Хакер #305. Многошаговые SQL-инъекции
Средствами WebRTC можно автоматически установить с клиентом прямое пиринговое соединение, даже если клиент подключен через VPN. Побочный эффект от такого удобства — клиент автоматически и без предупреждения выдает свой внутренний IP-адрес. Убедиться в такой красивой работе HTML5 можно на этой демо-странице.
Здесь можно посмотреть простой код, с помощью которого вы можете узнать реальный IP-адрес любого пользователя.
Немножко пугает, что пользователя не предупреждают, что удаленный клиент пробивается через NAT и смотрит его реальный IP, но что делать — таковы уж издержки современных технологий.
Приятно, что в браузере Firefox можно избежать эксплуатации этой функции злоумышленниками. Нужно найти в настройках опцию media.peerconnection.enabled и установить ее в значение false.