What are the security implications of allowing 127.0.0.1 access to the internet?
Nessuno. Per decenni 127.0.0.0/8 è stato definito come utilizzabile solo all'interno dell'host. Non è un indirizzo IP valido per qualsiasi utilizzo in qualsiasi luogo su qualsiasi rete.
RFC 5735 dice questo sulla gamma:
127.0.0.0/8 - This block is assigned for use as the Internet host
loopback address. A datagram sent by a higher-level protocol to an
address anywhere within this block loops back inside the host. This
is ordinarily implemented using only 127.0.0.1/32 for loopback. As
described in [RFC1122], Section 3.2.1.3, addresses within the entire
127.0.0.0/8 block do not legitimately appear on any network anywhere.
Il riferimento da RFC 1122 è ancora più esplicito:
(g) { 127, <any> }
Internal host loopback address. Addresses of this form
MUST NOT appear outside a host.
RFC 1122 ha ora più di 29 anni. Ogni corretta implementazione dell'IP in qualsiasi router o appliance che fronteggia Internet seguirà questo comportamento.
L'unico modo in cui i pacchetti indirizzati a questo IP possono spostarsi in una rete è se l'implementazione del protocollo IP è stata gravemente danneggiata in primo luogo.
Any idea why an app would be dependent on this type of configuration (I am not a developer)?
Non ci sono considerazioni valide per questa configurazione. Nessuna. Zero. Zilch. Né dovresti considerare di apportare modifiche alla configurazione per consentire tale traffico.
Se lo sviluppatore dell'applicazione ti sta dicendo di farlo, allora (a) non sanno di cosa stanno parlando o (b) stanno cercando di fare qualcosa di così gravemente rotto da provarlo (a).
L'unico utilizzo per l'invio del traffico a 127.0.0.1 è se il traffico viene inviato a un'applicazione oa un servizio in esecuzione sull'host stesso (ad esempio un server proxy ospitato localmente, tunnel di qualsiasi varietà, ecc.). Tale applicazione o servizio può elaborare il traffico e provare a inviarlo ad un'altra destinazione, ma se sta cercando di inviare il traffico per un altro host a 127.0.0.1, allora è rotto. Periodo.