毋庸置疑,我们都知道基于 IP 地址的地理定位有时既是一门艺术,也是一门科学。 我曾在 GIS 领域工作过(那时候我还可以编写代码),我很清楚将坐标准确地映射到地名需要进行大量的数学运算,而且不会引入 IP 地址的可疑准确性。 考虑一下由于 IP 地理编码的变化而遇到的这种特殊情况:
MaxMind 将用于将设备连接到互联网的 IP 地址与物理位置进行匹配。 据称,这些并不是为了准确。
詹姆斯和特蕾莎·阿诺德表示,该系统将他们的家登记为 6 亿多个地址中的一个。
他们表示,这导致许多人错误地认为该场所发生了多起犯罪事件。
“阿诺德一家搬进来后的第一个星期,巴特勒县警局的两名警员来到他们家寻找一辆被盗卡车。 这种情景在接下来的五年里重演了无数次,”提交给堪萨斯州法院的文件中写道。
http://www.bbc.com/news/technology-37048521
我很高兴我不是阿诺德家族*。 虽然这个案例很不寻常,但它确实表明依赖 IP 地址不一定是一个好主意——特别是如果你用它来授权访问应用。
我们知道许多金融机构尤其依赖 IP 地址和设备来确定登录尝试的有效性。 如果您总是在同一个地方使用同一个设备,那么这是一件好事,因为您的 IP 地址不会发生太大变化。 但对于移动应用程序而言,由于它们越来越成为人们与客户沟通的“方式”,因此这可能会带来问题。 当我漫游时,我的 IP 地址会发生变化,更不用说有时甚至当我不漫游时也会发生变化,这是由于我家外的 WiFi 覆盖范围的限制。
无论如何,IP 地址作为一种识别手段早已过时了。 过去,使用宽带连接的每个人都有自己的 IP,因为他们是通过 DHCP 直接从提供商处获取的。 但当家庭中连接互联网的设备数量超过人口数量时,这种情况就如同渡渡鸟一样灭绝了。 根据最近的调查,“目前美国境内有 7.34 亿 互联网家庭,平均每个家庭拥有7.8台联网设备。” 这是2015 年美国每户平均人口3.14 人的两倍。
这意味着,考虑到提供商所能提供的 IPv4 公共 IP 地址数量有限,每个人(现在也是每个事物)一个 IP 地址的概念在很大程度上是站不住脚的。 一般来说,每个家庭只使用一个公共 IP,其他人都通过那个小黑盒子进行路由。
IP作为权威身份识别手段已经死亡。
凭证,无论是令牌、用户名/密码还是其他迄今为止未被发现的方法,都是识别并验证用户的最佳手段。 考虑到 IP 地址在各种攻击中的滥用,这也是当今保护应用程序的最佳方式。 当我可以像伪造用户代理一样轻易地伪造我的 IP 时,将其视为权威的信息来源并不是一个好主意。
它也不适合用于允许名单或拒绝名单,因为说实话,IP 地址在互联网上可以在几秒钟内发生变化。 数千万个 IP 地址经常被发现参与 DDoS 攻击。 有些是故意的,有些则是偶然访问了错误的网站或购买了错误的设备。 通过 IP 地址进行阻止会给消费者带来麻烦。 未来使用 IP 信誉不再像以前那么有效,那时互联网还很年轻,很纯真,充满了善意的人们。 现在,互联网已经陈旧、疲软,攻击者猖獗,他们很可能会滥用你的设备,就像滥用其他任何东西一样,我们必须寻找其他的办法。
我们需要将身份作为新的防火墙,以保护应用这一新边界的安全。 无论是通过联合还是传统的企业身份管理,我们都需要更多地依赖 ID 而不是 IP 来保护我们无边界的业务,并为日益移动的用户(包括企业和消费者)提供访问权限。
* 有趣的是,我母亲的家人都是阿诺德家族的。 我确信没有关系,但话又说回来……