プライベートアドレスがログに残る怪

遠方の某社から卒業生用のMoodleにログインした卒業生のログを見てびっくりした。10.*というプライベートIPアドレスが記録されているのだ。聞いてみると,社内では確かに10.*を使っているがNATされていて社外に漏れるはずがないという。Apacheのログには10.*はないが,Moodleのログにだけ残るのだ。Moodleは $_SERVER['REMOTE_ADDR'] で調べているはずで,同じ調べ方をするここにもアクセスしてもらったがこれは正常。

ちょっとテスト

http://portal.mie-u.ac.jp/commu/ を踏んでみました。
22:26 頃の Agent が FreeBSD Firefox のログを見てみてください。
グローバルでしょうか、プライベートでしょうか。

Re: ちょっとテスト

テストありがとうございます。残念ながらログインされないとMoodleのログには残りません(Apacheのログにはプライベートアドレスはありません)。ひょっとしたらログインエラーすればMoodleに残るかもしれません。

X_FORWARDED_FOR

想像だけで確認してませんが、PHPかMoodleが途中のproxyが付けたX_FORWARDED_FORヘッダを読んでREMOTE_ADDRを書き換えてるんではないでしょうか。

Re: X_FORWARDED_FOR

ありがとうございます。これでMoodleのソースをgrepして見つかりました(前回は違うところを見ていました^^;):

function getremoteaddr() {
    if (!empty($_SERVER['HTTP_CLIENT_IP'])) {
        return cleanremoteaddr($_SERVER['HTTP_CLIENT_IP']);
    }
    if (!empty($_SERVER['HTTP_X_FORWARDED_FOR'])) {
        return cleanremoteaddr($_SERVER['HTTP_X_FORWARDED_FOR']);
    }
    if (!empty($_SERVER['REMOTE_ADDR'])) {
        return cleanremoteaddr($_SERVER['REMOTE_ADDR']);
    }
    return '';
}

X_FORWARDED_FORはSquidが付けるんですね。

でもこれはバグではないでしょうか。自己申告のIPアドレスで騙せてしまいそうです(自宅からパソコン教室のアドレスを使って出席をごまかしたり)。

いちおうMoodleのtrackerに書き込んでおきました。

追記:[#MDL-14236] Client can fake IP address - Moodle Tracker という項目を立てたところ,十数分後には,中の人?からコメントが付きました。でもちょっと的外れのような気がします。

Re: プライベートアドレスがログに残る怪

 Moodleサーバをウェブサーバとは別にしてNATに引っ込めた場合とかかなあ。開発系の業種では、refererのIPアドレスを強制的に書き換えたり送信先のホスト名を送ったりしますけど、それと関係あるかも。
http://blog.livedoor.jp/ld_directors/archives/50856112.html

 青少年健全育成の法案の萎縮効果で、飛び入学制度を実施している大学はリテラシー関連の授業もできなくなるんじゃないかと思うこの頃...。

REFERERだけなら

ttp://... でリンクするとか,2ちゃんねるのように途中に宣伝を入れるとか。

そうか,飛び入学は18歳未満なので,フィルタリングしないといけないんでしょうか。

Re: プライベートアドレスがログに残る怪

あ、内容もタイミングもずれた記事を書いてしまった。すでに技術的な調査が済んでますね...。
 e-learningで出席重視するとサイバー大学?みたいに話しかけるとかしないとしないといけないような。

なお、法案草稿の事業者のところに学校をいれると、計算機室はインターネットカフェと同じ扱いになる可能性があります。青少年にはほかから見通せる客席を利用させろとか。

Re: 青少年健全育成法案

リークされた草案しかない段階なので、残念ながらソースはちょっと...。リンクされているCNET記事もOsakana記事も信頼できる内容だと私は判断しています。
 とりあえずCNET記事の2ページ目で各事業者への努力義務が列挙されているので、そこに大学(飛び入学・体験入学etc.)が含まれた場合のコストを考えておくとよいかと。

Re: 青少年健全育成法案

さきほどネット規制を競う自民・民主・総務省 - 池田信夫 blogが抜けていました。ここには自民党案骨子のPDFがありますね。

18歳未満だとすれば,大学は飛び級入学の場合しか影響しなさそうですが,高校以下は(現状でもそうですが)ますますフィルタリングの重要性が増しそうです。

Re: 青少年健全育成法案

青少年が安全に安心してインターネットを利用できる環境の整備等に関する法律

法案修正とかいろいろあって「青少年が安全に安心してインターネットを利用できる環境の整備等に関する法律」(長い)として施行を迎えたわけですが、

> 大学は飛び級入学の場合しか影響しなさそうですが

私もそう思っていましたが、入学前の合格者にリメディアル教育をやっている大学のeラーニングサイトには努力義務が発生しますね。あとは工専のeラーニングサイトも。

各校の取り組みがでてくるのは秋の学会以降かな?

コメントの表示オプション

お好みの表示方法を選択し、「設定の保存」をクリックすると、表示方法を変更することができます。