$_SERVER['REMOTE_ADDR'] -> Sécurité ?

Discussion dans 'Développement d'un site Web ou d'une appli mobile' créé par Bodypop, 2 Juin 2012.

  1. Bodypop
    Bodypop Nouveau WRInaute
    Inscrit:
    20 Mai 2012
    Messages:
    9
    J'aime reçus:
    0
    Hello,

    J'ai fais un petit blog (je l'ai codé moi-même) et j'ai tenté de sécuriser certaines choses via $_SERVER['REMOTE_ADDR']. Je connais les risques de son utilisation (ou à peu près) et je sais que c'est juste à titre « informatif ». Cela affiche l'IP de connexion mais ma question est tout autre. J'ai une IP fixe et sur mon blog en php j'ai écrit « Si l'utilisateur a cette IP, donnez-lui accès à ça » (j'ai quand même placé un système d'authentification derrière, au cas où).

    Sachant que j'ai une IP fixe, quelqu'un peux quand même me voler mon IP ? Je veux dire, les IP dynamiques tournent entre utilisateur, mais les fixes ? Car quand je tape mon IP dans un whois, ben ça me sort bien ma ville etc..

    Thanks.
     
  2. zeb
    zeb WRInaute accro
    Inscrit:
    5 Décembre 2004
    Messages:
    12 021
    J'aime reçus:
    1
    Le problème c'est les requêtes forgées "a la main". Un équipement qui reçoit un paquet réseaux n'est jamais sur que l'ip fournie dans le paquet est bien celle d'où il est parti (on peut écrire ce qu'on veux sur le réseau ;-) ).
    maintenant rien ne dis que cela constitue un danger pour ton site.

    Ensuite ton ip fixe est fixe entre la prise de ta box et au moins le tableau de raccordement proche de chez toi ;-) donc ça ne présage en rien que ce soit toi qui l'utilise.

    Après imagine 5mn qu'il y ai chez toi qqun qui t'en veuille un peu pour X raison et t'est mal.

    Pour finir le jour ou t'est pas chez toi et qu'il faut interagir avec le site tu fait comment ?
     
  3. Bodypop
    Bodypop Nouveau WRInaute
    Inscrit:
    20 Mai 2012
    Messages:
    9
    J'aime reçus:
    0
    Je passe par le FTP et j'ajoute l'IP actuelle à la liste blanche, et ceci temporairement. :mrgreen:

    Après, si quelqu'un chez moi en veux à mon site, il devra passer la barrière de l'authentification (comme j'ai dit, j'ai mis un petit système d'auth au cas ou l'ip suffit pas). Mais je me demandais effectivement si quelqu'un pouvait user de mon ip (hors de chez-moi et en excluant le piratage de la connexion) et d'après ce que j'ai pu lire c'est oui :?

    Merci de ta réponse. :)
     
  4. jcaron
    jcaron WRInaute accro
    Inscrit:
    13 Février 2004
    Messages:
    2 579
    J'aime reçus:
    0
    Il est très facile de faire de l'"IP spoofing" sur un paquet IP, mais sur une connexion TCP (et donc HTTP) c'est notablement plus compliqué (parce qu'il y a des allers-retours de paquets avant que la connexion soit établie). Donc à au moins 99%, REMOTE_ADDR correspond bel et bien à l'adresse IP de l'utilisateur.

    Jacques.
     
  5. zeb
    zeb WRInaute accro
    Inscrit:
    5 Décembre 2004
    Messages:
    12 021
    J'aime reçus:
    1
    C'est surtout avec les scripts ajax attaqués en POST qu'il faut se méfier, souvent il ne faut pas grand chose pour engendrer l'action souhaitée, et comme on rien a faire de la réponse serveur ....
    Sinon dans le principe vue le nombre de paquets nécessaires c'est moins "commode" tu as raison.
     
Chargement...
Similar Threads - $_SERVER[ REMOTE_ADDR Sécurité Forum Date
$_SERVER['REMOTE_ADDR'] pas fiable ? Développement d'un site Web ou d'une appli mobile 31 Mars 2012
Comment utiliser la fonction $_SERVER['REMOTE_ADDR'] ? Développement d'un site Web ou d'une appli mobile 28 Mai 2007
[Resolu] Résultat d'un $_SERVER["REMOTE_ADDR"] dan Développement d'un site Web ou d'une appli mobile 27 Mai 2007
$_SERVER['REQUEST_TIME'] ? Développement d'un site Web ou d'une appli mobile Aujourd'hui à 12:28
Google Analytics Referrals VS $_SERVER['HTTP_REFERER'] Google Analytics 10 Décembre 2013
Url rewritting: htaccess ou $_SERVER['REQUEST_URI'] URL Rewriting et .htaccess 8 Août 2012
Problème envoi mots clés $_SERVER['HTTP_REFERER'] Administration d'un site Web 24 Mai 2012
$_SERVER["RESQUEST_URI"] et URL Rewriting Débuter en référencement 18 Mars 2010
Codage dans $_SERVER['HTTP_REFERER'] Développement d'un site Web ou d'une appli mobile 22 Janvier 2010
$_SERVER['HTTP_REFERER'] inexistant depuis la racine ? Développement d'un site Web ou d'une appli mobile 23 Février 2009
$_SERVER['REQUEST_URI'] autres méthodes ? Développement d'un site Web ou d'une appli mobile 22 Avril 2008
$_SERVER['HTTP_REFERER'] sous ie apres url rewritting Développement d'un site Web ou d'une appli mobile 5 Octobre 2007
Probleme avec $_SERVER['REQUEST_URI'] de chez Online !! URL Rewriting et .htaccess 19 Septembre 2007
Aide a propos de if($_SERVER['HTTP_REFERER'] URL Rewriting et .htaccess 5 Août 2007
$_SERVER['REQUEST_URI'] dans formulaire Développement d'un site Web ou d'une appli mobile 28 Mai 2007
Question sur $_SERVER['REQUEST_URI'] Développement d'un site Web ou d'une appli mobile 3 Octobre 2006
Problème de test avec ereg sur $_SERVER['REQUEST_URI'] Développement d'un site Web ou d'une appli mobile 30 Mai 2006
$_SERVER['HTTP_COOKIE'] et $_COOKIES Développement d'un site Web ou d'une appli mobile 18 Février 2006
Fonction Include et Fonction $_SERVER['REQUEST_URI'] Développement d'un site Web ou d'une appli mobile 29 Août 2005
$_SERVER['REQUEST_URI'] -> est-elle toujours renseignée ? Développement d'un site Web ou d'une appli mobile 24 Août 2005