首页   注册   登录
 Hardrain 最近的时间轴更新
Hardrain's repos on GitHub
PHP · 3 人关注
status-monitor
A PHP based Site-status monitor powered by Uptime Robot
C · 1 人关注
sslconfig_openssl_1.1.1
A patch for OpenSSL 1.1.1-dev to prefer CHACHA20 ciphers on devices without AES instruction sets.
0 人关注
DROP-ISP-TCP-Hijacking
过滤运营商的劫持包
JavaScript · 0 人关注
gfw_whitelist
gfw_whitelist
PHP · 0 人关注
min-php-mailgun
A minimized PHP based mail-sending API implement
C · 0 人关注
openssl-1.1.0-patch
A patch of OpenSSL-1.1.0 for CHACHA20 priority, backported from OpenSSL-1.1.1-pre4
Python · 0 人关注
shadowsocks
A fast tunnel proxy that helps you bypass firewalls
C · 0 人关注
shadowsocks-android
A Shadowsocks client for Android
Vim script · 0 人关注
vim-web
一个前端开发工程师的的vim
PHP · 0 人关注
Vultr-Availability
Query Vultr availability and categorize into combo and location

Hardrain

V2EX 第 64016 号会员,加入于 2014-06-01 15:48:15 +08:00
一个18岁的不可爱的男孩子
阿里云国际版邮件不用 SSL?
全球工单系统  •  Hardrain  •  6 天前  •  最后回复来自 ivmm
5
关于 fq 回国,并使用家庭宽带 IP 的方法
问与答  •  Hardrain  •  160 天前  •  最后回复来自 hadoop
30
关于开源协议
问与答  •  Hardrain  •  181 天前  •  最后回复来自 honeycomb
4
GeoIP+Firewall(IPTABLES, ufw, etc)的可行性
问与答  •  Hardrain  •  222 天前  •  最后回复来自 faicker
3
关于阿里云和回国代理的两个小问题
问与答  •  Hardrain  •  233 天前  •  最后回复来自 Hardrain
4
有没有可能反代一个 lofter 博客?
问与答  •  Hardrain  •  240 天前  •  最后回复来自 Tink
2
关于在 VPS 上运行 tcpdump 抓包
Linux  •  Hardrain  •  254 天前  •  最后回复来自 Hardrain
11
关于不能"免驱"的无线网卡
Linux  •  Hardrain  •  273 天前  •  最后回复来自 Owenjia
17
一个 WordPress 站,疑似被传后门
PHP  •  Hardrain  •  292 天前  •  最后回复来自 Hardrain
25
奇怪的日志内容
问与答  •  Hardrain  •  321 天前  •  最后回复来自 torbrowserbridge
8
Hardrain 最近回复了
2 天前
回复了 dante1029 创建的主题 程序员 世界杯直播 CCTV5 1080 直播源
2018/06/17 2:08/UTC 仍可用
你不应该添加那个 StrictHostKeyChecking no
这会使 ssh client 自动接受新的主机密钥而不报错

可以被中间人攻击者利用
6 天前
回复了 salamanderMH 创建的主题 MySQL 现在 MySQL 5.7 用的多不??
@csx163 关掉 performance_schema 问题不大
6 天前
回复了 zynlp 创建的主题 全球工单系统 支付宝什么时候能出个极简版?
@revol 是的 PC 端页面无搜索框
几乎不可用
6 天前
回复了 Hardrain 创建的主题 全球工单系统 阿里云国际版邮件不用 SSL?
@ivmm 这个是国内版?可惜我没国内版的账户。

另外阿里云这德行,提交了工单 2 个多月才反馈真是太荒唐了。

还"出于研发资源的考虑",安全和所谓"研发资源"孰轻孰重都分不清

这种企业要不是在"某些国家"能依托着不透明的法律割据地盘的话八成早完犊子了
6 天前
回复了 Hardrain 创建的主题 全球工单系统 阿里云国际版邮件不用 SSL?
@ivmm Gmail 的这个安全提示只有三种
1. S/MIME
2. SSL/TLS
3. 不安全(未加密)

SSLv3/SSLv2 都有严重缺陷,如果阿里云只支持过时的协议,Gmail 不协商到有缺陷的协议理所当然,只能说明阿里云落后。

由此而言,支持 SSL 而不支持任何版本的 TLS,有什么用?
1. XFF header 的规则是这样,每经过一个代理 /CDN,这个代理 /CDN 就把上一个代理 /CDN/用户的 IP 附加到 XFF 后面,逗号分隔。这符合 HTTP 对于一个 Header 多个参数的规范。
例: 后端----前端(反代)------CDN/缓存------负载均衡器------用户

后端收到的 XFF 内容如下:用户 IP, 负载均衡器 IP, CDN/缓存 IP

参考: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Forwarded-For

2. 关于获取 XFF 中用户的 IP:
Apache 和 Nginx 都有相关模块,请参考文档。
https://httpd.apache.org/docs/2.4/mod/mod_remoteip.html
http://nginx.org/en/docs/http/ngx_http_realip_module.html

3. PHP 获取 XFF header 的内容:
关于 PHP 获取 Header: https://secure.php.net/manual/zh/function.getallheaders.php
不过这个只适用于 Apache+mod_php,底下评论里有 Apache+PHP-FPM/Nginx 这类只能用 FPM 的 HTTP Server 所适用的解决方案

如果 XFF 有多个 IP,用 explode()逗号做 delimiter 转成数组再处理

4. 关于伪造 XFF,楼主想必看了些关于"伪造 XFF 绕过基于 IP 的 ACL"的文章。但我不得不说,you're so rigid. XFF 是 header,改个名字(X-Real-IP, X-Client-IP, etc)就不能被伪造了?

对付伪造, @Reficul 所说的才是有效的解决方案。你需要的是白名单,即只接受(你所用 CDN 的)指定 IP 发来的请求中的 XFF。

参考 Apache mod_remoteip 的 RemoteIPTrustedProxy 和 RemoteIPTrustedProxyList 参数
Nginx 的 set_real_ip_from 参数。

-------

可算是把饭"喂到嘴"了,恁可以自己去查查文档吗?
笔电的话一定要有个机械键盘……
现在笔电越来越薄,键盘的键程也越来越短,长时间使用很不舒适。
关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   鸣谢   ·   2964 人在线   最高记录 3541   ·  
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.1 · 19ms · UTC 02:50 · PVG 10:50 · LAX 19:50 · JFK 22:50
♥ Do have faith in what you're doing.
沪ICP备16043287号-1