Tu as pensé à récupérer l'adresse avec WebRTC?

https://diafygi.github.io/webrtc-ips/

Tu as pensé à récupérer l'adresse avec WebRTC?

Non, juste le X-Forwarded-For, un champ peu renseigné dans la pratique (surtout par des proxy ouverts qui restent aujourd'hui rarement accessibles).

$ curl -s https://ip.lafibre.info/ -H 'X-Forwarded-For: <script>alert("CARRÉMENT VALIDE")</script>' | grep 'Votre véritable adresse'
      <li>Votre véritable adresse IP est <strong><script>alert("CARRÉMENT VALIDE")</script></strong> <small>(différente si vous utilisez un proxy)</small></li>
Cette ligne pourrait être n'affichée qu'au besoin.

Outre WebRTC, il pourrait y avoir le décodage des IPv4 encapsulées (dans les IPv6 Free par exemple) qui pourrait être intéressant, afin d'afficher directement l'hôte et donc le NRA (on peut aussi penser à intégrer d'autres sources de données comme le traceroute chez Orange/FBN mais ce n'est pas le sujet).

[..]
Imaginons : une simple page avec un menu vitesse (en Hz) et un bouton démarrer. Le bouton lance un script qui fait des connexions et récupère IP et port. Pour chaque IP, une liste de ports est compilée.

Si on fait ça, il faudrait peut-être une implèmentation légère comme un socket qui écoute les connexions et renvoie au plus vite le port en réponse (sans persistance), pour :

• éviter de gaspiller la charge ou les logs du serveur ;
• éviter de se heurter aux limites de connexions parallèles fixées par les navigateurs, si trop de latence. En sachant que si ça pose problème, certains sites ont pour astuce de contourner (de manière limitée) cet aspect en répartissant les requêtes sur différents sous-domaines. Il me semblait également avoir lu que les websockets étaient exonérées de ces limites de connexions, mais à voir si ça concerne tout le processus de communication (handshake compris) ou juste le moment à partir duquel la connexion bidirectionnelle est établie.

Cette ligne pourrait être n'affichée qu'au besoin.

Voila, j'affiche directement les informations HTTP_CLIENT_IP et HTTP_X_FORWARDED_FOR si ils ne sont pas nuls :
$ClientIp2 = $_SERVER["HTTP_CLIENT_IP"];
$Forwarded = $_SERVER["HTTP_X_FORWARDED_FOR"];
if ("$ClientIp2" != "")
{
        echo "      <li>Information HTTP_CLIENT_IP est <strong>",$ClientIp2,"</strong></li>\n";
}
if ("$Forwarded" != "")
{
        echo "      <li>Information HTTP_X_FORWARDED_FOR est <strong>",$Forwarded,"</strong></li>\n";
}

Si cela n'est jamais utilisé, cela ne s'affichera jamais.

Si c'est utilisé un jour, on pourra voir les infos.

Pour le décodage des IPv4 encapsulées dans les IPv6 Free, si une personne veut se lancer pour le bout de code, pas de pb.

qui n'a même pas d'intérêt de détournement, l'intérêt est limité.

Certes.

C'est une question de principe, hein.

Je crois que corrector faisait référence à la petite XSS

Comme ça, c'est bon ?
En appelant htmlspecialchars pour les variables où il est possible d'injecter du code :
$ClientIp = $_SERVER["REMOTE_ADDR"];//On obtient l'adresse IP
$ClientIp2 = htmlspecialchars($_SERVER["HTTP_CLIENT_IP"]);
$Forwarded = htmlspecialchars($_SERVER["HTTP_X_FORWARDED_FOR"]);
$ClientPort = $_SERVER["REMOTE_PORT"];//On obtient le port source
$ServerPort = $_SERVER["SERVER_PORT"];//On obtient le port destination
$ClientHTTP = $_SERVER["SERVER_PROTOCOL"];//On obtient la version de HTTP utilisé
$Chiffrement = $_SERVER["HTTPS"];
$ClientHost = gethostbyaddr($ClientIp);//on transforme en Host avec adresse du FAI
$ClientHostTab = explode(".", $ClientHost);//on divise en segments le host par rapport à chaque point
$nb_points = substr_count($ClientHost, ".");// Nombre de point(s) dans la ligne
$ClientUA = htmlspecialchars($_SERVER["HTTP_USER_AGENT"]);