Nutzer mit der IP-Adresse von Google. Wie ist es möglich?

38

Ich habe eine spanische Website und erlaube nicht, dass sich Personen aus nichteuropäischen Ländern registrieren und einloggen.

Vor einiger Zeit habe ich angefangen, Nachrichten von Benutzern zu empfangen, die sich nicht anmelden können. Wenn ich nach ihrer IP-Adresse frage, sagen sie etwas wie: 66.249.93.202. Es ist die IP-Adresse von Google. Wie bekommen sie es in ihre Handys? Was müssen sie tun, um ihre echte IP-Adresse zu verwenden?

user1406271
quelle
12
Dies wird möglicherweise noch häufiger, wenn IPv6 populär wird und IPv6-zu-4-Proxys verwendet werden. Wenn Sie mit Geo-Targeting arbeiten, unterstützen Sie IPv6 und machen Sie nicht zu viele Annahmen über die Nationalität von Mobiltelefonen.
MSalters
39
Um den Kommentar von MSalters zu ergänzen, verlassen Sie sich überhaupt nicht auf IPs. böswillige Benutzer umgehen das sowieso (VPNs, offene Proxys usw.), und Sie ärgern nur legitime Benutzer.
14
Was passiert, wenn einer Ihrer Nutzer aus Barcelona nach Tel Aviv reist? Kann sie sich auf Geschäftsreisen nicht in ihr Konto einloggen?
Dotancohen
1
Wenn Sie vermeiden möchten, dass die IP-Adresse von Google Ihren Kunden nur über HTTPS zur Verfügung steht, umgeht dies den Datenkomprimierungs-Proxy
Ricardo,

Antworten:

59

Was Sie sehen, ist die Google-Proxy-Adresse.
Mobile Benutzer mit einem Chrome-Browser (entweder Android oder iOS), für den die Bandbreitenverwaltungsfunktionen aktiviert sind, verwenden häufig eine dieser Adressen als Anforderer, wie hier beschrieben .

Im Wesentlichen werden die von Ihnen bereitgestellten Daten vom Google Data Compression Proxy angefordert optimizedund an den Endnutzer zurückgesendet.

Was müssen sie tun, um ihre echte IP-Adresse zu verwenden?

Sie sollten nichts anders machen.
Sie können den x-forwarded-forHeader überprüfen, wie in der zuvor verknüpften Dokumentation erläutert .

Reaktionen
quelle
Ich bin erstaunt, dass Google eine Funktion anbietet, die sich nachteilig auf die Verschlüsselung auswirkt.
user253751
@immibis Entweder das oder ein Nokia . Sie können nicht optimieren, was Sie nicht entschlüsseln können, und Sie können sich nicht für ein https-reines Internet einsetzen und es zu Ihrem eigenen Vorteil entschlüsseln.
Reaces
4
Beachten Sie, dass der XFF-Header leicht gefälscht werden kann. Daher gibt es eine Lösung von wikimedia, um zu überprüfen, ob es sich um einen "vertrauenswürdigen" XFF-Header handelt: meta.wikimedia.org/wiki/XFF_project
Sanya_Zol
25

Wahrscheinlich verwenden sie den Google-Proxy für Datenkomprimierung ( https://developer.chrome.com/multidevice/data-compression ).

Und um Ihre Frage zu beantworten (von der gleichen Seite):

Wie führe ich als Websitebesitzer IP-Geo-Targeting durch?
Die IP-Adresse des mobilen Geräts wird über den X-Forwarded-For-Header an den Zielserver weitergeleitet. Websitebesitzer sollten diesen Header überprüfen, um den Standort des Benutzers anhand der IP-Adresse des Clients korrekt zu ermitteln.

Schwindler
quelle
3
Scheint, als hätten wir fast gleichzeitig gepostet: D
Reaces
3
@Reaces Sie waren 14 Sekunden schneller: D
Faker
1
Das Problem bei X-Forwarded-For besteht darin, dass Sie zuerst die tatsächliche IP-Adresse anhand einer Liste vertrauenswürdiger Proxys überprüfen müssen, bevor Sie dem Header vertrauen können. Anderenfalls kann der Benutzer den Header einfach selbst senden und eine beliebige IP-Adresse auswählen.
CodesInChaos
23

Sie können die IP-Adresse des Benutzers direkt abrufen, wenn Sie die Site einfach über HTTPS bereitstellen .

Sie sollten dies wahrscheinlich trotzdem tun - zumal Sie bereits erwähnt haben, dass es sich um Anmelde- und Registrierungsseiten handelt.

Zitieren von der Seite Data Compression Proxy, die in anderen Antworten erwähnt wird:

Wird mein sicherer Datenverkehr vom Komprimierungsproxy optimiert?

Nein, der Datenkomprimierungs-Proxy verarbeitet nicht verschlüsselten Datenverkehr: HTTPS-Anforderungen werden direkt vom mobilen Gerät an den Zielserver gesendet.

Goncalopp
quelle
7

Möglicherweise verwenden diese Benutzer Chrome (mobil) mit Data Compression Proxy ( https://developer.chrome.com/multidevice/data-compression ).

X-Forwarded-ForMithilfe des HTTP-Headers können Sie Benutzer anhand der IP-Adresse des ursprünglichen Benutzers lokalisieren (siehe FAQ).

sfk
quelle
Der X-Forwarded-ForHeader kann leicht gefälscht werden, daher ist es nicht sicher, sich auf diesen Header zu verlassen.
Tim
1

Ich habe das gleiche Problem. Ich habe jedoch keine echte IP X-Forwarded-For -Adresse erhalten. Ich habe den Datenspeicher aktiviert, aber der X-Forwarded-For-Index ist für die Header-Informationen nicht festgelegt. Ich habe auch den HTTP_X_REAL_IP-Index überprüft. Es wird auch mit Google IP-Adresse festgelegt.

Schließlich fand ich die richtige IP im Indexwert HTTP_FORWARDEDalsfor=203.192.231.124

echo $_SERVER['HTTP_FORWARDED']

Entfernen for=Sie einfach Text aus dem Wert und Sie erhalten IP.

$ip = str_replace('for=','', $_SERVER['HTTP_FORWARDED']);

Makarand Mähne
quelle