Cómo falsificar mi dirección IP a JavaScript y otras cuestiones de seguridad

Navega tus respuestas
2

Muchos sitios web requieren JavaScript. Sin embargo, habilitar JS significa que un sitio web puede ejecutar un fragmento de JS para recuperar la dirección IP del usuario (incluso si están detrás de un proxy o VPN).

Entonces, ¿cómo puedo (el usuario) alimentar (falsificar) la dirección IP de la VPN (que tengo en un archivo de texto) a cualquier JS que pueda ejecutarse para que todo se vea igual al servidor web?

Editar / Agregar: después de investigar un poco, encontré este sitio enlace que muestra un montón de Información que mi navegador está enviando al servidor web (versión del navegador, hora local, dimensión de la pantalla y del navegador, velocidad de conexión, etc.). Esta combinación de información permite que una autoridad maliciosa (por ejemplo, el gobierno chino) "haga una huella digital" del usuario, incluso si no tiene la dirección IP (porque el usuario está detrás de una VPN y WebRTC ha sido desactivado). ¿Cómo deshabilito o "limpio" esta información, de manera que el servidor web no pueda identificar al usuario? ¿Esto es todo de WebRCT?

Sospecho que parte de esta información proviene de la cadena UserAgent, que supongo que el usuario podría cambiar manualmente, pero ¿qué pasa con el resto? Algunos deben venir de javascript, ¿no?

    
pregunta iron 02.09.2015 - 06:48
fuente

3 respuestas

4
  

Entonces, ¿cómo puedo (el usuario) alimentar (falsificar) la dirección IP de la VPN (que tengo en un archivo de texto) a cualquier JS que pueda ejecutarse para que todo se vea igual al servidor web?

La detección de las direcciones IP locales a las que hace referencia depende de WebRTC. No hay forma de falsificar las direcciones devueltas durante el descubrimiento de WebRTC sin cambiar el código o la configuración del navegador o el script que se usa para el descubrimiento. Podrías

  • apague WebRTC por completo, ya sea utilizando un navegador que no lo admita (como el paquete del navegador Tor) o deshabilítelo usando varios métodos
  • intente hacer un script que interfiera de alguna manera con el descubrimiento en el código Javascript e informe algo diferente. Pero esta secuencia de comandos debe adaptarse probablemente a varios sitios.

Simplemente deshabilitar WebRTC es probablemente mucho más fácil que intentar informar diferentes valores al servidor.

    
respondido por el Steffen Ullrich 02.09.2015 - 09:26
fuente
1
  

Sin embargo, habilitar javascript ahora significa que un sitio web puede ejecutar un fragmento de código javascript para recuperar la dirección IP del usuario (incluso si están detrás de un proxy o VPN).

En primer lugar, creo que es casi imposible recuperar cualquier información útil real sobre las direcciones IP a través de JavaScript. Creo que es posible a través de algunos hackers de WebRTC a get la dirección de la red local , pero si javascript llega a cualquier servicio que le indique su IP, ya habrá salido a través de la VPN.

Marque esta pregunta para más información: enlace

    
respondido por el Nic Barker 02.09.2015 - 08:04
fuente
1

No veo un riesgo para la mayoría de los casos. El JavaScript devolverá la dirección de la máquina, que es inútil si se está comunicando detrás de algo como proxy, enrutador, Wifi AP o NAT.

    
respondido por el user69377 02.09.2015 - 06:56
fuente

Lea otras preguntas en las etiquetas

¿El pirateo (pentesting) de un sitio web en vivo de una máquina virtual mejorará o dificultará el anonimato de mi pirata informático? SSH secretos de caché