Informático de Guardia

[CTA] Mejoras a la captura de la IP de usuario


Este fin de semana he optado por invertir algo de tiempo en solucionar el problema con la ordenación de las IPs capturadas indicado por el amigo Carlos en los comentarios del último post de Catch Them All.

Aprovechando que tenía que desplegar el war para subir una nueva versión de la aplicación Java he optado por añadir algunos cambios menores en el código y de paso configurar en Google Code una cuenta para la gestión y seguimiento del proyecto.

Mejoras incluidas

Ordenación de las IPs capturadas

Con el banco de pruebas que tenía en mi entorno de desarrollo no detecté que la ordenación se estaba realizando incorrectamente por un campo de texto en el que anotaba la fecha y hora en la que la Víctima accedía al recurso que se le enviaba como gancho para capturar su IP.

null

Incluido Google Analytics

De modo que pueda conocer, entre otros datos, los navegadores más habituales con los que se conectan los usuarios pudiendo de este modo optimizar el contenido de la web a ellos.

Creada cuenta en Google Code

Donde poder alojar y gestionar el proyecto correctamente.

Destaca especialmente la inclusión de un gestor de incidencias para que podáis comunicar de un modo más cómodo los problemas que detectéis y subir cualquier sugerencia de mejora que se os ocurra.

Cualquier aportación al proyecto será bienvenida y agradecida por mi parte.

Añadido apartado de documentación

Como echaba de menos incluir en la web información sobre el uso del servicio web he optado por incluir el enlace HowTo desde el que consultar cómo obtener la dirección IP de las víctimas.

null

Evolución del proyecto

Cómo participar

Como comentamos cuando salió a la luz el proyecto, la idea básica es que vaya evolucionando según las necesidades reales de usuarios o, lo que es lo mismo, de vuestras necesidades.

Si detectáis que debería incluir algo que no tiene lo único que debéis hacer es hacérmelo saber y para ello nada mejor que los comentarios del blog o incluir una tarea en el gestor de tareas de Google Code.

Nueva funcionalidad

Aunque con la ordenación de los resultados queda resuelto el problema que tenía @Carlos para detectar la IP de su víctima (actualmente son pocos los que lo usan) cada día es más patente la necesidad de incluir la posibilidad de notificar (¿via email?) que la Víctima ha consultado el enlace que le hemos enviado.

Para ello se me ocurre que lo más sencillo es incluir un nuevo parámetro (¿email?) opcional con el que indicar a quién debe comunicarse la captura de la IP.

La única pega que le encuentro es que dicha información es demasiado sensible y podría ser utilizada en nuestra contra si la Víctima se percata del «ardid».

Como forma simple (principio KISS) de solucionarlo se me ocurre lo siguiente

Ocultar la url que enviamos a la víctima

Existen en Internet infinidad de servicios para acortar direcciones url (como puede ser el caso de TinyUrl o ShortUrl) gracias a los cuales cualquier dirección como

http://upload-file.appspot.com/?url=https://andalinux.wordpress.com&email=correo.cualquiera@gmail.com

podría quedar en

http://tinyurl.com/3yu84wz

de este modo conseguimos el mismo resultado que hasta ahora pero

  1. evitamos que nuestra víctima se percate (fácilmente) de que le estamos tendiendo una emboscada para obtener su IP
  2. podemos añadir el parámetro email sin que la Víctima pueda verlo y por tanto alertarlo contra el recurso que le estamos ofreciendo.

Y vosotros:

  • ¿Qué os parece la solución?
  • ¿La véis viable?
  • ¿Qué inconveniente le encontráis?
  • ¿Puede resultar incómodo?
Publicado en Internet, SeguridadEtiquetado como , , , , 10 comentarios

10 comentarios en “[CTA] Mejoras a la captura de la IP de usuario

  2. Hola, esto es muy muy interesante.
    Muchas gracias y enhorabuena por el proyecto.

    Me he pasado por Google code para bajar el programa y poder instalarlo en mi servidor pero aún no hay nada para bajar.

    ¿Crees que estará a corto o medio plazo?

    Muchas gracias y, de nuevo, enhorabuena 🙂

    Me gusta

    Responder

  3. un proyecto muy interesante y creo k puede ser muy util,.

    donde consultas los datos de navegador,.. de Analytics? no lo veo en la pagina del proyecto

    Me gusta

    Responder

    1. Me alegra que te guste; los datos los pillo de la cabecera de la petición.

      Soy consciente que se puede trucar pero teniendo en cuenta el «factor sorpresa» sobre las víctimas y el extendido bajo nivel de conocimientos que suele haber considero que es suficiente, ¿no? 😉

      Me gusta

      Responder

      1. lo programaste con java?? lo digo por lo del «war»
        usaste BEA-weblogic por casualidad??

        me refiero a ¿dnde muestras los datos de navegador, dentro de la pagina del proyecto?

        Creo k la ordenacion no termina de funcionar……..

        en cualkier kaso un gran trabajo¡¡¡¡

        Me gusta

        Responder

        1. Está programado en Java con el entorno Eclipse utilizando Google App Engine.

          La ordenación no termina de funcionar bien pero como no he visto mucho movimiento en el proyecto he optado por dejarlo, de momento, como está.

          Lástima que no todo el mundo vea el proyecto tan «interesante» como tú 😉

          Me gusta

    1. Sorry Fermín, lo di de baja tras uno de los últimos cambios de SDK de Google App Engine (donde estaba alojado el «servicio») que me requería demasiado esfuerzo ponerlo en funcionamiento.
      Debido al bajo uso que tenía, opté por no hacer el esfuerzo de cambiarlo.
      En ocasiones me planteo darle un empujón pero no tengo el suficiente tiempo para abordarlo 😦

      Me gusta

      Responder

Deja una respuesta

Introduce tus datos o haz clic en un icono para iniciar sesión:

Gravatar
Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Cancelar

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.