Digamos que cierro mi sitio a través de .htaccess y digo
DENY FROM ALL
ALLOW FROM myip
¿Qué tan involucrado está para que un pirata informático simplemente falsifique su dirección IP para que coincida con la que sea mía y obtenga acceso?
Por lo demás, ¿es .htaccess lo suficientemente seguro como para bloquear archivos / directorios específicos?
Recuerde que TCP / IP requiere comunicación bidireccional. Sí, alguien puede falsificar una IP (con dificultad), pero al hacerlo, rompe la capacidad de recibir respuestas.
La suplantación de una IP suele ser más adecuada para situaciones de "incendio y olvido" como DDoS.
Como ya lo han explicado otros, es muy poco probable que un atacante pueda realizar una suplantación TCP activa de su dirección IP. Lo más probable es que cometa un error común en su protección . Muchos tutoriales utilizan el siguiente ejemplo de cómo configurar el acceso restringido: %código% Si tuviera que usar este estilo de protección, un atacante podría usar verbos como GETS en lugar de GET y omitir su directiva.
Esto es casi inviable debido a varios factores:
Como TCP / IP emplea un protocolo de enlace de tres vías, es muy difícil que un atacante inicie y mantenga una conexión TCP utilizable durante un tiempo lo suficientemente largo como para extraer información útil de su página.
Al falsificar la dirección de origen se enviará la respuesta a la IP falsificada, no a la IP del atacante. No verá ninguno de los paquetes a menos que tenga acceso a un host entre su servidor y la dirección falsificada.
Debe conocer todas las direcciones IP permitidas de su .htaccess . Es poco probable que esto suceda, porque si puede leer .htaccess , puede leer todos los demás archivos.
Hay otras formas de leer esa información, como atacar y comprometer su servidor, atacar su computadora e instalar malware, explotar una vulnerabilidad Local or Remote File Include o engañarlo para que proporcione las credenciales.
Lea otras preguntas en las etiquetas web-application file-access