Hiroaki Sakuma
sakum****@medic*****
2011年 9月 2日 (金) 14:28:24 JST
はじめまして 件の問題は,先日 twitter で kenji さんにもコメントしましたが, >> HTTP_CLIENT_IPについては、(悪意のないケースで)プロキシ経由の場合に正しいIPをとりたいという意図なのかな?と思いました。 > > このヘッダを送るプロキシなどってどんなのがあるんでしょうね? Apache の mod_proxy や mod_rewrite ならカンタンに設定できます 自分がプロキシ配下にあるか否か,ということをアプリケーションが信用できる情報として知る方法は無いと思います.リバースプロキシとは違いますが,NAPT環境下からつないでくるユーザは,プロキシ配下からアクセスしているのと同じようなものです HTTP_* の環境変数は,クライアントが自由に仕込めるので信用できない,しかし汎用的で,プロキシサーバのみから情報を渡せる方法は… > 仕様とするか、脆弱性とするかは人によって考え方が違ってくる気がしますが、 > もしも仕様とするのであれば、ユーザーガイドのip_address()の説明のところに補足が必須かと思いました。 先般のコメントを見て,脆弱性と受け取りました -- Hiroaki Sakuma <sakum****@medic*****> Medical Systems, Inc. 14-16 Nakata 2, Chikusa, Nagoya 4640074
