यह है कि प्रत्येक अनुरोध स्वतंत्र है।
दुनिया भर में केवल 3 अरब आईपीवी 4 पते उपलब्ध हैं। कुछ आईएसपी (उनमें से अधिकतर, वास्तव में) इसलिए प्रत्येक कनेक्टिंग क्लाइंट के लिए गतिशील रूप से आईपी असाइन करते हैं - ताकि जब यह क्लाइंट डिस्कनेक्ट हो जाए, तो आईपी को किसी और के लिए पुन: उपयोग किया जा सकता है।
जहां तक 'सत्र' का संबंध है - यह सब इस बात पर निर्भर करता है कि राज्य कैसे आयोजित होता है। सबसे अधिक दृष्टिकोण एक कुकी का उपयोग करना है - जो आपको मनमाने ढंग से आईपी से मनमाने ढंग से माध्यम से कनेक्ट करने की अनुमति देता है - जिस बिंदु पर, आपको HTTP की आईपी परतों से संबंधित नहीं होना चाहिए।
लेकिन फिर, लोग अजीब चीजें करने के लिए जाने जाते हैं, जैसे चीजों के लिए आईपी का उपयोग करना (ओएसआई/आईईटीएफ भावना में) जैसे पहचान, प्रमाणीकरण, आदि .. यह दोगुना बुरा है, क्योंकि एक आईपी आमतौर पर कई ग्राहकों का मतलब हो सकता है - उदाहरण के लिए, आपका पूरा घर संभवतः एक ही सार्वजनिक आईपी साझा करता है - क्या होगा यदि आप और आपके साथी दोनों एक ही साइट पर जाएं? सर्वर आप दोनों को अलग कैसे बता सकता है?
@update
नहीं, आप 'सुरक्षा' के लिए आईपी परिवर्तन ट्रैक नहीं करना चाहिए - अगर आप GeoIP सुविधाओं के साथ सौदा कर सकते हैं और अक्षम/विभिन्न anonymisation सेवाओं के उपयोगकर्ताओं परेशान करना चाहते हैं केवल अपवाद नहीं है।
असल में, यदि आपके उपयोगकर्ता सीधे कनेक्ट होते हैं (और प्रॉक्सी/टीओआर के माध्यम से नहीं), तो यह बहुत संभावना है कि वे फिर से आस-पास के स्थान से कनेक्ट होंगे। यदि आपके उपयोगकर्ता रूस से एक बार अमेरिका से जुड़ते हैं - इसका मतलब यह हो सकता है कि ये दो अलग-अलग लोग हैं (जिनमें से एक ने प्रमाण पत्र चुरा लिया हो), या उपयोगकर्ता इस तरह के अनामिक का उपयोग करता है।
यदि साइट एक उच्च-मूल्य लक्ष्य (बैंकिंग, वित्त, केंद्रीय प्रमाण-पत्र (Google खाता सोचें) है) - आप आईपी को भू-लुकअप कर सकते हैं और तुलना कर सकते हैं कि दूरी 100 किमी से अधिक घंटे में एक घंटा से अधिक में बदल गई है दो बार - यह संभवतः खराब है, और आप उपयोगकर्ता को अतिरिक्त प्रमाण-पत्रों के लिए बग कर सकते हैं।
अन्यथा, आप पिछले कुछ आईपी प्रदर्शित कर सकते हैं - लेकिन यह संभवतः केक पर थोड़ा वास्तविक मूल्य के साथ एक टुकड़ा है।
@ Update2 सुरक्षा एक मुश्किल विषय है - जब भी आप यह साथ काम कर रहे हैं, तो आप दो मौलिक सवाल का जवाब देने की जरूरत है:
क्या की सुरक्षा: क्या इतना मूल्यवान
की रक्षा करने की जरूरत है उन
अनुमतियां की
- गोपनीयता एक उपयोगकर्ता के लिए दी गई
- आस्तियां (शारीरिक या आभासी)
और क्या के खिलाफ सुरक्षा: क्या हमले परिदृश्य के बारे में आप
- कुकी अपहरण (Firesheep) (सिर्फ SSL का उपयोग और इसके साथ किया जा चिंतित हैं है अधिकांश भाग के लिए - समस्या के आसपास कोई रास्ता नहीं है कि HTTP अनएन्क्रिप्टेड और अक्सर सार्वजनिक रेडियो पर)
- खातों को लेना (वास्तव में संवेदनशील सामग्री के लिए अतिरिक्त प्रमाण-पत्रों की आवश्यकता है)
- Defacing?
शायद, मैं कल्पना कर सकता हूं कि किसी उपयोगकर्ता को मोबाइल डिवाइस के माध्यम से लॉग-ऑन किया जा सकता है जो कुछ अलग वायरलेस हॉटस्पॉट से स्वचालित रूप से कनेक्ट हो जाता है। – zzzzBov
बिल्कुल हां - मैंने इसे देखा है :) – paulsm4
यदि आप लैपटॉप पर ब्राउज़ कर रहे हैं और सत्र के दौरान आप ** कई अलग-अलग वाईफाई नेटवर्क ** के माध्यम से कनेक्ट करते हैं ... तो आईपी सत्र के दौरान बदल जाएगा, जब तक कि कुछ तंत्र न हो आईपी के प्रत्येक परिवर्तन के बाद सत्र समाप्त हो जाता है ...(मुझे लगता है कि * नहीं * ऐसी चीज है) – TMS