私は基本的なデータ入力を伴うWebポータルを運営しています。これは非常に機密性の高いデータであるという問題があります。そして、データ入力個人の信頼性は非常に低いです。 したがって、エントリが作成されたときに私はIPの記録を実装しました。 私が直面している問題は、この人がプロキシサーバーからIPを転送し始めた場合、データの信頼性を追跡できない場合です。IP経由のWebベースのポータル認証
IPフォワーディングが起こっているかどうかを検出するには、その人の実際のIPアドレスを取得します。
できません。信頼できる方法ではありません。
リクエスト送信者のIPアドレスは100%確実です。この送信者がプロキシであるかどうかは、確実に検出することができません。それがプロキシの場合、発信元のIPアドレスを確実に取得する方法はありません(確実に)。
強力なパスワードを使用するユーザーログインを要求するか、認証メカニズムを強化します。
X-Forwarded-Forヘッダーを確認できます。ただし、匿名プロキシを使用している場合は、IPを取得することはできません。より強力なユーザー名/パスワードポリシー(パスワードの変更を頻繁に強制する)を実装する方がよい場合があります。
データ入力を行う人が彼が追跡中であることを知らないので、私はusernameパスワードを実装できません。 – user434885
参照してください。さて、私の答えの残りはあなたの状況で使用されるべきです。時々、人々は追跡することができません。 – webbiedave
@user本質的に、匿名のデータ入力フォームを開いています。その後、あなたは信頼できる方法で何もできません。 – deceze
一部のプロキシサーバーのポイントは、ユーザーの実際のIPを明らかにしないことです。ただし、一部のプロキシは「X-Forwarded-For」や「X-Real-IP」などのHTTPヘッダーを提供します。しかし、これらのヘッダーは許可されるべきでも信頼されるべきでもありません。ユーザーは偽のIPを別の場所に置くこともできます。
基本的に、IPアドレスをユーザー識別子として使用することは信頼性がありません。
ユーザーを識別する別の方法はCookieです。最も単純なケース:ユーザーIDをクッキーに格納し、それをデータとともに保管します。今や、ユーザは、クッキーを早急に流すブラウザプライバシーモードを使用することができる。
ユーザーIDを別の場所に保存している可能性があります。たとえば、evercookieを参照してください。ユーザーIDを決して失うことは決してない。しかし、もう一度、ユーザーはコンピュータを変更するだけで、あなたはそれを追跡することができないかもしれません。 100%確実にすることはできません。
はい、クッキーは非常に簡単に削除できます。 – user434885
それはいつもの人がドアに入る場所です – riha
このリンクを発見しました – user434885
このリンクを発見しました:http://roshanbh.com.np/2007/12/getting-real-ip-address-in-php.html ...それは道を与えるようです実際のIPを見つけるのです。それは合法ですか? – user434885
@userそれは偽です。それはクライアント**によって要求と共に送信されたHTTPヘッダーを見ているだけです。 **未確認のクライアント提供の**データです。 「はい、私は本当にハッカーではありません」* TCP/IPプロトコルを必要とする実際に確認されたアドレスは '$ _SERVER ['REMOTE_ADDR']'です。それはあなたが何らかの反応を送る場所です。 – deceze