Exponer la dirección IP a través de etiquetas img

  

¿Podría un usuario crear una etiqueta img que apunte a su propio sitio con un enlace que nadie escribiría (example.com/placeholder/ping/ip/holder/record.php) y simplemente registrar la dirección IP de cada cliente que cargó la foto?

Sí.

  

¿Hay alguna protección contra esto en los navegadores web? ¿Hay alguna forma de evitar esto, excepto forzando que todas las imágenes en un sitio web sean alojadas por el sitio?

Bueno, no puedes obligar al sitio web a hacer nada, y alojar imágenes en servidores diferentes es una práctica estándar (y si es solo un cdn).

Lo que puedes hacer es configurar tu navegador para que solo cargue imágenes del dominio original que estás visitando. En Firefox, por ejemplo, esto se haría a través de permissions.default.image=3 .

Es probable que haya complementos para su navegador favorito que facilitan su administración (por ejemplo, que permiten la carga de imágenes adicionales con su permiso, que le permiten agregar algunas URL a la lista blanca, etc.), pero es más una recomendación de producto y tema.

El hecho es que: al visitar la fiesta organizada por el sitio web X, usted confía X para no explotar las debilidades que expone como resultado de la visita:

• enviando su IP pública a X
• código de ejecución controlado por X (por ejemplo, JavaScript malicioso que instala malware en su sistema)
• aceptar cookies que se pueden usar para rastrearte en los sitios web
• X proporciona información que recopiló sobre usted tras bambalinas (por ejemplo, mostrando a los usuarios una lista de IP que visitaron sus perfiles)
• y así sucesivamente ...

La mejor contramedida que se puede tomar contra esto es usar TOR y una VPN. El riesgo permanece y uno no quiere que su IP esté expuesta, debe evitar el uso de la intenet.

-Puedes desactivar todas las imágenes. Eso, sin embargo, no impide que los atacantes envíen solicitudes HTTP a sus servidores (por ejemplo, a través de solicitudes XSSed XHR). Si desea ocultar su IP, use TOR y / o una VPN.-