Il faut être réaliste : un site codé par quelqu'un de compétent n'utilisera pas X-Forwarded-For comme information fiable. Par contre plein de sites l'utilisent oui, mais ça ne veux pas dire qu'ils ne stockent pas non plus votre vraie IP (Remote Addr).
Par exemple à mon boulot (grand site français), nous nous basons sur Remote Addr pour tout ce qui est géolocalisation etc. par contre dans les logs on stocke Remote Addr + X-Forwarded-For, bien que comme démontré, c'est très facile à forger.
Ceci dit ce IPFuck m'a donné une idée : et si les sites hébergés n'avaient pas accès à l'IP du client ?
Avec ça, le header REMOTE_ADDR et autres headers du genre sont remplacés par une adresse IP aléatoire générée à l'aide de la véritable adresse IP comme seed. Ainsi pour le code PHP en dessous, ça ne change rien au niveau logique, sauf qu'il ne peut avoir accès à la véritable IP du client. On peux imaginer le même genre de mécanisme via un module Apache d'ailleurs, et même peut-être que ça existe déjà ?
« Je vois bien à quels excès peut conduire une démocratie d'opinion débridée, je le vis tous les jours. » (Nicolas Sarkozy)
# Réalisme d'une telle mesure
Posté par BohwaZ (site web personnel, Mastodon) . En réponse à la dépêche L'unicité des adresses IP : la fin du rêve HADOPIen ?. Évalué à 3.
Par exemple à mon boulot (grand site français), nous nous basons sur Remote Addr pour tout ce qui est géolocalisation etc. par contre dans les logs on stocke Remote Addr + X-Forwarded-For, bien que comme démontré, c'est très facile à forger.
Ceci dit ce IPFuck m'a donné une idée : et si les sites hébergés n'avaient pas accès à l'IP du client ?
Voilà donc ce que j'ai fait : http://blogs.kd2.org/bohwaz/?2010/06/09/322-php-ip-utils-nor(...)
Avec ça, le header REMOTE_ADDR et autres headers du genre sont remplacés par une adresse IP aléatoire générée à l'aide de la véritable adresse IP comme seed. Ainsi pour le code PHP en dessous, ça ne change rien au niveau logique, sauf qu'il ne peut avoir accès à la véritable IP du client. On peux imaginer le même genre de mécanisme via un module Apache d'ailleurs, et même peut-être que ça existe déjà ?
« Je vois bien à quels excès peut conduire une démocratie d'opinion débridée, je le vis tous les jours. » (Nicolas Sarkozy)