¿Se puede usar javascript para extraer la IP si están usando una VPN?

Question

JavaScript por sí solo no les permitirá enumerar todas sus interfaces de red, solo consultará la IP desde la que se conecta su sistema. Cualquier sitio web al que se conecte puede indicar la dirección IP desde la que se conecta. En el caso de una VPN, te estás "conectando" desde la dirección IP de la VPN, no desde tu propia IP.

En este escenario, hay dos "agentes de amenaza":

El sitio web al que se está conectando.
El servidor VPN a través del cual estás pasando información.

Formas en que el sitio web lo expone sin la ayuda del servidor VPN

Si acepta ejecutar código nativo o código .NET/Java con total confianza, como por ejemplo:

Un subprograma ActiveX (estoy seguro de este)
Un subprograma de Java (estoy seguro de este)
Un .NET XBAP (estoy bastante seguro de este)
¿Destello, tal vez? (Alguien lo confirma)
Luz plateada, ¿tal vez? (Alguien lo confirma)
Cualquier otro complemento del navegador que permita código nativo arbitrario o entornos de ejecución robustos.

Los entornos enumerados anteriormente permiten que el programa consulte detalles sobre el entorno operativo nativo, que incluye una lista de todas las tarjetas/interfaces de red. Una de esas interfaces sería su interfaz Ethernet o inalámbrica local, que (al menos) contendría su IP NAT privada, pero puede contener o no su IP pública.

Formas en que el servidor VPN puede exponerte (intencionalmente o accidentalmente)

La propia VPNpodríaPuede configurarse para inyectar un encabezado en las solicitudes HTTP que proporcionen su dirección IP, pero ese comportamiento sería bastante inusual para una VPN. Por lo general, esto sólo lo hacenapoderados, que no deben confundirse conVPN. Aún así, una VPN arbitraria y que no es de confianza (una que usted no controla y en cuyo propietario no confía plenamente) podría aparentemente decidir a voluntad que quiere revelar su dirección IP y simplemente hacerlo. Por lo tanto, debe confiar en que el software esnova a hacer eso, y que el propietario de la máquina no va a modificar el software para que lo haga.

La forma en que planteó el problema es en realidad un problema de teoría de la información. Podemos entender esto en términos simples de interacción humana:

Jack quiere enviar un mensaje.METROa Colt.
Jack no quiere que Colt pueda saber eso.METROse originó en Jack.
jack daMETROa Sally y le pide que le envíe el mensaje a Colt.
Sally sabe que Jack es el origen deMETRO.

En este punto, depende totalmente de Sally, un actor humano arbitrario,decidirqué quieren hacer con la siguiente información:

El mensajeMETRO
La identidad de Colt
La identidad de Jack.
El hecho de que Jack se originaraMETRO
El hecho de que Jack solicitara esoMETROser enviado a potro

Salidaposiblemente pueda:

EnviarMETROal peor enemigo de jack
Envía el hecho de que Jack se originó.METROal peor enemigo de jack
Divulgar toda la información que Sally ha obtenido al público en general.
EnviarMETROa Colt pero miente y dice que el mensaje se originó en otra persona

Ya sea o noEl software VPN está configurado de forma predeterminada para comportarse de cierta maneraes unmuy diferentepregunta de "¿es posible ...".

La respuesta corta esSí, es posible.

A menos que realmente confíes en el propietario/operador del servidor VPN y en todo el software que se ejecuta en él, siempre existe la posibilidad. Y si el propietario/operador es un extraño y usted no tiene medios para analizar el software que se ejecuta en la caja, definitivamente no tiene motivos para sospechar que su identidadseráprotegido.

Answer 1

JavaScript por sí solo no les permitirá enumerar todas sus interfaces de red, solo consultará la IP desde la que se conecta su sistema. Cualquier sitio web al que se conecte puede indicar la dirección IP desde la que se conecta. En el caso de una VPN, te estás "conectando" desde la dirección IP de la VPN, no desde tu propia IP.

En este escenario, hay dos "agentes de amenaza":

El sitio web al que se está conectando.
El servidor VPN a través del cual estás pasando información.

Formas en que el sitio web lo expone sin la ayuda del servidor VPN

Si acepta ejecutar código nativo o código .NET/Java con total confianza, como por ejemplo:

Un subprograma ActiveX (estoy seguro de este)
Un subprograma de Java (estoy seguro de este)
Un .NET XBAP (estoy bastante seguro de este)
¿Destello, tal vez? (Alguien lo confirma)
Luz plateada, ¿tal vez? (Alguien lo confirma)
Cualquier otro complemento del navegador que permita código nativo arbitrario o entornos de ejecución robustos.

Los entornos enumerados anteriormente permiten que el programa consulte detalles sobre el entorno operativo nativo, que incluye una lista de todas las tarjetas/interfaces de red. Una de esas interfaces sería su interfaz Ethernet o inalámbrica local, que (al menos) contendría su IP NAT privada, pero puede contener o no su IP pública.

Formas en que el servidor VPN puede exponerte (intencionalmente o accidentalmente)

La propia VPNpodríaPuede configurarse para inyectar un encabezado en las solicitudes HTTP que proporcionen su dirección IP, pero ese comportamiento sería bastante inusual para una VPN. Por lo general, esto sólo lo hacenapoderados, que no deben confundirse conVPN. Aún así, una VPN arbitraria y que no es de confianza (una que usted no controla y en cuyo propietario no confía plenamente) podría aparentemente decidir a voluntad que quiere revelar su dirección IP y simplemente hacerlo. Por lo tanto, debe confiar en que el software esnova a hacer eso, y que el propietario de la máquina no va a modificar el software para que lo haga.

La forma en que planteó el problema es en realidad un problema de teoría de la información. Podemos entender esto en términos simples de interacción humana:

Jack quiere enviar un mensaje.METROa Colt.
Jack no quiere que Colt pueda saber eso.METROse originó en Jack.
jack daMETROa Sally y le pide que le envíe el mensaje a Colt.
Sally sabe que Jack es el origen deMETRO.

En este punto, depende totalmente de Sally, un actor humano arbitrario,decidirqué quieren hacer con la siguiente información:

El mensajeMETRO
La identidad de Colt
La identidad de Jack.
El hecho de que Jack se originaraMETRO
El hecho de que Jack solicitara esoMETROser enviado a potro

Salidaposiblemente pueda:

EnviarMETROal peor enemigo de jack
Envía el hecho de que Jack se originó.METROal peor enemigo de jack
Divulgar toda la información que Sally ha obtenido al público en general.
EnviarMETROa Colt pero miente y dice que el mensaje se originó en otra persona

Ya sea o noEl software VPN está configurado de forma predeterminada para comportarse de cierta maneraes unmuy diferentepregunta de "¿es posible ...".

La respuesta corta esSí, es posible.

A menos que realmente confíes en el propietario/operador del servidor VPN y en todo el software que se ejecuta en él, siempre existe la posibilidad. Y si el propietario/operador es un extraño y usted no tiene medios para analizar el software que se ejecuta en la caja, definitivamente no tiene motivos para sospechar que su identidadseráprotegido.

¿Se puede usar javascript para extraer la IP si están usando una VPN?

Respuesta1

Formas en que el sitio web lo expone sin la ayuda del servidor VPN

Formas en que el servidor VPN puede exponerte (intencionalmente o accidentalmente)

información relacionada