Zafałszowane adresy IP

[DR HOUSE]

Cześć,

Postawiłem forum które przechodzi przez CF ale niestety adresy IP są przez to zafałszowane, czy jest jakiś sposób aby na forum wyświetlało przy użytkownikach prawdziwe adresy IP?


* Oczywiście sposoby poza wyłączeniem CF

[Macsch15]

Wpisz w wyszukiwarkę ACP: http_x_forwarded_for a następnie ustaw Trust IP addresses provided by proxies? na Yes.

[DR HOUSE]

Super, dzięki!!!

zastanawia mnie tylko to:

Cytuj

kiedy ta opcja jest aktywna, złośliwy użytkownik może atakować system, dostarczając fałszywy adres IP

Co autor miał na myśli poprzez "atakować system"?

[Macsch15]

Chodzi o to, że domyślnie IP.Board pobiera adresy IP z REMOTE_ADDR, który ma zawartość dostarczaną bezpośrednio przez webserver bazującą na połączeniu klienta. Powyższa opcja, czyli HTTP_X_FORWARDED_FOR, bazuje na nagłówku HTTP klienta, przez co, jego wartość jest łatwo modyfikowalna przez klienta. Klient do takiego nagłówku wcale nie musi przekazywać adresu IP, a coś innego, co może okazać się niebezpieczne. Oczywiście, IP.Board odpowiednio waliduje wszystkie wartości przesyłane w tym nagłówku za pomocą filter_var(), niemniej jednak - jeżeli nie musisz włączać tej opcji, nie rób tego.

[DR HOUSE]

Ok, dziękuję. Chętnie bym tego nie włączał ale wtedy nie będę miał poprawnych adresów IP :/

[Macsch15]

Problem ROZWIĄZANY. Jeśli są jakiekolwiek wątpliwości, pytania proszę o założenie nowego tematu.

Wszelkie uzasadnione reklamacje/pretensje/sugestie/rady przyjmuje ekipa forum.