Как часто может меняться IP ?

Видимо из-за стоимости подсетей IPv4 и лени мелкие провайдеры начали выпускать абонентов в интернеты через dynamic nat pool (т.е. на каждое соединение - своя пара IP:port). Фиксится исключительно VPN-ом или покупкой статического IP если есть.

Еще как вариант, можно регистрацию делать на компьютере, а ссылку нажимать на телефоне так как туда приходят уведомления о почте. И если телефон использует свой интернет, то там гарантированно другой IP.

Как угодно часто, зависит от провайдера.

Плюс большинство провайдеров предоставляют белый IP за небольшую сумму. Я вот плачу 160 рублей за это в месяц и не парюсь.

Если адрес прямой, то dhcp lease не протухнет за секунду. Если часто меняется, то это просто динамический nat и там уж как конкретный провайдер решит.

Может, да, от прова зависит.

Офигеть. И клиенты такое нормально терпят? Жесть же полнейшая.

А скачет хоть в пределах /255 или вообще как угодно?

Вопрос не как бороться, а есть ли в природе такая штука. Мне почему-то казалось, что скачущий IP на каждом соединении это какая-то совсем запредельная фигня.

Да, такое бывает.

1) NAT и тому подобные ситуации.

2) DHCP с коротким временем жизни адреса. Бывает и такое.

3) IPv6 - вообще сказка. Типичное время жизни адреса - час, но можно сконфигурировать и намного короче.

Мне почему-то казалось, что скачущий IP на каждом соединении это какая-то совсем запредельная фигня.

Я когда-то писал такой dhcp-сервис. Замена IP и частота замены зависит от радиуса кривизны рук разработчиков, и от того насколько плохи дела у провайдера (низкий онлайн абонентов, пулы свободных адресов почти исчерпаны).

Речь идет об ETTH?

Клиенты в большинстве своем обычно ламеры те еще, им вообще побоку, чем контактик смотреть и в танки рубать.

По второму - тоже от прова зависит. У ростелекомч, например, при каждом перезапуске роутера ип меняется, прелелы назвать не могу, ибо как-то пофиг было всегда.

С лор ip адрес меняется каждый 10 минут по дефолту. А вот с самим лор браузером ip для каждого домена разный (это даже показывали как фича, что в каждой вкладке, но на самом деле это не так), так что это позволяет например сделать подтверждение по email, c того же ip c которого ты делал login. Лучше наверно никак совсем не ограничивать, но слать оповещения на почту, что логин был с нового ip, такие сообщения конечно раздражают, но это лучше чем совсем не пускать пользователя. В твоем же случае лучше совсем не делать проверку, потому-что скорей всего раз пользователь еще не подтвердил email, то он еще не зарегестрировался. Плюс вполне обычна ситуация, что почта у тебя открыта в другом браузере/на другом компьютере/читается с телефона, в котором ip адрес меняется по другому. Т.е. если юзер с другого устройства откроет ссылку, то и ip адрес может быть другой.

я в логах видел людей у которых чередуются два разных IP, через раз. Обращающихся к странице, соответственно грузятся картинки и скрипты, IP разные.

можно не вспоминать времена диалапа, но мобильные телефоны через GPRS и прочие тоже PPP соединение устанавливают, оно может часто рваться и адрес соответственно каждый раз выдаваться новый

В пределах одного TCP соединения IP меняться не может! Всё! Остальное допустимо в меру испорченности провайдера

проверку IP в email c «нажмите ссылку для подтверждения»

Столько флуда, и еще никто не сказал, что так делать не надо

Можно проверку IP заменить куками. Смысл тот же самый - не передавать мылом полностью токен, через который можно сделать что-то очень критичное. А так дополнительная часть либо в IP либо в куках.

Насчет почты - это реально такая великая проблема открыть ссылку из почты в том же браузере из которого ее запросили? Я о реальной жизни, а не о теоретических случаях, которые можно из пальца высосать.

Флуд про не надо не нужен. Напиши как надо.

В силу проблем со многими регистрациями часто приходится открывать в том же браузере. Но ситуации, когда я мог открыть ссылку только со смартфона c VPN возникали у меня достаточно часто. Это например когда делаешь что-нибудь с кем-то вместе или в группе и указываешь личный email. Ну или самая простая ситуация, это когда заходишь в стим, а он детектит новое устройство каждый раз и нужно заходить в почту, а почта уже в DMZ.

Зачем вообще там проверка IP? Не подразумевается, что человек может открыть ссылку с другого устройства/позже?

по идее, сайт может проверять уникальность юзера через куки. хотя, конечно, небезопасная техника, но лучше, чем ничего. я не видела, чтобы так адреса скакали у юзеров. может, потому что программисты предпочитают белые айпишники. максимум, у мобильных операторов пул, но он вполне ограничен и внутри сессии адрес, как правило, не меняется.

Тут речь не о где-то с кем-то в стиме, а о вполне конкретных критичных операциях - логине и сбросе пароля. Их можно инициировать только из браузера. То есть вот ты уже сидишь за компом, и у тебя браузер открыт.

Ну и ты вроде как уже привык открывать в том же браузере, поэтому вопрос не про тебя лично а про обычных юзеров.

Потому что твою одноразовую ссылку из почты может внезапно потыкать индексирующий робот как минимум.

Не подразумевается, что человек может открыть ссылку с другого устройства/позже?

Подразумевается, что надо дизайнить логины безопасными. Если юзер хочет повы@бываться - пусть использует другой вход, например по паролю.

А скачет хоть в пределах /255 или вообще как угодно?

Киевстар, ~3 года назад, мобильный интернет. IP изменялся при каждом запросе, скакал по нескольким сетям КС.

PS: если привязка к IP очень критична и есть база GeoIP Org/GeoIP ISP, можно делать привязку к организации или провайдеру.

Да вот пишут, что у некоторых долбанов IP на каждом tcp-коннекте новый. А подбирать размер сетки - это уже эзотерика, а не программирование.

Куки решат проблему, думал о них. А в чем проблема с небезопасностью кук?

Не, там дело не в конкретно IP, а в том чтобы через почту не передавать целиком всю критичную информацию. Чтобы если бот в письмо потыкает или еще чего, то беды не случилось. Поэтому на сервере в токене еще можно запоминать IP клиента или дополнительную куку. Тогда никто левый токеном не воспользуется.

PS. В общем я похоже погорячился с привязкой к IP. Надо это делать одной из опций - еще в куках передавать кусок идентификатора. Хоть что-то да сработает.

а какой смысл провайдеру заниматься такой херомантией со сменой IP? суммарно, при определённом количестве юзеров количество IP и портов не будет колебаться. зачем маяться дурью со сменой IP? КМК, это только лишний гемор и усложнение роутинга - привязка к одному маку десяти айпишников. можно на один айпишник посадить несколько маков, по портам, если сильно пригорает с пулом айпишников. но не наоборот. юзер всё равно не выжрет 64 тыщи с гаком соединений. можно зарезервировать на каждого по тыще портов и радоваться жизни. всё будет более-менее статично. особенно есть порты reusable у юзера в системе.
я встречала иностранцев с проблемой одного порта: то есть, в один момент времени провайдер разрешал открывать только один порт. у них были жёсткие проблемы с всякими стриминговыми приложениями и прочими многопортовыми коннектами. такой изврат бывает у очень дешёвых провайдеров где-нибудь в жопе мира, куда связь идёт через пень-колоду.

Ну и ты вроде как уже привык открывать в том же браузере

К этому трудно привыкнуть, я копирую ссылку каждый раз, а иногда ее и приходится набирать вручную. Не думаю, что какой-нибудь юзер будет такое проделывать. Юзеры вообще пароль от своей почты могут не знать, но в том же смартфоне почта как правило настроена. Если на привязанную после регистрации почту приходит письмо с восстановлением, то это уже подразумевает, что именно легитимный юзер будет пытается восстановить пароль в независимости от ip адреса, потому-что если кто-то уже завладел его/ее почтой, то это уже полный полный конец безопасности для пользователя. Потом, сам подумай если кто-то за пользователя имеющий доступ к его/ее почте попробует восстановить пароль и обломается по ip, то пользователь врядли вообще заметит, что его взломали, что наоборот на руку злоумышленнику. А вот в ситуациях когда легитимный пользователь просто заходит с другого устройства, такая «безопасность» только добавляет лишней головной боли, ну и обычный пользователь просто может не догадаться с того же устройства зайти.

куку можно скоммуниздить. многие сайты без SSL юзают куки для сессий, а это риск перехвата сессии, как минимум. как ни странно, в мире ещё дофига форумов и т.д. без SSL. даже публичные платформы для создания форумов не предлагают SSL. хотя это сейчас вроде не так напряжно.

Не знаю как сейчас, но году в 2004 я привязал сессию к IP-адресу и один клиент начал жаловаться, что его сайт постоянно выкидывает. После долгого разбора полётов, я выяснил, что его провайдер (по-моему это был Питерский WebPlus) постоянно меняет IP клиента.

Причём, судя по логам, страница могла быть запрошена с одного IP, а какая-нибудь статика уже с другого. Каждый раз при запросе страницы были новые IP'ники (всего их было штуки 3).

У меня на работе такое: на каждое новое соединение - один из трёх внешних айпи.

а какой смысл провайдеру заниматься такой херомантией со сменой IP?

Я провайдерам не доктор, без понятия. Посмотри что люди пишут.

Ты всерьез считаешь, что я буду заморачиваться с защитой ссылки, но при этом выпилю SSL :) ?

Угу. Я уже понял, что надо с IP на куку сползать. Осталось понять, насколько тяжело юзеру открыть ссылку из почты в том же браузере.

Юзер проверяет почту исключительно со смартфона а лазает с десктопа? Подозрительно как-то. Меня интересует насколько это реально. Чо он тогда со смартфона не читает сайт...

В письме для особо тупых можно написать, что надо открыть ссылку в том же браузере.

ну, полно таких сайтов. в мире мало логики.

Потому что твою одноразовую ссылку из почты может внезапно потыкать индексирующий робот как минимум.

Но ведь бот не может просто взять и прочитать чужую почту. Если ты намекаешь, что гугл может пускать своего бота в свой гмейл, то можно или детектить ботов, или сделать потом еще чтобы пользователю для подтверждения нужно было нажать кнопку.

Как только юзера разлогинивает с веб-почты на дестопе, то юзер лезет в смартфон, потому-что пароль он уже не помнит, а сразу восстанавливать в лом и для этого нужен как раз смартфон. Ну и как уже написали выше, необязательно, что письмо прочитают сразу, а не через неделю.

Потому что твою одноразовую ссылку из почты может внезапно потыкать индексирующий робот как минимум.

Можно пруфы? Никогда не слышал о таких ботах которые вот так вот шарятся по юзеровской почте и ссылки кликают.

если приворачивать проверку IP в email

не приворачивайте

Можно пруфы?

+1

Vit зачем вообще боту индексировать почту? бесполезная же работа

Юзер проверяет почту исключительно со смартфона а лазает с десктопа? Подозрительно как-то. Меня интересует насколько это реально. Чо он тогда со смартфона не читает сайт...

Ничего подозрительного.
У очень многих на телефоне почта чекается приложением - для большинства это удобно. Там все менеджеры, удобные уведомления.
Пользовател вполне может сидеть за десктопом, а текущую почту открывать телефоном, и как следствие переходить по ссылке с телефона (а вдруг он вообще в данный момент за чужим десктопом, зачем ему тут еще изголятся и заходить в кучу своих посторонних аккаунтов на чужом пк, если ему нужен всего один в определенном сервисе?).

Так что куки - это тоже не вполне надежный способ.
Часто применяет еще такую тактику - вместе с ссылкой присылается какой-то код, который можно ввести вручную в спец форме. Тогда по ссылке можно не переходить, и пользователь может просто списать код с экрана своего телефона в форму.

Ну или, если ты опасаешь перехода ботов по одноразовым ссылкам (какие это боты? поисковых систем же?) чекай их юзер-агент. Не знаю насколько это надежно, и насколько честны эти боты, что представляются. Во всяком случае простые краулеры вполне себе индетифицируемы.

Или же, можно не делать ссылку такой уж одноразовой. Т.е. например, если это ссылка для сброса пароля - при переходе на нее будет же затребован новый пароль? - так вот бот не станет вводить этот самый новый пароль, а значит можно оставлять ссылку живой и не считать пароль сброшенным до тех пор, пока не введен новый.

а вдруг он вообще в данный момент за чужим десктопом, зачем ему тут еще изголятся и заходить в кучу своих посторонних аккаунтов на чужом пк, если ему нужен всего один в определенном сервисе?

И чего б ему тогда просто с телефона сайт не поюзать :) ?

Про код понял. Наконец-то я узнал, зачем кусок ссылки некоторые сообщают в текстовом виде.

Случаи, когда из гуглоаналитики прибежал бот на незакрытую админку и покликал ссылки удаления контента уже были. А в вебпочте гугл тебе еще рекламу показывает. При таком раскладе надеяться что он не обрабатывает содержимое и ждать реальных пруфов я бы не стал. Хотя ты конечно можешь порассуждать про обезличенную обработку и добрые намерения.

И чего б ему тогда просто с телефона сайт не поюзать :) ?

Довольно странные вопросы ты задаешь. -_-

Пользование каким-то веб-сервисом, и пользование мессенджером - это не одно и тоже. Почтовая аппликуха, которая чаще всего всегда запущена на телефоне - это мессенджер, которым вполне удобно получить нотификейшен и принять его к сведению. А сервис, в которому надо поработать - это совершенно иное, и зависит от того. что там за сервис, насколько он развесист (а уже поработать с телефона, то еще и насколько он адаптивен).

Работать в какой-нибудь CRM, или онлайн офисе, набивать отчеты - с телефона? так себе занятие. Да собственно даже объемные письма писать по почте - не очень-то и удобно.

Телефон это для общения в стиле СМС. И уведомления. Работать работу с телефона - ну такое.

У меня простой форум, а ты теорию всеобщего всего с CRM-ами выстраиваешь по-моему.

Я понимаю, что универсальных решений не существует, и хочу для частного случая. Если для 99% юзеров будет нормально - это очень хорошо. А фрики могут залогиниться с паролем и т.п. Это ж не единственный способ входа. А сброс пароля вообще раз в пиццот лет нужен, там никто не переломится.

Не надо никаких проверок айпи и кукисов. Просто давай не ссылку, GET по которой что-то делает, а ссылку на страницу, где будет заскриптованная кнопка. Ни один бот ее не нажмет, это и будет подтверждением.

Не то. Кнопка - это защита именно защита от кликов. А в случае логина речь идет о том, что информация в принципе не должна попасть кому-то еще, как особо критичная.

Случаи, когда из гуглоаналитики прибежал бот на незакрытую админку и покликал ссылки удаления контента уже были. А в вебпочте гугл тебе еще рекламу показывает.

Я сталкивался с тем что ты описываешь из-за того что ссылки были где-то выложены. И через тот же поисковик можно было найти где именно.

Олсо: https://www.stonetemple.com/does-google-sniff-gmail-for-urls/

Так же, в моих письмах много ссылок unsubscribe и disable notifications. Если гмэйл начнёт по ним кликать то будет катастрофа.

Короче, я уверен, ты решаешь несуществующую проблему. Хотя, за майкрософтовские сервисы я утверждать не возьмусь. Скайп, например, известен тем что ходит по всем ссылкам в сообщениях.