Dada la vulnerabilidad XSS apropiada, un atacante puede secuestrar la sesión de alguien con los datos que se transfieren hacia y desde el servidor.
¿Por qué las sesiones no son siempre exclusivas de la IP en la que se iniciaron? es decir, ¿cuándo necesitaría un sitio web / servicio mantener una sesión autenticada en múltiples direcciones IP? No estoy seguro de por qué las sesiones lo permiten, por lo tanto, no entiendo cómo esta es una ruta viable para un atacante.
Primero, vincular una sesión a una dirección IP no lo hará seguro, ya que el servidor podría ver a muchos usuarios diferentes utilizando la misma dirección IP por varias razones (todos los tipos de servidores proxy, por ejemplo: cliente, proxy inverso, CDN). , etc.).
Segundo, el mismo usuario podría muy bien usar diferentes direcciones IP para la misma sesión. Por ejemplo, alguien podría estar cambiando entre redes desde el mismo dispositivo.
Entonces, dado que no es efectivo y causa problemas de facilidad de uso y escalabilidad, esa no es una característica que generalmente está habilitada.
En el pasado, AOL era conocido por el agresivo equilibrio de carga entre su red interna e Internet a través de todos sus servidores proxy de salida. Esto significaba que una solicitud de una sola página web y su contenido provendría de muchas direcciones IP diferentes: si fijaba una sesión en una sola dirección IP, la sesión se interrumpiría antes de que la página de "inicio de sesión exitoso" terminara de cargarse.
Este tipo de balanceo de carga es menos común, pero aún puede suceder si alguien está usando un proxy de "acelerador web" o un ISP con menos inclinaciones técnicas. Los turnos más lentos son más comunes, como si alguien utiliza un ISP inalámbrico y obtiene una nueva dirección cada vez que cambian las estaciones base.
La fijación de una sesión a una única dirección IP puede hacer que los ataques de robo de sesión sean más difíciles, pero conlleva el costo de evitar que algunas personas utilicen su servicio por completo, y le da a otros una experiencia degradada.
Un atacante puede conectarse al servidor desde la misma dirección. Por ejemplo, un atacante y la víctima están usando el mismo WiFi.
Además, puede causar problemas al usuario si él / ella tiene varias rutas al servidor y la IP del usuario se somete a una transición de dirección de red.
Otra razón para no vincular las sesiones a una dirección IP específica es una cosa llamada "globos oculares felices" (¡sí, en serio!).
Es básicamente un mecanismo que intenta detectar la mejor manera de establecer una conexión cuando se utiliza una conexión de pila doble (se admite IPv4 e IPv6).
Algunos sistemas operativos hacen esto muy agresivamente, OS X, por ejemplo, incluso (por ejemplo) intentará cargar la propia página web a través de IPv6 y luego cargará algunas imágenes a través de IPv4 para obtener un punto de referencia que funcione mejor.
Y, por supuesto, como IPv4 e IPv6 utilizan direcciones completamente diferentes que no se pueden correlacionar, realmente sucederían cosas extrañas cuando se unen las direcciones IP a las sesiones.
Más información: enlace
Lea otras preguntas en las etiquetas xss session-management