Witam,
Czy jest mozliwe, zeby podmienic address IP na dowolny inny address we zmiennej: $_SERVER['REMOTE_ADDR']. Czy jest to hakowalne, nie wiem przez proxy, przez jakies protokoly etc?
0
0
Na dowolny inny się nie da (chyba, że naprawdę chcesz podpaść pod paragrafy, ale tu i tak Ci w tym nie pomożemy), ale tak - użycie proxy powoduje, że w REMOTE_ADDR jest adres IP serwera proxy, niemniej większość proxy pochwali Ci się w innym nagłówku jakie jest oryginalne IP.
0
zasadniczo należałoby uściślić to zapytanie: czy autor pytania chciałby shakować adres IP w podanej zmiennej coś innego...
rozszerzone pytanie wskazał @dzek69 czy byłoby to wobec tak uściślonego zapytania NIEwystarczające...
trochę przekornie jednakże mnie jako posiadacza płatnego hostingu na home.pl mnie to bardzo interesuje
w kontekście jak mógłbym się przed takim atakiem ?! chronić moje konto
nie żebym jako programista bał się przesadnie, iż mój provider ? tego nie zabazpieczył należycie...
autor wszak nie powiedział iż do mojego providera chciałby się dobrać ani że w ogóle coś kombinuje...
ja nie widzę niczego w zapytaniu poza ciekawością w dodatku na Forum programistów jest to zupełnie moim zdaniem przyzwoite pytanie...
są wszak inne typowo hackerskie fora czy ogólnie miejsca w Internecie wobec tego jestem za tym aby nie bać zadawać taaaaaakie pytania...
Konrad
0
@dzek69 Mam sklep internetowy i na nim jest płatność przez paypal. Ktoś napisał skrypt, który zmienia każda transakcje na 1groszą. I tak jest jeden warutek. Jeżeli zdalne ip jest równe do ip z biura to zmieniamy wszystkie transakcje na 1grosz. Nie podoba mi sie to mega. Szef kazał zrobić dokładnie takie same rozwiązanie z innym produktem paypala. Jak to zobaczyłem powiedziałem, że to trochę ryzykowne, że powinniśmy testować z paypal sandbox serwerem. Tyle, że taka strona już istnieje i zastanawiam się jakie jest ryzyko? Wiem, że kiedyś było to możliwe i to w dość łatwy sposób. Nie wiem jak teraz??
0
Niby jak to było kiedyś możliwe w łatwy sposób? :D
Rozwiązanie polegające na porównywaniu IP, gdziekolwiek, nie jest superbezpieczne, ale ... dotpay na tym polega. Jak dostajesz potwierdzenie z IPN to weryfikacja czy to ktoś inny nie podesłał tego polega na sprawdzeniu adresu IP.
Niemniej - z koniem się nie kop. Jak masz polecenie zrobić źle to zrób źle, widać, że tu przypadek niereformowalny. IP spoofing nie jest prostym zadaniem, często niemożliwym. A tu jeszcze trzeba znać IP waszego biura i wiedzieć, że taki mechanizm w ogóle istnieje. To już łatwiej pewnie znaleźć inną dziurę u Was albo socjotechniką wyciągnąć od szefa hasło do Paypala :p
0
Wiem, że to mało prawdopodobne, ale jednak wolałbym się nie przyzwyczajać to takiego sposobu programowania. Muszę poszukać czy IPN sprawdza IP użytkownika. Do tej pory myślałem, że pobiera id transakcji i sprawdza podstawowe dane, ale nie ip usera. Jeżeli tak, to i git.