在Rails中阻止恶意用户之间的会话共享

Question

阻止用户在Rails中共享会话Cookie的最佳方式是什么？

我想我有一个很好的办法做到这一点，但我想通过堆栈溢出人群来运行它，看看是否有先简单的方法。

基本上我想如果有人试图与他人分享付费会员来检测。用户在登录时已经从多个不同的子网登录过，但有人试图通过共享会话cookie来解决这个问题。没有将会话绑定到IP（许多合法人员使用旋转代理），做到这一点的最佳方式是什么。

我发现最好的启发是B类子网/时间的＃（某些ISP使用旋转代理不同的CS类）。这对我们产生了最少的误报，所以我想坚持这种方法。

现在我正在考虑为每个请求应用一个before过滤器，以便跟踪用户在memcached中使用的哪个Subnets和session_ids，并将启发式应用于该过程以确定Cookie是否被共享。

任何更简单/更容易实现的想法？任何现有的插件，这样做？我能想到的

Answer 1

您可以将会话信息绑定到浏览器信息。如果人们在一段时间内使用3种或4种不同的浏览器类型，则可以推断出可疑事件可能正在发生。

另一个答案依赖于一点社会工程。如果您有一些您信任的启发式方法，则可以警告用户（位于页面顶部）您怀疑他们正在分享他们的帐户，并且他们正在密切关注。警告中的“联系我们”链接将允许合法用户解释他们自己（并因此被永久性地取消标记）。这可以将问题最小化，足以将其从您的雷达中解救出来。

Answer 2

一种方法是在会话和与每个页面刷新一个cookie都设置相同的随机值。检查两个以确保它们相同。如果有人分享他们的会话，cookie和会话将不同步。