• Das Erstellen neuer Accounts wurde ausgesetzt. Bei berechtigtem Interesse bitte Kontaktaufnahme über die üblichen Wege. Beste Grüße der Admin

Sicherheit: Woran checkt mein Script, dass es auch von seinem Server aus startet.

K

kutiku

Guest
Hi
die Frage steht eigentlich schon oben, aber ich formulier Sie noch mal eindeutiger.
Ich hab' ein tolles Script, dass nur von seinem Server aus gestartet werden soll.
Dh. es kann keiner von seiner Seite aus mein Script mit einem einfachen Link oder Formular aus starten dürfen. Gecheckt?

Danke, vielmals.

Achja, es geht hierbei um PHP...aber eigentlich ist diese Frage fast generell.
 
Ich glaube es gibt eine Umgebungsvariable die $HTTP_REFERER heißt, über die kannst du abfragen von wo aus das Script aufgerufen wird.

Sollte dir eigentlich weiterhelfen.
 
mach es mit "HTTP_REFERER"

z.B.:

if($HTTP_REFERER != "http://www.server.de/files/seite.html")
{echo "Bitte rufen sie die seite direkt von http://www.server.de/files/seite.html auf Danke";exit;}



so jetzt kann man das script nur von http://www.server.de/files/seite.html öffnen.


dies hat aber einige nachteile einige proxys senden keinen HTTP_REFERER man kann diesen auch manipulieren, aber bei der masse funcioniert dies!

ich hoffe das war alles richtig *fg*

cu xxoes
 
hatten wir nicht erst nen thread, wo wir dargestellt haben, wie leicht es ist, den referrer zu modifizieren?
bye,
mo
 
Tja, Cookies, HTTP_REFERER, GET bzw. POST Variable...dass alles ist leicht manipulierbar (vor allem der referer, den kann man schon mit &HTTP_REFERER=blabla in der URL ändern)
Zumal User, dessen Browser keinen Referer senden oder keine Cookies annehmen auch als "Diebe" identifiziert werden.

Gibt's keine wirklich eindeutige Lösung? Würd' mich wundern...sonst könnte man alle fremden Scripts benutzen.
 
du könntest sonst noch ein verstecktest feld einbauen was immer einen bestimmten wert hat(der ab und zu geändert wird), dies wird als variabel in php übergeben usw...


aber wenn man dies seite nicht von deiner seite aufrufen mlöchte da gibt es immer wege.
 
es gebe vieleicht doch noch ne möglichkeit!!

eingabe.php:

das is das formular eingabe wo man alle eingaben macht!
jetzt wird bei diesem aufruf gelichzeitig ein id genneriert weches nur einmal für dieses sendung gültig ist dieses id wird an ausgabe.php gesendet und überprüft is die id gültig werden die eingaben verarbeitet!


ich hoffe so meintet ihr das


hier ein beispiel:

http://www.networkseven.de/nolink/nolink.php

von dieser seite fürt ein link man kann diesen link aber nur einmal aufrufen danach muss man neu auf die seite raufgehen.
 
Zuletzt bearbeitet:
OK, dass jemand mein Script in einem fremden Formular nicht missbrauchen kann geht mit der ID. Schonmal nicht schlecht.

Und wie verhindere ich, dass ein fremdes Script sich mein Script schnappt? Also, dass ein fremdes Script eingabe.php liest und mit der ID ausgabe.php öffnet. Und sich dabei auch noch als Browser mit allem drum und dran augibt (Cookies, User-Agent, Referer).
 
tja nix is perfekt, wenn du es aber so meinst, es is alles irgendwie schaffbar, so gibs also keine möglcihkeit ein formular zu sichern.

verschlüssel einfach dei id dann gehts nicht mehr.
 
nicht schlecht

Also, von daheim komme ich auf die ID, aber von meinem Server nicht. Machst Du was mit IP, Da ich vorher das normal über'n Browser getestet habe?
Gib mir 'nen Tip, warum's daheim funzt und nicht vom Server aus.
Sind Cookies dabei? Benutzt Du den Referer?

*Grübel*

PS...OK, ich hab' jetzt mal mit Cookies was gemacht: http://vinylmeister.de/test.php

Mist, vergiss es..geht doch nicht

Häh? Geht doch, aber nur manchmal...wenn Du den Link mehrmals aktualisierst, dann geht's abundzu mal
 
Zuletzt bearbeitet:
das mit ip is keine schlechte idee, daß wenn mehr als 5 mal die selbe ip benutz wird gesperrt wird so das jeder internet server mit einer festenip das scipt nicht mehr functioniert.

aber mit ip hab ich es nciht gemacht

cu xxoes
 
Die Idee ist genauso schlecht wie mit Cookies und Referer.
Da man erstens Proxies benutzen kann, und 2. Gibt's eben auch User mit fester IP.
Ich möchte keinen echten User ausschließen. Und er darf natürlich auch öfters auf's Script zugreifen.

Aber dein Ding ist ein bissal verwirrend für mich. Manchmal stimmt die ID und manchmal nicht.
Die ID generierst Du doch irgendwie durch die Serverzeit, oder?
 
hast du nicht icq oder irc oder aim dann könenn wir besser unterhalten is ein bischen schwer hier!


aber die id geht doch immer oder, sie is halt nur einmal gültig(ja die id is die zeit *fg*)
 
Hallo!

Ich weiß zwar ein wenig bescheid aber das ganze ist mir ziemlich suspekt.

Wie es aussieht bindet xxoes eine PHP-Datei als JS ein,übergibt dabei(id, und einen Code(crypt???)), dieses gibt dann einen Javascript Code zurück, der dann evtl. ein paar browserspez. Sachen durchckeckt und den Link mit der id zurückgibt.

Naja, md5 und date da liese sich schon einiges machen, das ganze mit Javascript wo man doch einige Sachen abfragen kann.

Werd euch weiter zugucken, ist recht interessant das Thema
 
Naja, den User Agent kann ich Dir auch wohl noch faken, mit PhP und Perl :D :D, es ist nicht einfach, sich zu schützen, da helfen auch keine Kondome...
 
versuch es doch, ich wette mit dir das du die file zwar mit php auslesen kannst du kommst aber nicht an die id!!!!

cu xxoes
 
.htaccess

Hi,
also wenn du ein script so schützen willst, dass es nur includet werden kann, mach's einfach mit .htaccess mit

order deny,allow
deny from all
allow from dein.server.de

CU
checka
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben