$_SERVER['REMOTE_ADDR'] -> Sécurité ?

  • Auteur de la discussion Auteur de la discussion Bodypop
  • Date de début Date de début
Nouveau WRInaute
Hello,

J'ai fais un petit blog (je l'ai codé moi-même) et j'ai tenté de sécuriser certaines choses via $_SERVER['REMOTE_ADDR']. Je connais les risques de son utilisation (ou à peu près) et je sais que c'est juste à titre « informatif ». Cela affiche l'IP de connexion mais ma question est tout autre. J'ai une IP fixe et sur mon blog en php j'ai écrit « Si l'utilisateur a cette IP, donnez-lui accès à ça » (j'ai quand même placé un système d'authentification derrière, au cas où).

Sachant que j'ai une IP fixe, quelqu'un peux quand même me voler mon IP ? Je veux dire, les IP dynamiques tournent entre utilisateur, mais les fixes ? Car quand je tape mon IP dans un whois, ben ça me sort bien ma ville etc..

Thanks.
 
WRInaute accro
Le problème c'est les requêtes forgées "a la main". Un équipement qui reçoit un paquet réseaux n'est jamais sur que l'ip fournie dans le paquet est bien celle d'où il est parti (on peut écrire ce qu'on veux sur le réseau ;-) ).
maintenant rien ne dis que cela constitue un danger pour ton site.

Ensuite ton ip fixe est fixe entre la prise de ta box et au moins le tableau de raccordement proche de chez toi ;-) donc ça ne présage en rien que ce soit toi qui l'utilise.

Après imagine 5mn qu'il y ai chez toi qqun qui t'en veuille un peu pour X raison et t'est mal.

Pour finir le jour ou t'est pas chez toi et qu'il faut interagir avec le site tu fait comment ?
 
Nouveau WRInaute
Je passe par le FTP et j'ajoute l'IP actuelle à la liste blanche, et ceci temporairement. :mrgreen:

Après, si quelqu'un chez moi en veux à mon site, il devra passer la barrière de l'authentification (comme j'ai dit, j'ai mis un petit système d'auth au cas ou l'ip suffit pas). Mais je me demandais effectivement si quelqu'un pouvait user de mon ip (hors de chez-moi et en excluant le piratage de la connexion) et d'après ce que j'ai pu lire c'est oui :?

Merci de ta réponse. :)
 
WRInaute accro
Il est très facile de faire de l'"IP spoofing" sur un paquet IP, mais sur une connexion TCP (et donc HTTP) c'est notablement plus compliqué (parce qu'il y a des allers-retours de paquets avant que la connexion soit établie). Donc à au moins 99%, REMOTE_ADDR correspond bel et bien à l'adresse IP de l'utilisateur.

Jacques.
 
WRInaute accro
jcaron a dit:
sur une connexion TCP (et donc HTTP) c'est notablement plus compliqué....
C'est surtout avec les scripts ajax attaqués en POST qu'il faut se méfier, souvent il ne faut pas grand chose pour engendrer l'action souhaitée, et comme on rien a faire de la réponse serveur ....
Sinon dans le principe vue le nombre de paquets nécessaires c'est moins "commode" tu as raison.
 
Discussions similaires
Haut