Esporre l'indirizzo IP tramite i tag img

Could a user create an img tag that points to their own site with a link that no one would type in (example.com/placeholder/ping/ip/holder/record.php) and just record the ip address of every client that loaded the picture?

Sì.

Is there any protection against this in web browsers? Is there any way to prevent this except by forcing all images on a website to be hosted by the site?

Beh, non è possibile forzare il sito Web a fare qualsiasi cosa e ospitare immagini su server diversi è una pratica standard (e se è solo un cdn).

Quello che puoi fare è impostare il browser in modo che carichi solo le immagini dal dominio originale che stai visitando. In firefox questo sarebbe ad esempio eseguito tramite permissions.default.image=3 .

Ci sono probabilmente dei plug-in per il tuo browser preferito che rendono questo un po 'più facile da gestire (ad esempio permettono il caricamento di immagini aggiuntive con la tua autorizzazione, che ti permettono di inserire alcuni URL, ecc.), ma è più una raccomandazione di prodotto e off-off argomento.

Il fatto è che visitando il sito Web S hosted party X ti fidati X di non sfruttare i punti deboli che esponi come risultato della visita:

• invio del tuo IP pubblico a X
• esecuzione di codice controllato da X (ad esempio codice JavaScript dannoso che installa malware sul tuo sistema)
• accettare i cookie che possono essere utilizzati per tracciarti attraverso i siti web
• X che fornisce informazioni raccolte su di te dietro le quinte (ad esempio mostrando agli utenti un elenco di IP che hanno visitato i loro profili)
• e così via ...

La migliore contromisura che si può prendere contro questo è usare TOR e una VPN. Il rischio rimane e non si vuole che il suo IP sia esposto a lui / lei dovrebbe evitare di usare l'intenet.

-È possibile disabilitare tutte le immagini. Ciò, tuttavia, non impedisce agli aggressori di inviare richieste HTTP ai loro server (ad esempio tramite richieste XHR XSSed). Se vuoi nascondere il tuo IP, usa TOR e / o un VPN .-