Verlinkung sicher feststellen!



  • Hallo,

    ich stehe vor folgender Frage - wie kann ich zu 100% sicherstellen, dass eine Formularanfrage von der gleichen Domain /Seite kommt?

    Ich will unterbinden, dass nur die Datei:
    "www.meineurl.de/root/formular_calculator.php" formulardaten von der Datei "www.meineurl.de/root/formulardaten.php" empfangen darf.

    Ist so etwas Möglich? 😕



  • Spontan fällt mir nur ein, über Sessions zu überprüfen, ob der User vorher schon auf deiner Seite war...



  • Dazu gibt es keine wirklich zuverlässige Methode. Du kannst den Referer prüfen, riskierst aber, dass er gefälscht oder nicht vorhanden ist. Du kannst per Session prüfen, riskierst aber, dass der Benutzer Cookies verweigert. Du kannst per internem IP-Check arbeiten, was aber sehr viel Aufwand kostet und Proxies wiederrum ausschließt.

    Bist du sicher, dass andere Präventivmaßnamen bzw. Sicherheitschecks nicht ausreichen?



  • Reyx schrieb:

    Dazu gibt es keine wirklich zuverlässige Methode. Du kannst den Referer prüfen, riskierst aber, dass er gefälscht oder nicht vorhanden ist. Du kannst per Session prüfen, riskierst aber, dass der Benutzer Cookies verweigert. Du kannst per internem IP-Check arbeiten, was aber sehr viel Aufwand kostet und Proxies wiederrum ausschließt.

    Man nehme eine Zufallszahl, speichere sie serverseitig z.B. in einer Datenbank, benutze diese Zahl als eindeutige ID im Formular und überprüfe sie bei der Bearbeitung. Fertig. Einfacher geht's doch gar nicht 🙄



  • Kritisch betrachet kann eine Maschine den Wert immer noch auslesen (da du ihn im Formular speicherst). Und bei größeren Webseiten kann man sich nicht immer erlauben, für jede Kleinigkeit X Dinge Serverseitig abzuspeichern.

    Prinzipiell hast du aber Recht 😉



  • Oh es wäre ziemlich doof, könnte eine Maschine, nennen wir sie doch Internet Explorer oder Firefox, den Wert nicht verarbeiten. Und wenn man keine x Kleinigkeiten speichern will, speichert man eben nur eine Sache. Das nennt sich dann Session. Ist das selbe wie obige ID nur in lilablassblau.



  • minhen schrieb:

    Reyx schrieb:

    Dazu gibt es keine wirklich zuverlässige Methode. Du kannst den Referer prüfen, riskierst aber, dass er gefälscht oder nicht vorhanden ist. Du kannst per Session prüfen, riskierst aber, dass der Benutzer Cookies verweigert. Du kannst per internem IP-Check arbeiten, was aber sehr viel Aufwand kostet und Proxies wiederrum ausschließt.

    Man nehme eine Zufallszahl, speichere sie serverseitig z.B. in einer Datenbank, benutze diese Zahl als eindeutige ID im Formular und überprüfe sie bei der Bearbeitung. Fertig. Einfacher geht's doch gar nicht 🙄

    [1. Schritt] Bot öffnet Browser mit Formular -> Liest ID aus
    [2. Schritt] Bot ruft die Formular-calculator seite auf mit ID als Parameter

    Fertig, Seite gefakt!



  • Niemand hat gesagt, dass die ID als versteckter String ausgegeben werden muss.
    Wenn du so paranoid bist, ist heute noch die beste Lösung, die ID als Grafik auszugeben und den Besucher zu nötigen, selbige abzutippen. Wo ist das Problem? Das ist gang und gäbe. Mittlerweile sogar bei der Registrierung in diesem Forum hier ...



  • Paranoia hin oder her, gefragt war nach 100%iger Sicherheit -> Und die gibt es nicht!



  • [........]


Anmelden zum Antworten