Názor k článku Postřehy z bezpečnosti: odhalena totožnost vývojáře LockBitu od Filip Jirsák - Právě že se už docela dávno ví opak,...

Právě že se už docela dávno ví opak, že vázat uživatelskou session na IP adresu je nepraktické a funguje to čím dál hůř. Vedle už zmíněných problémů je dalším problémem třeba dual-stack, kdy se navazují spojení někdy po IPv4 a někdy po IPv6. Prostě představa, že uživatel má stálou IP adresu neodpovídá realitě.

Identifikátor sezení má být chráněn tak, aby nebylo možné se k němu dostat. Pokud ho útočník může získat, je potřeba se zaměřit na to, jak ho získá. Protože obvykle pokud může získat identifikátor sezení, není to jediný bezpečnostní problém.

Pak je také zabudovaná autentizace do protokolu HTTP, ta by problém řešila, protože se dá autentizovat každý požadavek. Ale to zabili tvůrci prohlížečů tím, že to na straně prohlížečů bylo takřka nepoužitelné.