Tweet
Não sei quanto a vocês, mas eu costumo ler determinados arquivos (como includes principais com nomes sugestivos) dos sites em que obtenho acesso. Já consegui diversas funções interessantes e também muitas dicas que só se aprende com anos e mais anos na programação (além de garantir boas horas de humor lendo alguns comentários nos códigos kkk).
Mas uma coisa me preocupou: posso afirmar que a cada 10 sites, cerca de 7 estão utilizando uma forma de obter o IP do visitante extremamente falha e perigosa, mas que está virando moda. Entre no Google e busque por "php obter ip" para ver como isto é preocupante. Com minha péssima internet, apenas com 5 primeiros resultados da primeira página carregados (por causa da incrível velocidade do "Vivo 3G"), cliquei em um link aleatoriamente e vi Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar..., de um autor que eu conheci no Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar.... Veja um Ctrl C + Ctrl V da parte que nos interessa do código:
Isto é extremamente perigoso. Ele busca por chaves no vetor $_SERVER, inclusive o HTTP_X_FOWARDED_FOR, muito utilizado por webproxies para enviar seu verdadeiro endereço IP.
Isto que vou mostrar não é bem a melhor forma para ocultar seu IP, já que o Apache guarda logs de acesso utilizando o mesmo endereço IP enviado na chave 'REMOTE_ADDR' do vetor $_SERVER (o IP do usuário que conectou-se à página). Mas alguns tem preguiça de ler logs de acesso (já que são enormes e muito pesados) e preferem criar um segundo log, geralmente em uma tabela MySQL, e ainda poderem usar esses dados para estatísticas.
É algo extremamente simples: vamos precisar alterar este header HTTP_X_FOWARDED_FOR para outro endereço IP qualquer.
Estou utilizando Mozilla Firefox com o complemento Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar....
Abra sua janela principal e na aba padrão ("Headers"), preencha os campos:
Select action: Add
Header name: HTTP_X_FOWARDED_FOR
Header value: (insira um IP qualquer, porém válido aqui)
Clique no botão Add e, em seguida, no botão Start, no canto superior esquerdo. Clique no botão Ok no canto inferior direito.
Agora será enviado aos websites que você visitar este header, e os que utilizam este método de obter endereço IP serão enganados.
Note que você dificilmente vai saber que website está utilizando este esquema (e se é que utiliza), com raríssimas excessões (alguns painéis de login exibem seu endereço IP para fins de intimidação).
Este artigo é mais para mostrar como proteções muito utilizadas podem falhar, e devem ser estudadas a fundo antes de serem utilizadas e aplicadas.
Realmente com a existência de proxies, obter o endereço IP do visitante se tornou uma tarefa complicada. Eu ainda opto por usar sempre o $_SERVER['REMOTE_ADDR'], mas se você sentir que deve guardar outros HTTP Headers, pode ser melhor registrar todos eles (remote_addr, http_x_fowarded_for e http_client_ip).
Até mais!
Mas uma coisa me preocupou: posso afirmar que a cada 10 sites, cerca de 7 estão utilizando uma forma de obter o IP do visitante extremamente falha e perigosa, mas que está virando moda. Entre no Google e busque por "php obter ip" para ver como isto é preocupante. Com minha péssima internet, apenas com 5 primeiros resultados da primeira página carregados (por causa da incrível velocidade do "Vivo 3G"), cliquei em um link aleatoriamente e vi Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar..., de um autor que eu conheci no Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar.... Veja um Ctrl C + Ctrl V da parte que nos interessa do código:
Código PHP:
if (array_key_exists('HTTP_CLIENT_IP', $_SERVER)) {
$ip = trim($_SERVER['HTTP_CLIENT_IP']);
if (validar_ip($ip)) {
$ip_real = $ip;
return $ip;
}
}
if (array_key_exists('HTTP_X_FORWARDED_FOR', $_SERVER)) {
$ip = trim($_SERVER['HTTP_X_FORWARDED_FOR']);
if (validar_ip($ip)) {
$ip_real = $ip;
return $ip;
} elseif (strpos($ip, ',') !== false) {
$ips = explode(',', $ip);
foreach ($ips as $ip) {
$ip = trim($ip);
if (validar_ip($ip)) {
$ip_real = $ip;
return $ip;
}
}
}
Isto que vou mostrar não é bem a melhor forma para ocultar seu IP, já que o Apache guarda logs de acesso utilizando o mesmo endereço IP enviado na chave 'REMOTE_ADDR' do vetor $_SERVER (o IP do usuário que conectou-se à página). Mas alguns tem preguiça de ler logs de acesso (já que são enormes e muito pesados) e preferem criar um segundo log, geralmente em uma tabela MySQL, e ainda poderem usar esses dados para estatísticas.
É algo extremamente simples: vamos precisar alterar este header HTTP_X_FOWARDED_FOR para outro endereço IP qualquer.
Estou utilizando Mozilla Firefox com o complemento Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar....
Abra sua janela principal e na aba padrão ("Headers"), preencha os campos:
Select action: Add
Header name: HTTP_X_FOWARDED_FOR
Header value: (insira um IP qualquer, porém válido aqui)
Clique no botão Add e, em seguida, no botão Start, no canto superior esquerdo. Clique no botão Ok no canto inferior direito.
Agora será enviado aos websites que você visitar este header, e os que utilizam este método de obter endereço IP serão enganados.
Note que você dificilmente vai saber que website está utilizando este esquema (e se é que utiliza), com raríssimas excessões (alguns painéis de login exibem seu endereço IP para fins de intimidação).
Este artigo é mais para mostrar como proteções muito utilizadas podem falhar, e devem ser estudadas a fundo antes de serem utilizadas e aplicadas.
Realmente com a existência de proxies, obter o endereço IP do visitante se tornou uma tarefa complicada. Eu ainda opto por usar sempre o $_SERVER['REMOTE_ADDR'], mas se você sentir que deve guardar outros HTTP Headers, pode ser melhor registrar todos eles (remote_addr, http_x_fowarded_for e http_client_ip).
Até mais!
Comment