为什么说 IP 地址是无害的?

信息安全 ip 用户跟踪 鉴别
2021-08-23 22:40:24

每当我在互联网上看到有人问这个问题,“有人可以从我的推文/我的 tumblr/facebook 帖子/其他任何内容中找到我的 IP 地址吗”,我总是看到的回答是,“谁在乎!IP 地址不会甚至告诉任何人任何事情!这只是一个诡计,一种恐吓策略,人们如此愚蠢地担心它!”

我已经看到一个熟练的黑客一旦从一个 IP 地址回溯,甚至对于普通人,只要大致了解某人来自哪里,或者能够显示与匿名帖子相关联的 IP 地址,就可以获得多少信息与在某人的真实世界信息下发布的内容相同可能足以引发火灾。

我个人在网上受到某人的骚扰,众所周知,她住在怀俄明州一个非常偏远的地方。我们在我的网站上有一个流量跟踪器,其中包括按 IP 地址划分的访问者细分以及附加到 IP 地址的更详细信息(位置、访问时间、访问的页面等)。

尽管不足以明确证明是这个人,但每个人都认为这是一个可怕的巧合,被列为来自怀俄明州同一个小区域的同一个 IP 地址在该女人访问的同一时间不断弹出骚扰我的网站。特别是因为它是唯一与怀俄明州相关的 IP 地址。封禁ip就够了。

此外,在静态 IP 地址的情况下,情况似乎更糟。例如,我的一个朋友被某人跟踪。她过去常常在办公室发帖。她公司的办公室有一个静态 IP 地址。

她的跟踪者能够以某种方式从她的日志帖子中获取她的 IP 地址,与动态 IP 地址不同的是,当他查看它提供的静态 IP 地址的信息时,它显示了公司的所有信息,包括建筑物的街道地址。有一天,他出现在那里,不得不叫保安把他带走。

那么,我的问题是,真正的“诡计”是否是说没有人可以从 IP 地址获得任何有意义的信息,以及人们不断被告知不要担心这一事实,而他们至少应该知道人们如何如果在网上可以得到他们的 IP 地址吗?

作为处理安全问题和/或考虑安全性进行编程的人,您个人是否认为在构建站点时应该关注某人的 IP 地址的隐私,或者你们是否同意没有什么值得担心的?

4个回答

泄露您的 IP 地址不会危及您机器的安全性。如果对您的机器的攻击是无目标的(即攻击者只是想用它来发送垃圾邮件或钓鱼电子邮件,或者作为有针对性的攻击的代理),您的机器将被随机扫描,而不是基于可能被攻击的 IP 地址张贴在一个论坛。如果攻击是有针对性的,那么进行攻击的人通常会足够了解您以找出您的 IP 地址,真正的安全来自没有易受攻击的机器。

另一方面,泄露您的 IP 地址会损害您的隐私它通常会显示您从哪个一般地理区域访问 Internet,以及您的 Internet 提供商是谁;取决于您的 Internet 提供商,可能会非常准确地找到您。也可以将您的 IP 地址与一个在线身份关联起来,将您的 IP 地址与另一个在线身份关联起来。所以它通常不是你想向全世界发布的东西。

您直接连接的任何计算机都通过构造知道您的 IP 地址。作为网站设计者,对待 IP 地址的方式与对待任何其他私人数据(如姓名、年龄、性别、街道地址、电话号码等)的方式相同......不要将它们暴露给非网站管理员的任何人。请记住,网络服务器日志通常包含每个请求的 IP 地址,因此请像保护用户数据库一样保护日志。

但请注意,在线获取某人的 IP 地址通常并不困难。您所要做的就是在您控制的服务器上托管一张图片(费用低于 10 美元/月),并安排此人在他们的浏览器中浏览该图片。查看图像的每个人的 IP 地址都将在服务器日志中。

这就是为什么电子邮件程序通常要求您确认是否要查看图像的原因,也是许多社交网站要求将所有图像上传到自己的服务器的原因之一。

作为用户,如果您真的担心泄露您的身份,请使用代理。您用隐私换取带宽和延迟以及隐私(代理知道您访问过哪些网站)。您可以更进一步并使用Tor,这是一个“拆分”代理,不同的实体可以了解您的 IP 地址(入口节点)和您正在访问的站点(出口节点);您可以用更多的带宽和延迟换取更大的隐私收益。

它相当于通过默默无闻的安全性。如果您依靠不透露 IP 地址来确保安全,那么您就有大麻烦了。在保护您的机器时,您必须假设攻击者已经知道 IP 地址,因为无论以何种方式,它都相当容易获得……您疯狂地泄露它,每次连接到网站时,每次发送电子邮件时,每次发送或接收文件等。

话虽如此,实际上将其免费提供给每个人并不是最好的主意。但是不要让这让您相信自己是安全的,因为没有人知道您的 IP 地址。

在构建网站或 Web 服务时,应将通过业务过程收集的所有数据视为敏感数据。数据有价值。有时,可能不清楚谁会发现它有价值,或者为什么甚至如何使用它来实现该价值。这种评估价值的困难意味着唯一安全的方法是采取默认的限制访问的立场,然后只有在对风险和收益进行知情和深思熟虑的评估后才将其提供。提供个人数据也是如此。人们不应该只向任何询问的人提供个人详细信息。当有人要求提供个人详细信息时,我们应该质疑他们为什么要提供这些信息,以及提供此类信息是否有足够的个人利益来证明提供这些信息的正当性。我们还需要验证询问信息的人实际上是他们声称的人。有人愿意通过电话向某人提供多少信息,只是因为那个人声称来自某个权威机构或进行一些调查等,这让我永远感到惊讶。

不幸的是,与互联网上的人和服务进行交互需要您提供一定数量的信息,而实际上,您几乎无法控制与您交互的人如何使用这些信息。如果您想通过电子邮件与人互动,您必须向他们提供您的地址。如果您希望您的数据通过网络进行路由,您必须有一个唯一的 IP 地址,并且您必须使其可用。但是,您可以采取一些措施来减少可以通过您或您的用户个人资料轻松识别的信息量。问题是,在许多情况下,断开这种连接是以便利为代价的。

例如,如果您担心自己的 IP 地址出现在您喜欢访问的网站上,您可以使用网络代理来保护自己。不幸的是,使用代理可能会降低数据吞吐量,使访问站点变慢,或者它可能无法正常工作,因为站点使用额外的非标准协议进行边带通信等。如果您担心您的 IP 地址出现在 e-邮件标头,您可以使用基于 Web 的邮件解决方案,例如 gmail。您甚至可以使用电子邮件中继解决方案来隐藏您的真实电子邮件地址或允许您以一定程度的匿名性出现。然而,这样的事情需要时间和精力来设置,并且可能会延迟发送和接收消息。这种不便是否值得受益将取决于个人。

通常,当有些人说 IP 地址的知识不是问题并且只是忘记它时,他们实际上只考虑安全的技术方面,而不考虑隐私和个人安全。另一方面,我们不应该过于偏执于谁能找到我们正在使用的 IP 地址。在某些个别情况下,此类信息可能是一个问题,但对于我们大多数人以及在大多数情况下,这些信息并不是一个大问题。事实上,我会更关心启用了地理定位功能的移动设备和不断将它们所在位置的详细信息上传到 Facebook、Twitter 或 g+ 等社交服务的软件。人们还应该评估使用基于 Web 的服务和网站的价值,以了解他们向他人提供的信息。例如,我不会使用公开有关我或我的帖子的信息的网站,例如我的 IP 地址,如果该信息是不必要的。我们需要通过更加积极主动地做出有关我们使用的服务的决策来对我们允许“走出去”的信息承担一些责任。如果您不喜欢某个网站或服务的隐私政策,请不要使用它们并告诉他们您为什么不使用它们。不要只是接受它并简单地采用受害者的心态,因为如果我们允许的话,我们最终会变成这样。不喜欢网站或服务的隐私政策,不要使用它们并告诉他们你为什么不使用它们。不要只是接受它并简单地采用受害者的心态,因为如果我们允许的话,我们最终会变成这样。不喜欢网站或服务的隐私政策,不要使用它们并告诉他们你为什么不使用它们。不要只是接受它并简单地采用受害者的心态,因为如果我们允许的话,我们最终会变成这样。

您的 IP 就像您的电话号码,没有来电显示阻止选项。如果没有使用它的通信,您将无法与任何人交谈。找到它并不是一件非常困难的事情,并且它本身并没有真正提供任何安全性。如果您的 IP 未知,是否会稍微增加攻击您的难度,当然,但应该假设坏人会知道您的 IP,因为它是非常有效的公共信息。

关键重要的是你应该有一个好的防火墙来防止任何你没有与之交谈的人进入你的网络。只要打开防火墙,大多数消费者路由器就可以很好地完成此工作。

如果 IP 没有被欺骗和/或通过 VPN 中继,那么它将提供有关 ISP 和使用它的人的一般区域的可靠信息,但这对于攻击的信息并没有太大帮助。

其它你可能感兴趣的问题
上一篇“不安全”是否意味着 HTTP? 下一篇SSL根证书可选?