Wie kann ich sicher bekommen die user die echte IP-Adresse im Kolben (mit mod_wsgi)?

Habe ich ein Fläschchen app-setup auf mod_wsgi/Apache und benötigen für die Anmeldung die IP-Adresse des Nutzers. Anfrage.remote_addr gibt "127.0.0.1" und dieses Update zu beheben versucht, aber ich habe festgestellt, dass Django entfernt ähnlichen code aus Sicherheitsgründen.

Gibt es einen besseren Weg, um sicher bekommen die user echte IP-Adresse?

EDIT: Vielleicht bin ich etwas fehlt offensichtlich. Ich bewarb mich werkzeug s/Flask beheben, aber es scheint nicht, einen Unterschied zu machen, wenn ich versuche, eine Anfrage mit veränderten Header:

run.py:

    from werkzeug.contrib.fixers import ProxyFix
    app.wsgi_app = ProxyFix(app.wsgi_app)
    app.run()

view.py:

for ip in request.access_route:
        print ip # prints "1.2.3.4" and "my.ip.address"

Das gleiche Ergebnis passiert, wenn ich die ProxyFix aktiviert ist oder nicht. Ich fühle mich wie ich bin etwas fehlt ganz offensichtlich

InformationsquelleAutor Brent | 2014-04-04
  1. 25

    Können Sie die - Anfrage.access_route - Attribut nur, wenn Sie definieren eine Liste von vertrauenswürdigen proxies.

    Den access_route Attribut die X-Forwarded-For - header, fällt zurück auf die REMOTE_ADDR WSGI-variable; letzteres ist in Ordnung, da dein server bestimmt; die X-Forwarded-For könnte haben gerade über jedermann, aber wenn Sie Vertrauen, einen proxy, um den Wert korrekt, dann verwenden Sie das erste (vom Ende), das ist nicht trusted:

    trusted_proxies = {'127.0.0.1'}  # define your own set
route = request.access_route + [request.remote_addr]

remote_addr = next((addr for addr in reversed(route) 
                    if addr not in trusted_proxies), request.remote_addr)

    Diese Weise, selbst wenn jemand fälscht die X-Forwarded-For header mit fake_ip1,fake_ip2 ist, dass der proxy-server hinzufügen ,spoof_machine_ip zu Ende, und der obige code setzt die remote_addr zu spoof_machine_ip, egal, wie viele Vertrauenswürdige Proxys gibt es zusätzlich zu Ihrem äußersten proxy.

    Dies ist der whitelist-Ansatz Ihrem verlinkten Artikel spricht über (kurz, in Rails verwendet es), und was Zope implementiert über 11 Jahren.

    Ihre ProxyFix Ansatz funktioniert ganz gut, aber Sie missverstanden, was es tut. Es nur setzt request.remote_addr; die request.access_route Attribut ist unverändert (die X-Forwarded-For header ist nicht eingestellt werden, indem die middleware). Jedoch, wäre ich sehr vorsichtig mit blind-zählen-aus-proxies.

    Anwendung der gleichen whitelist-Ansatz an die middleware würde wie folgt Aussehen:

    class WhitelistRemoteAddrFix(object):
    """This middleware can be applied to add HTTP proxy support to an
    application that was not designed with HTTP proxies in mind.  It
    only sets `REMOTE_ADDR` from `X-Forwarded` headers.

    Tests proxies against a set of trusted proxies.

    The original value of `REMOTE_ADDR` is stored in the WSGI environment
    as `werkzeug.whitelist_remoteaddr_fix.orig_remote_addr`.

    :param app: the WSGI application
    :param trusted_proxies: a set or sequence of proxy ip addresses that can be trusted.
    """

    def __init__(self, app, trusted_proxies=()):
        self.app = app
        self.trusted_proxies = frozenset(trusted_proxies)

    def get_remote_addr(self, remote_addr, forwarded_for):
        """Selects the new remote addr from the given list of ips in
        X-Forwarded-For.  Picks first non-trusted ip address.
        """

        if remote_addr in self.trusted_proxies:
            return next((ip for ip in reversed(forwarded_for)
                         if ip not in self.trusted_proxies),
                        remote_addr)

    def __call__(self, environ, start_response):
        getter = environ.get
        remote_addr = getter('REMOTE_ADDR')
        forwarded_for = getter('HTTP_X_FORWARDED_FOR', '').split(',')
        environ.update({
            'werkzeug.whitelist_remoteaddr_fix.orig_remote_addr': remote_addr,
        })
        forwarded_for = [x for x in [x.strip() for x in forwarded_for] if x]
        remote_addr = self.get_remote_addr(remote_addr, forwarded_for)
        if remote_addr is not None:
            environ['REMOTE_ADDR'] = remote_addr
        return self.app(environ, start_response)

    Explizit: dieser middleware auch nur setzt request.remote_addr; request.access_route bleibt unberührt.

    • Ich denke, ich bin einfach verwirrt warum der so genannten "ProxyFix" nicht das Problem beheben. Sollte ich mir die Mühe mit dem ProxyFix?
    • thx nochmal Martijn!
    InformationsquelleAutor Martijn Pieters
  2. 1

    Aus, dass Artikel, es klingt wie die Frage der Sicherheit ist das Vertrauen in die ersten Wert der X-Forwarding-For header. Sie können das umzusetzen, was der Artikel schlägt vor, in der "mein Versuch eine bessere Lösung" - Abschnitt zu überwinden, dieses potential security Problem. Eine Bibliothek, die ich verwendet habe, in django mit Erfolg django-ipware. Trace durch seine Umsetzung zu Rollen Sie Ihre eigenen für die Flasche (Sie können sehen, dass es ähnlich zu dem, was, der Artikel suggeriert):

    https://github.com/un33k/django-ipware/blob/master/ipware/ip.py#L7

    • Ich habe das Update von Werkzeug, aber es scheint nicht zu haben keine Wirkung. Bitte siehe mein edit #2
    • Dies wird ein whitelist-Ansatz auch, wenn auch eine, die nur ermöglicht die private Netzwerk-ip-Adressen.
    InformationsquelleAutor Sohan Jain
  3. -3

    Können Sie nicht sicher, denn das kann man nicht Vertrauen, alle Teile, die in einer http - (oder tcp -) Verbindung

    • Sie können darauf Vertrauen Ihre eigenen server, um die ip-Adresse der remote-Verbindung korrekt. Sie können wählen, um Vertrauen zu bestimmten remote-verbindungen, die Wahrheit zu sagen. Kombiniert mit einer whitelist, können Sie bauen eine Kette des Vertrauens.
    • Und was über ip-spoofing oder bösartige proxies.?
    • IP-spoofing in einem TCP/IP-Verbindung erfordert, dass Sie schnuppern können die Pakete; z.B. kann man die auch abfangen, was auch immer rauf und runter geht, schon. Bösartige proxies sollten nicht Hinzugefügt werden, um Ihre Liste vertrauenswürdiger, duh.
    InformationsquelleAutor pbacterio
Schreibe einen Kommentar