Diciamo che blocco il mio sito tramite .htaccess e dico
DENY FROM ALL
ALLOW FROM myip
quanto è richiesto agli hacker di falsificare semplicemente il loro indirizzo IP per abbinare qualunque cosa sia e ottenere l'accesso?
Per questo, il .htaccess è abbastanza sicuro da bloccare specifici file / directory?
Ricordare che il protocollo TCP / IP richiede la comunicazione bidirezionale. Sì, qualcuno può falsificare un IP (con difficoltà), ma così facendo, interrompe la possibilità di ricevere risposte.
Lo spoofing di un IP di solito è più adatto a scenari di tipo "fire-an-forget" come DDoS.
Come altri hanno già spiegato, è molto improbabile che un utente malintenzionato sia in grado di eseguire lo spoofing TCP attivo del tuo indirizzo IP. È più probabile che tu faccia un errore comune nella tua protezione . Molte esercitazioni utilizzano il seguente esempio di come configurare l'accesso limitato: %codice% Se dovessi utilizzare questo tipo di protezione, un utente malintenzionato potrebbe utilizzare verbi come GETS anziché GET e ignorare la direttiva.
Questo è quasi irrealizzabile a causa di diversi fattori:
Poiché TCP / IP utilizza l'handshake a tre vie, è molto difficile avviare un utente malintenzionato e mantenere una connessione TCP utilizzabile per un periodo di tempo sufficiente a estrarre informazioni utili dalla pagina.
Lo spoofing dell'indirizzo sorgente invierà la risposta all'IP spoofato, non l'IP dell'utente malintenzionato. Non vedrà nessuno dei pacchetti a meno che non abbia accesso a un host tra il tuo server e l'indirizzo falsificato.
Deve conoscere tutti gli IP consentiti dal tuo .htaccess . È improbabile che ciò accada, perché se può leggere .htaccess , può leggere tutti gli altri file.
Esistono altri modi per leggere quei dati, come attaccare e compromettere il tuo server, attaccare il tuo computer e installare malware, sfruttare una vulnerabilità Local or Remote File Include o indurti a fornire le credenziali.
Leggi altre domande sui tag web-application file-access