Sta mostrando il tuo indirizzo IP nell'URL come una cattiva pratica?

18

Qualcuno mi ha detto che mostrare il tuo indirizzo IP in un URL (come http://192.0.2.34/default.html ) è più facile da hackerare. È vero? Potrei tracciare qualsiasi nome di dominio e ottenere il suo numero IP.

    
posta Delmonte 09.05.2013 - 16:32
fonte

6 risposte

45

Più facile da hackerare? No. Più facile da fare? Potenzialmente. L'utilizzo di un indirizzo IP anziché di un nome host con una voce DNS significa che stai abbandonando uno strato di flessibilità di routing che può essere molto utile.

Ad esempio, se il malware indirizza il tuo indirizzo IP in un attacco DoS, se stai usando un nome di dominio, cambi l'indirizzo IP del sito e nel record DNS e l'attacco è finito senza che gli utenti conoscano il differenza. Tuttavia, se i tuoi utenti stanno facendo richieste direttamente al tuo IP, questa non è un'opzione. Sei legato a quell'IP a meno che tu non voglia disturbare (e possibilmente perdere) i tuoi utenti lungo la strada.

    
risposta data 09.05.2013 - 16:41
fonte
17

In genere se il tuo sito è accessibile come http://1.2.3.4/ che implicherebbe che non impone alcuna limitazione sull'intestazione Host: . Ciò significherebbe che potresti accedervi non solo tramite l'indirizzo IP, ma qualsiasi nomehost che è successo a risolvere a quell'indirizzo - incluso un dominio registrato da un utente malintenzionato e puntato verso di esso.

Questo apre gli attacchi DNS rebinding , in cui un utente malintenzionato aggira la politica Same-Origin passando l'indirizzo IP di un nome host tra il proprio server e il tuo, e cookie attacca dove puntano attacker.com al tuo servizio e poi sub.attacker.com al loro, permettendo al cookie di essere letto dal sottodominio.

Abbastanza quanto di un rischio dipendono dal design e dallo scopo della tua applicazione. È più probabile che sia sfruttabile in applicazioni non pubbliche, in cui si dispone di un'autorizzazione implicita basata su un intervallo di indirizzi IP privati o SSO (Windows auth et al); in tal caso un'applicazione potrebbe produrre dati sensibili senza l'interazione dell'utente e tali dati potrebbero diventare visibili a tale utente malintenzionato.

Senza saperlo, il percorso più sicuro consiste nel porre limitazioni su ciò che l'intestazione Host: può contenere per le richieste HTTP. Questo di solito significa configurare server virtuali basati su host e consentire solo agli hostname noti di colpire le tue app Web, nel qual caso gli hostname degli autori degli attacchi e gli accessi diretti agli indirizzi IP avrebbero colpito una pagina di errore.

Ma potresti certamente ottenere un controllo personalizzato che consentiva solo un indirizzo IP e nessun altro hostname, se lo volevi davvero - quindi no, non è l'indirizzo IP che è un problema in sé.

E / o usa semplicemente HTTPS, che offre una maggiore sicurezza stagna che stai colpendo il server giusto.

    
risposta data 09.05.2013 - 23:01
fonte
6

Contrariamente alle altre risposte, ritengo che usare indirizzi IP invece di nomi host sia una cattiva pratica per una serie di motivi. In particolare:

  1. È molto più difficile per gli utenti medi verificare che stiano parlando con il servizio corretto e non con un sito di phishing: devono ricordare un numero elevato invece di un nome.

  2. L'uso di indirizzi IP implica che non è possibile utilizzare https con un certificato valido.

  3. Gli indirizzi IP possono essere riassegnati per una serie di motivi, e non tutti sono sotto il tuo controllo. Così qualcun altro potrebbe ottenere il tuo attuale indirizzo IP.

  4. Un modo comune per gestire enormi quantità di traffico (ad esempio un attacco DDoS) consiste nel puntare la voce DNS in un'enorme rete di caching distribuita. Usando un indirizzo IP stai escludendo questa opzione efficace e relativamente economica.

risposta data 10.05.2013 - 07:11
fonte
1

L'uso dell'indirizzo IP anziché del dominio non è una cattiva pratica di sicurezza , in quanto un utente malintenzionato potrebbe ottenerlo in modo insignificante.

Un semplice comando di terminale come nslookup può controllare qualsiasi indirizzo IP risolto dal dominio specificato. Inoltre, se il dominio è connesso a un singolo indirizzo IP, ping esegue il lavoro altrettanto bene.

Dare l'indirizzo del tuo [sito web] in un modo o nell'altro non lo rende più "hackerabile", quindi potrebbe già essere.

    
risposta data 09.05.2013 - 22:24
fonte
0

Non può essere un problema di sicurezza perché tutti possono scoprire l'indirizzo IP del dominio.
per esempio guarda questo: ip-lookup

    
risposta data 09.05.2013 - 16:38
fonte
-1

Oltre alle buone ragioni che ha menzionato Bobince, c'è anche che non è possibile creare un certificato SSL / TLS correttamente attendibile per un sito che non utilizza un nome di dominio DNS. Così facendo tutti i browser che tentano di connettersi al tuo HTTPS: // la versione del tuo sito IP indirizzato si lamenta che non possono fidarsi di esso.

    
risposta data 10.05.2013 - 17:17
fonte

Leggi altre domande sui tag