Verlinkung sicher feststellen!



  • Hallo,

    ich stehe vor folgender Frage - wie kann ich zu 100% sicherstellen, dass eine Formularanfrage von der gleichen Domain /Seite kommt?

    Ich will unterbinden, dass nur die Datei:
    "www.meineurl.de/root/formular_calculator.php" formulardaten von der Datei "www.meineurl.de/root/formulardaten.php" empfangen darf.

    Ist so etwas Möglich? 😕



  • Spontan fĂ€llt mir nur ein, ĂŒber Sessions zu ĂŒberprĂŒfen, ob der User vorher schon auf deiner Seite war...



  • Dazu gibt es keine wirklich zuverlĂ€ssige Methode. Du kannst den Referer prĂŒfen, riskierst aber, dass er gefĂ€lscht oder nicht vorhanden ist. Du kannst per Session prĂŒfen, riskierst aber, dass der Benutzer Cookies verweigert. Du kannst per internem IP-Check arbeiten, was aber sehr viel Aufwand kostet und Proxies wiederrum ausschließt.

    Bist du sicher, dass andere PrĂ€ventivmaßnamen bzw. Sicherheitschecks nicht ausreichen?



  • Reyx schrieb:

    Dazu gibt es keine wirklich zuverlĂ€ssige Methode. Du kannst den Referer prĂŒfen, riskierst aber, dass er gefĂ€lscht oder nicht vorhanden ist. Du kannst per Session prĂŒfen, riskierst aber, dass der Benutzer Cookies verweigert. Du kannst per internem IP-Check arbeiten, was aber sehr viel Aufwand kostet und Proxies wiederrum ausschließt.

    Man nehme eine Zufallszahl, speichere sie serverseitig z.B. in einer Datenbank, benutze diese Zahl als eindeutige ID im Formular und ĂŒberprĂŒfe sie bei der Bearbeitung. Fertig. Einfacher geht's doch gar nicht 🙄



  • Kritisch betrachet kann eine Maschine den Wert immer noch auslesen (da du ihn im Formular speicherst). Und bei grĂ¶ĂŸeren Webseiten kann man sich nicht immer erlauben, fĂŒr jede Kleinigkeit X Dinge Serverseitig abzuspeichern.

    Prinzipiell hast du aber Recht 😉



  • Oh es wĂ€re ziemlich doof, könnte eine Maschine, nennen wir sie doch Internet Explorer oder Firefox, den Wert nicht verarbeiten. Und wenn man keine x Kleinigkeiten speichern will, speichert man eben nur eine Sache. Das nennt sich dann Session. Ist das selbe wie obige ID nur in lilablassblau.



  • minhen schrieb:

    Reyx schrieb:

    Dazu gibt es keine wirklich zuverlĂ€ssige Methode. Du kannst den Referer prĂŒfen, riskierst aber, dass er gefĂ€lscht oder nicht vorhanden ist. Du kannst per Session prĂŒfen, riskierst aber, dass der Benutzer Cookies verweigert. Du kannst per internem IP-Check arbeiten, was aber sehr viel Aufwand kostet und Proxies wiederrum ausschließt.

    Man nehme eine Zufallszahl, speichere sie serverseitig z.B. in einer Datenbank, benutze diese Zahl als eindeutige ID im Formular und ĂŒberprĂŒfe sie bei der Bearbeitung. Fertig. Einfacher geht's doch gar nicht 🙄

    [1. Schritt] Bot öffnet Browser mit Formular -> Liest ID aus
    [2. Schritt] Bot ruft die Formular-calculator seite auf mit ID als Parameter

    Fertig, Seite gefakt!



  • Niemand hat gesagt, dass die ID als versteckter String ausgegeben werden muss.
    Wenn du so paranoid bist, ist heute noch die beste Lösung, die ID als Grafik auszugeben und den Besucher zu nötigen, selbige abzutippen. Wo ist das Problem? Das ist gang und gÀbe. Mittlerweile sogar bei der Registrierung in diesem Forum hier ...



  • Paranoia hin oder her, gefragt war nach 100%iger Sicherheit -> Und die gibt es nicht!



  • [........]


Log in to reply