Come spoofare il mio indirizzo IP su JavaScript e altri problemi di sicurezza

Naviga le tue risposte
2

Molti siti Web richiedono JavaScript. Tuttavia, abilitare JS significa che un sito Web può eseguire uno snippet JS per recuperare l'indirizzo IP dell'utente (anche se si trovano dietro un proxy o VPN).

Quindi, come posso (l'utente) inserire (spoofare) l'indirizzo IP della VPN (che ho in un file di testo) in qualsiasi JS che potrebbe essere eseguito in modo che tutto sia uguale al server web?

Modifica / aggiunta: dopo aver fatto una piccola ricerca, ho trovato questo sito link che mostra un gruppo di informazioni che il mio browser sta inviando al server web (versione del browser, ora locale, dimensione dello schermo e del browser, velocità di connessione, ecc.). Questa combo di informazioni consente all'autorità malata (ad esempio, il governo cinese) di "impronte digitali" all'utente, anche se non hanno l'indirizzo IP (perché l'utente è dietro una VPN e WebRTC è stato disabilitato). Come posso disabilitare o "pulire" queste informazioni, in modo tale che il server Web non possa identificare l'utente? È tutto da WebRCT?

Sospetto che alcune di queste informazioni provengano dalla stringa UserAgent, che suppongo che l'utente possa cambiare manualmente, ma per quanto riguarda il resto? Alcuni devono provenire da javascript, no?

    
posta iron 02.09.2015 - 06:48
fonte

3 risposte

4

So, how can I (the user) feed (spoof) the VPN IP address (which I have in a text file) to any JS that might run so that it all looks the same to the web server?

Il rilevamento degli indirizzi IP locali a cui fai riferimento dipende da WebRTC. Non c'è modo di falsificare gli indirizzi restituiti durante l'individuazione di WebRTC senza modificare il codice o la configurazione del browser o lo script utilizzato per la scoperta. Potresti

  • disattivare completamente WebRTC, utilizzando un browser che non lo supporta (come il pacchetto Tor browser) o disabilitandolo utilizzando vari metodi
  • prova a creare uno script che interferisce in qualche modo con la scoperta nel codice Javascript e riporta qualcosa di diverso. Ma questo script deve essere probabilmente adattato a vari siti.

Disabilitare semplicemente WebRTC è probabilmente molto più facile che provare a riportare valori diversi sul server.

    
risposta data 02.09.2015 - 09:26
fonte
1

However, enabling javascript now means that a website can run a snippet of javascript code to retrieve the user's ip address (even if they are behind a proxy or VPN).

In primo luogo, penso che sia quasi impossibile recuperare qualsiasi informazione utile sugli indirizzi IP tramite javascript. Penso che sia possibile tramite alcuni hackery WebRTC a ottenere l'indirizzo di rete locale , ma se javascript effettivamente lo fa a qualsiasi servizio che gli dirà il tuo IP, sarebbe già uscito dalla VPN.

Controlla questa domanda per maggiori informazioni: link

    
risposta data 02.09.2015 - 08:04
fonte
1

Non vedo un rischio per la maggior parte dei casi. Il JavaScript restituirà l'indirizzo della macchina, che è inutile se comunica dietro qualcosa come proxy, router, Wifi AP o NAT.

    
risposta data 02.09.2015 - 06:56
fonte

Leggi altre domande sui tag

Manca "Uso chiave" su un certificato CA: può firmare i certificati? Qual è il rischio di attivare NSAllowsArbitraryLoads ma il blocco dei certificati attivato