Header - RemoteHost faken?

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Header - RemoteHost faken?

    Hallo,
    Ich frage in index.php ab, ob der Besucher (bspw.) die IP-Addresse 127.0.0.1 (REMOTE_ADDR) hat. hat er die nicht, dann soll die() aufgerufen werden und die Skriptausführung somit beendet werden.
    Ist es möglich die die REMOTE_ADDR zu manipulieren?
    Danke!

  • #2
    Re: Header - RemoteHost faken?

    Was soll denn so'n Käse schon wieder?

    Konfiguriere doch einfach deinen Webserver so, dass er keine Anfragen von außerhalb zulässt ...
    I don't believe in rebirth. Actually, I never did in my whole lives.

    Kommentar


    • #3
      macht sich blöd, wenn man keine rechte hat.

      Kommentar


      • #4
        Wenn du Scripte über 127.0.0.1 aufrufen willst, nehme ich an, dass du selber vor der Kiste sitzt - wieso hast du dann keine Rechte?
        I don't believe in rebirth. Actually, I never did in my whole lives.

        Kommentar


        • #5
          REMOTE_ADDR übernimmt PHP über die Webserver-API, der wiederum vom TCP/IP-Stack als die Adresse vom "anderen Ende des Sockets".
          Das nur zur Verwirrung ...

          Kann man sie fälschen?
          Ja, siehe http://www.securityfocus.com/infocus/1674.

          Solltest du dich nun darauf verlassen?
          Wenn du da das Intranet einer Bank schützen willst, ist der Vergleich REMOTE_ADDR == 127.0.0.1 absolut ungenügend.
          Bei weniger sicherheitskritischen Anwendungen würde ich mich ganz locker auf diesen Vergleich einlassen, denn ein Webserver wird viel eher als ganzes übernommen und das entsprechende if entfernt.
          Zuletzt geändert von wahsaga; 11.06.2006, 12:57.

          Kommentar


          • #6
            Original geschrieben von onemorenerd
            REMOTE_ADDR übernimmt PHP über die Webserver-API, der wiederum vom TCP/IP-Stack als die Adresse vom "anderen Ende des Sockets".
            Das nur zur Verwirrung ...

            Kann man sie fälschen?
            Ja, siehe http://www.securityfocus.com/infocus/1674.

            Solltest du dich nun darauf verlassen?
            Wenn du da das Intranet einer Bank schützen willst, ist der Vergleich REMOTE_ADDR == 127.0.0.1 absolut ungenügend.
            Bei weniger sicherheitskritischen Anwendungen würde ich mich ganz locker auf diesen Vergleich einlassen, denn ein Webserver wird viel eher als ganzes übernommen und das entsprechende if entfernt.
            danke, genau das habe ich gesucht!!

            @wahsaga, ich schrieb' oben aber " (bspw.) localhost". das war nur ein Bespiel. zugegeben ein ziemlich blödes.

            Kommentar

            Lädt...
            X