Las IP pueden cambiar en cualquier momento; la idea detrás de HTTP es que cada solicitud es independiente.
Existen solo alrededor de 3 mil millones de direcciones IPv4 disponibles en todo el mundo. Algunos ISP (la mayoría de ellos, en realidad) asignan direcciones IP de forma dinámica para cada cliente de conexión, de modo que cuando este cliente se desconecta, la IP puede reutilizarse para otra persona.
En lo que se refiere a 'sesiones', todo depende de cómo se mantenga el estado. El enfoque más sensato es utilizar una cookie, que le permite conectarse desde una IP arbitraria, en un medio arbitrario, en cuyo punto, no debería preocuparse por las capas de IP del HTTP.
Pero, nuevamente, las personas son conocidas por hacer cosas raras, como usar IPs para cosas que nunca tuvieron sentido (en el sentido OSI/IETF) para identificación, autenticación, etc. Esto es doblemente malo, porque una IP comúnmente puede significar muchos clientes, por ejemplo, toda su familia probablemente comparte la misma IP pública. ¿Qué sucede si usted y su pareja visitan el mismo sitio? ¿Cómo puede el servidor distinguirlos a los dos?
@update
No, no se debe realizar un seguimiento de los cambios de IP para la 'seguridad' - la única excepción es si se puede tratar con características geoip, y desee deshabilitar/molestar a los usuarios de los distintos servicios de anonimización.
Básicamente, si sus usuarios se conectan directamente (y no a través de proxy/TOR), es muy probable que se vuelvan a conectar desde una ubicación cercana. Si sus usuarios se conectan una vez desde los EE. UU., Una vez desde Rusia, eso puede significar que se trata de dos personas diferentes (una de las cuales puede haber robado las credenciales), o que el usuario usa una especie de anonimato.
Si el sitio es un objetivo de alto valor (banca, finanzas, credenciales centrales (considere la cuenta de Google)) - puede buscar geográficamente las direcciones IP y comparar si la distancia cambió en más de 100 km en menos de una hora dos veces: esto es sospechoso, y puede molestar al usuario con credenciales adicionales.
De lo contrario, podría mostrar las últimas IP, pero es probable que sea una guinda del pastel con poco valor real.
@ update2 La seguridad es un tema complicado - cada vez que usted está tratando con ello, es necesario responder a dos preguntas fundamentales:
Seguridad de lo: lo que es tan valiosa que necesita protección
- privacidad de los usuarios
- permisos concedidos a un usuario
- activos (físicos o virtuales)
y seguridad contra lo: ¿Cuál es el escenario de ataque está preocupado por
- secuestro Cookie (Firesheep) (sólo tiene que utilizar SSL y acabar de una vez en su mayor parte - no hay forma de evitar el problema de que es HTTP sin cifrar, y frecuentemente por la radio pública)
- Tomando sobre cuentas (requieren credenciales adicionales para cosas muy sensible
)
- Defacing?
probablemente, me imagino que un usuario podría iniciar sesión a través de un dispositivo móvil que se conecta automáticamente a algunos puntos de acceso inalámbricos diferentes a medida que se mueven. – zzzzBov
Absolutamente sí - Lo he visto suceder :) – paulsm4
Si está navegando en la computadora portátil y durante la sesión ** se conecta a través de varias redes WiFi ** ... entonces la IP cambiará durante la sesión, a menos que haya algún mecanismo que hace que la sesión expire después de cada cambio de IP ...(Supongo que hay * no * tal cosa) – TMS