The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"IP-спуфинг - вопрос по безопасности"
Вариант для распечатки  
Пред. тема | След. тема 
Форум WEB технологии (Perl)
Изначальное сообщение [ Отслеживать ]

"IP-спуфинг - вопрос по безопасности"  +/
Сообщение от greenwar (ok) on 27-Окт-12, 17:33 
приветствую
если я возьму в оборот переменную $ip = $ENV{'REMOTE_ADDR'};
и не проверю, то могут ли мне подсунуть некий код вместо IP, который вскроет скрипт?
Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "IP-спуфинг - вопрос по безопасности"  +/
Сообщение от PavelR (ok) on 27-Окт-12, 17:59 
> приветствую
> если я возьму в оборот переменную $ip = $ENV{'REMOTE_ADDR'};
> и не проверю, то могут ли мне подсунуть некий код вместо IP,
> который вскроет скрипт?

в общем случае - нет.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "IP-спуфинг - вопрос по безопасности"  +/
Сообщение от greenwar (ok) on 27-Окт-12, 18:03 
>> приветствую
>> если я возьму в оборот переменную $ip = $ENV{'REMOTE_ADDR'};
>> и не проверю, то могут ли мне подсунуть некий код вместо IP,
>> который вскроет скрипт?
> в общем случае - нет.

меня интересуют все случаи

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "IP-спуфинг - вопрос по безопасности"  +/
Сообщение от Etch on 28-Окт-12, 06:51 
Это значение формирует апач (или что там у вас) из данных tcp/ip стека ОС, если вы им обоим доверяете, то проверять смысла нет, а если не доверяете, то ваш скрипт и так в опасности. Только имейте ввиду, что там может оказаться как IPv4, так и IPv6, так что проверять всё-равно наверное понадобится...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "IP-спуфинг - вопрос по безопасности"  +/
Сообщение от greenwar (ok) on 28-Окт-12, 11:33 
> Это значение формирует апач (или что там у вас) из данных tcp/ip
> стека ОС, если вы им обоим доверяете, то проверять смысла нет,
> а если не доверяете, то ваш скрипт и так в опасности.
> Только имейте ввиду, что там может оказаться как IPv4, так и
> IPv6, так что проверять всё-равно наверное понадобится...

так "нет смысла" или "понадобится" ?
почему понадобится то?

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "IP-спуфинг - вопрос по безопасности"  +/
Сообщение от Etch on 28-Окт-12, 17:05 
> так "нет смысла" или "понадобится" ?
> почему понадобится то?

Зависит от того, что вы делаете потом с этим адресом. Если просто складываете в базу в текстовом виде, то проверять не надо - надо только размер поля в базе увеличить до такого, чтобы весь IPv6 в него помещался. А если ещё какие-то манипуляции с ним производите (или храните в базе не в текстовом формате), то тут вам виднее надо ли его проверять и как именно.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "IP-спуфинг - вопрос по безопасности"  +/
Сообщение от greenwar (ok) on 28-Окт-12, 17:12 
>> так "нет смысла" или "понадобится" ?
>> почему понадобится то?
> Зависит от того, что вы делаете потом с этим адресом. Если просто
> складываете в базу в текстовом виде, то проверять не надо -
> надо только размер поля в базе увеличить до такого, чтобы весь
> IPv6 в него помещался. А если ещё какие-то манипуляции с ним
> производите (или храните в базе не в текстовом формате), то тут
> вам виднее надо ли его проверять и как именно.

вообще-то вопрос был: могут ли мне подсунуть опасный код вместо IP?
как я могу быть уверен, что там текстовый вид, без проверки?
а "складывать в базу", что-либо, без проверок это вообще ахтунг.
проверку я делаю строгую, но простую
ipv4 должен выглядеть, как (1-3 цифры, точка) повторить 3 раза и ещё раз 1-3 цифры
у меня вопрос возник: - а не параноик ли я?
судя по невнятным ответам, проблема таки существует.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "IP-спуфинг - вопрос по безопасности"  +/
Сообщение от GentooBoy (ok) on 02-Ноя-12, 02:38 
Немогут


Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру