Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
Fiabilité et $_SERVER['REMOTE_ADDR']
Bonjour,
Je me demande si $_SERVER['REMOTE_ADDR'] est vraiment fiable , j'ai entendu parler que l'on pouvais modifier les entête HTTP envoyé , peut-on donc bien modifier la superglobale $_SERVER['REMOTE_ADDR'] ? Si non comment est déterminé $_SERVER['REMOTE_ADDR'] ? si oui comment procédé pour faire la modification ?
Merci d'avance.
Dernière modification par Bovino ; 04/03/2013 à 11h48.
Bonjour.
En un mot 'oui' il s’agit de l'adresse ip contenu dans le paquet TCP.
changer les headers HTTP ne changera pas la valeur de REMOTE_ADDR
d’après source : http://stackoverflow.com/questions/4...verremote-addr
Merci pour le lien , donc d'après lui ont peut bien modifier cette superglobale quelqu'un pourrait m'expliquer ?Though remote_addr cannot be directly inserted by the user as far as i know, it can be spoofed. Above is NOT secure.
Don't hesitate to use it for the guestbook of your pet's site, but don't use it for anything more complicated
(the value will always be an IP-address, because your server fills it as such, but the request (indirectly) provides the data. There is no separate way to inform your server what IP-adress gave the origional request then the request itself, therefore it is not to be trusted)
Dernière modification par Bovino ; 04/03/2013 à 11h48. Motif: Balises [quote] pour les citations !
indépendamment de la super globale il est toujours possible que l'adresse ip soit usurpé , le danger viens surtout du réseau local d’où est situé le serveur , pour ce qui est wan il est très difficile pour le commun des mortels de mettre en pratique une telle attaque , il fraudais pour cela hacker les routeurs de l'isp et de les reconfigurer donc bon courage.
a noter que $_SERVER['REMOTE_ADDR'] contiendra toujours l'adresse ip de la machine qui envoie le message forcément la machine a l'origine de ce message (ex: proxy).$_SERVER['REMOTE_ADDR'] is the IP address the TCP connection came in on. Why it is technically possible to bidirectionally spoof IP addresses on the internet (by announcing foul routes via BGP), it's likely to be spotted and not available to the typical attacker - basically your attacker must have control over an ISP or carrier. There are no feasible unidirectional spoofing attacks against TCP (yet). Bidirectional IP spoofing is trivial on a LAN though.
donc tout dépend de l'usage que tu veut faire.
A très bien merci , sujet résolu.
Répondre avec citation
Partager