はてなブックマーク - へぼへぼCTO日記 - CakePHPのgetClientIPを使っていいのは小学生までだよねー

へぼへぼCTO日記 - CakePHPのgetClientIPを使っていいのは小学生までだよねー

www.geminium.com

タグ : cakephp security php セキュリティ脆弱性携帯電話 IPアドレスネタ HTTP Web

コンピュータ・IT 51 users

PHPで開発をすることが多くなりPerlの良さを再確認している今日この頃ですが皆さんいかがお過ごしでしょうか。さて、今日は今もっともナウい PHPのWeb アプリケーションフレームワークであるCakePHPのお話を一つ。 CakePHPには組み込みコンポーネントとしてリクエストハンドラ(RequestHandler)が備わっています。リクエストハンドリング :: 組み込みのコンポーネント :: マニュアル :: 1.2 Collection :: The Cookbook: このRequestHandle... > このページを見る

最終更新時間: 2008年12月03日05時46分

▼ブログで紹介する

みんなのブックマーク人気（0）新着

naoto5959 php, CakePHP, security
なるへ 2009/10/07
tell-k IPアドレス, PHP
『ここで一度整理しておきたいが、phpで取得できる$_SERVER['REMOTE_ADDR']はwebサーバに実際に接続してきたtcp/ipにおける送信元アドレスであり、3ウェイ・ハンドシェイクにより検証されている信頼性の高い送信元IPアドレスとい 2009/02/24
innx_hidenori php
クライアントIPアドレス 2008/12/24
hnw ネタ
だがちょっと待ってほしい。CakePHPは内部ネットワークにproxyがあるような環境でこそ使ってほしいというメッセージなのかもしれない。Webサーバ1台の環境でサービスを提供していいのは小学生までだよねー。 2008/12/13
todesking hack
CakePHPアプリ,HTTPヘッダでIP偽装 2008/12/10
mi1kman CakePHP, 携帯電話, ケータイWeb, セキュリティ, 脆弱性, HTTP
CakePHPのgetClientIPはIP Spoofingが可能なため、ケータイWebなどで接続元IPアドレスを認証要素にしている場合などに危険 2008/12/05
oooooooo php, security
へぼへぼ CTO 「ちなみにこの件はCakePHP開発側に伝えるべきなのだろうか。しかしこれだけ確信的にコードに書かれていると「仕様です」という感じがしないでもない。」 2008/12/04
redgasuki cakephp, security
getClientIPだと、うまくIPアドレスが取れないことがあって使ってなかった（$_SERVER['REMOTE_ADDR']を見てた）けど、ソース見てなかった。反省。 2008/12/04
studio-m php
CakePHPのgetClientIPに任意のIPを注入できる 2008/12/03
YasSo CakePHP, HTTP, security
「getClientIPには任意のIPアドレスを注入できる」「httpリクエストヘッダに記述されるX-FORWARDED-FORの値は、webサーバにとってはまったく検証を経ていない信頼性の低いアドレス」 2008/12/03
riaf
CakePHP を使っていいのは小学生までなので、全く問題がない。 2008/12/03
hurvinek *セキュリティ
X-FORWARDED-FORは信用しないこと．でもこういう実装は他のWebアプリにもありそう． 2008/12/03
HiromitsuTakagi セキュリティ, 脆弱性, IPアドレス帯域制限, 携帯電話
「getClientIPには任意のIPアドレスを注入できる」「X-FORWARDED-FORの値」「CakePHPでモバイルサイトを構築されている方はこの件を確認して」「個体識別番号認証でのIPアドレスチェック」 2008/12/03
akiyan CakePHP
これはあぶない。ちなみに実際のコードでは$_SERVER['REMOTE_ADDR']はenv('REMOTE_ADDR')かな。 2008/12/03