насколько безопасно использование?


может ли злоумышленник подменить ip в реквесте?
на сервере список ip динамический, хитрым способом от админов получаю

Konst_Oneэто ip-адрес от клиента приходит и не факт , что он правильный и может и не быть его вообще. юзать можно, подменить может в хэдере кто угодно
изучаю
https://stackoverflow.com/questions/5092563/how-to-fake-serverremote-addr-variable

The remote address is not something added out of courtesy, it's used in the IP protocol to route packages, so if you send a package with a fake address, you will not receive a response, and since you're talking about a HTTP request, which is delivered over a TCP connection, which takes several IP packets (and the matching responses) to set up:

No, that's impossible (except of course by actually sending the request from the same host via the loopback interface).

получается подменить можно, но ответ не придет
ну тогда и смысла хакать нет

Petro123,

Я знаю ip своих серверов

Petro123listtoviewPetro123,

Я знаю ip своих серверовесли интранет, тогда другое дело.
Интернет

Petro123listtoview,
Интернет, это входит любой с планеты. Тогда не понял про то что ты знаешь свои сервера.
мы торчим наружу по белым ip
сайт в интернете

а вот смотрите, есть CORS
он же на хидерах
значит есть хидеры которые нельзя заменить

Petro123listtoviewпропущено...

мы торчим наружу по белым ip
сайт в интернете)) это с тебя надо инфу вытягивать.
Надо подумать...
...
Есть же vpn, сертификаты...
То есть у вас не публичная сеть.
сейчас ситуация такая:
тупо белый ip
наш сайт в инете по этим хидерам разрешает творить с сайтам чудеса с наших ip
в это сложно поверить, но код не мой, честно)

я предложил коллегам такое решение:
что бы узнать что юзверь ходит из нашей сети на сайт, мы можем использовать CORS и win autentification
делаем на наш сервер JSONP во вин айтентификации, таким образом мы знаем что юзверь в домене
и следующим аяксом говорим серверу сайта, что мы работаем из нашей сети

Если хакнут CORS или сделают js инекцию, ну тогда уже позняк метаться

skyANAlisttoviewпропущено...

сейчас ситуация такая:
тупо белый ip
наш сайт в инете по этим хидерам разрешает творить с сайтам чудеса с наших ip
в это сложно поверить, но код не мой, честно)

я предложил коллегам такое решение:
что бы узнать что юзверь ходит из нашей сети на сайт, мы можем использовать CORS и win autentification
делаем на наш сервер JSONP во вин айтентификации, таким образом мы знаем что юзверь в домене
и следующим аяксом говорим серверу сайта , что мы работаем из нашей сети

Если хакнут CORS или сделают js инекцию, ну тогда уже позняк метаться
Проблема-то в чём? И при чём тут CORS?
1) https://www.sql.ru/forum/actualutils.aspx?action=gotomsg&tid=1311396&msg=21859777
2) при том что он обеспечит безопасность аутентификации(выделил жирным)
а не по хидерам

Petro123listtoview,
Тему надо перенести в раздел ASP. Там больше мемберов именно по сетевым вопросам.
Имхо тебе надо отделить взлом от аутентификации, авторизации и функционала.
Сейчас 4 вещи перемешаны.
Должны быть 4 отдельных вопроса.
Если сеть с АД, или vpn то топик с тем что там не устроило.
Если они нелегально ходят из сети предприятия на сайт А и сайт А не видит что это Сидоров, то это другой вопрос.
Имхо
ок

Petro123listtoviewпри том что он обеспечит безопасность аутентификации(выделил жирным)
а не по хидерамда делай. Не вопрос.
И делать 5 минут.
Только взломать раз плюнуть. Но дополнительная мера не ухудшит ситуацию, а плюс от начальства.

Модератор: Тема перенесена из форума "WinForms, .Net Framework".
поделись, как взломать?

skyANAlisttoviewпропущено...

1) https://www.sql.ru/forum/actualutils.aspx?action=gotomsg&tid=1311396&msg=21859777
2) при том что он обеспечит безопасность аутентификации(выделил жирным)
а не по хидерам
CORS относится к браузерам и веб приложениям. Вы там у себя в сети из одного веб приложения ходите в другое, или как?

Для интеграции, аутентификации и авторизации различных веб приложений придумали OpenID, OAuth, JWT...
спасибо
гуглю

вообще никаких ip не надо было прикручивать
для определения прав нужна авторизация.
надо переделать

получается задача следующая:
автоматическая авторизация на интернет сайте если пользователь на него заходит из внутренней сети компании
что бы не вводить логин и пароль
если из внутренней сети
гуглю про OpenID, OAuth, JWT...