Esporre l'indirizzo IP tramite i tag img

4

Come tutti sappiamo, molti forum consentono agli utenti di impostare immagini di profilo, postare immagini o inserire immagini nelle firme.

Potrebbe un utente creare un tag img che punti al proprio sito con un collegamento che nessuno potrebbe digitare (example.com/placeholder/ping/ip/holder/record.php) e registrare l'indirizzo ip di ogni cliente che ha caricato l'immagine?

C'è qualche protezione nei confronti di questo nei browser web? C'è un modo per impedirlo, tranne forzando tutte le immagini su un sito web ad essere ospitate dal sito?

    
posta Stoud 07.03.2016 - 23:46
fonte

2 risposte

1

Could a user create an img tag that points to their own site with a link that no one would type in (example.com/placeholder/ping/ip/holder/record.php) and just record the ip address of every client that loaded the picture?

Sì.

Is there any protection against this in web browsers? Is there any way to prevent this except by forcing all images on a website to be hosted by the site?

Beh, non è possibile forzare il sito Web a fare qualsiasi cosa e ospitare immagini su server diversi è una pratica standard (e se è solo un cdn).

Quello che puoi fare è impostare il browser in modo che carichi solo le immagini dal dominio originale che stai visitando. In firefox questo sarebbe ad esempio eseguito tramite permissions.default.image=3 .

Ci sono probabilmente dei plug-in per il tuo browser preferito che rendono questo un po 'più facile da gestire (ad esempio permettono il caricamento di immagini aggiuntive con la tua autorizzazione, che ti permettono di inserire alcuni URL, ecc.), ma è più una raccomandazione di prodotto e off-off argomento.

    
risposta data 08.03.2016 - 11:08
fonte
0

Il fatto è che visitando il sito Web S hosted party X ti fidati X di non sfruttare i punti deboli che esponi come risultato della visita:

  • invio del tuo IP pubblico a X
  • esecuzione di codice controllato da X (ad esempio codice JavaScript dannoso che installa malware sul tuo sistema)
  • accettare i cookie che possono essere utilizzati per tracciarti attraverso i siti web
  • X che fornisce informazioni raccolte su di te dietro le quinte (ad esempio mostrando agli utenti un elenco di IP che hanno visitato i loro profili)
  • e così via ...

La migliore contromisura che si può prendere contro questo è usare TOR e una VPN. Il rischio rimane e non si vuole che il suo IP sia esposto a lui / lei dovrebbe evitare di usare l'intenet.

-È possibile disabilitare tutte le immagini. Ciò, tuttavia, non impedisce agli aggressori di inviare richieste HTTP ai loro server (ad esempio tramite richieste XHR XSSed). Se vuoi nascondere il tuo IP, usa TOR e / o un VPN .-

    
risposta data 08.03.2016 - 00:49
fonte

Leggi altre domande sui tag