kankrelune

Elle pose un problème. Elle teste si l'IP existe, dans tous les cas. Mais bon nombre de serveurs sont configurés pour dire par défaut que les variables existent.. De plus, ce n'est pas parce que "$_SERVER['REMOTE_ADDR']" existe que c'est une adresse IP.

La fonction, pour éviter tout problème, devrait tester plutôt si l'IP renvoyée est bien une IP, autrement dit, si elle correspond au schéma

xxx.xxx.xxx.xxx Dans ce cas là, il n'y aurait pas de doute.

Mais récupérer une IP telle que

$_SERVER['REMOTE_ADDR'] = "toto";

ca n'a aucun sens

et pourtant, ca peut être le cas de ta fonction

<{POST_SNAPBACK}>

Oui qui plus est le $_SERVER['HTTP_X_FORWARDED_FOR'] est peu fiable car il peu facilement être modifié via l'entête http... .. .

pour vérifier l'addresse un...

 if (!preg_match("/[0-9]{1,3}+\.[0-9]{1,3}+\.[0-9]{1,3}+\.[0-9]{1,3}/i", $ip)) {
 l'IP est invalide
} else {
 l'IP est valide
}

Devrait suffire... j'ais pas testé mais normalement ça marchera... .. .

@ tchaOo°

Salut,

On est d'accord. Le hacker peut, de cette façon, nuire au système qu'il vise en le surchargeant par exemple, mais, par contre, il est impossible ainsi de passer une commande bidon sur un système un peu sécurisé.

Si ça doit être possible... mais ce n'est pas à la portée de tout le monde... .. .

En informatique tout est possible

Pas du tout. En informatique, 1=1 et 0=0. Même la génération de nombres aléatoires n'est pas aléatoire. Elle en a seulement l'apparence.

Je ne vois pas le rapport... concernant la sécurité tout est possible... à faire ou à défaire... .. .

@ tchaOo°

Peux-tu expliquer comment on peut :

- ne pas donner d'adresse IP correcte

Salut Jean Luc...

Le spoofing est une technique permettant à un pirate d'envoyer à une machine des paquets semblant provenir d'une adresse IP autre que celle de sa machine... attention je ne parle pas de passer par un proxi... rien à voir... en fait cela consiste à modifier le champ source de l'en-tête TCP afin de simuler un datagramme provenant d'une autre adresse IP... .. .

- en même temps, recevoir les réponses du serveur

Dans le cadre d'une attaque par spoofing, l'attaquant n'a aucune information car les réponses de la machine cible vont vers une autre machine du réseau (on parle alors d'attaque à l'aveugle ou blind attack)... cela n'empeche cependant pas le pirate de pouvoir accomplir ses basses oeuvres... .. .

Le spoofing est assez difficile à mettre en place et demande un certain niveau de connaissances du hacking mais c'est faisable et bien plus répandu qu'on ne peut le croire... il y a aussi la possibilité d'attaquer via une machine infectée par un trojan qui agira comme une passerelle proxi... à ce moment là pareil pas de trace de l'adresse IP de l'attaquant (réel)... .. .

Tout ça pour dire que bien que ces attaques ne soient pas à la portée de tout le monde comme le dit Antoine Cailliau...

En informatique tout est possible. Surtout quand il faut ne pas êter identifié. Mais bon, c'est de la bidouille de hacker

@ tchaOo°

Je ne vois pas comment il est possible de ne pas donner d'adresse IP et en même temps de recevoir des informations d'un serveur web. Cela me semble impossible.

Uhm... et vous faites quoi du spoofing d'IP... .. ?

Par contre on est d'accord que si l'adresse est indéfinit ou fausse il y a anguille sous roche... .. .

je veux croire encore en la bonne moralité des gens

Croire que "tout le monde il est beau, tout le monde il est gentil" avec internet c'est s'exposer à bien des ""dangers"'" surtout concernant une boutique en ligne... .. .

@ tchaOo°