POST / Referrer

Hallo,

ich habe da mal eine Frage:
Ich habe auf einer Seite ein Script, auf dem ich mit Post und action=3D""

sozusagen immer auf die gleiche bestehende Seite poste.So:


if(isset($_POST['aktion1'])){
tue das;
}elseif (isset($_POST['aktion2'])){
tue dies
}elseif (isset($_POST['aktion3'])){
mach jenes;
}else{
bla;
}


Gibt es eine Möglichkeit neben dem Referrer, in den einzelnen
"Aktionsbereichen" eine Sicherheitsabfrage zu definieren, die nur die
POSTS von dieser Seite erlaubt?=20


Danke schon mal=20
Micha

Re: POST / Referrer

Mir ist nicht ganz klar was du machen möchtest. Geht es Dir darum nur POSTs zu erlaube die von einer bestimmten Seite kommen?

Referrer zu verwenden macht ja überhaupt keinen Sinn weil diese jeder beliebige Browser (der diese ja generiert) verändern kann.

Ziel wird wohl sein die Daten der einzelnen POSTs auf Gültigkeit zu prüfen und diese von jeder Seite zulassen. Anders ist es so viel ich weiß nicht möglich.

Benjamin


> Hallo,
>
> ich habe da mal eine Frage:
> Ich habe auf einer Seite ein Script, auf dem ich mit Post und action=""
>
> sozusagen immer auf die gleiche bestehende Seite poste.So:
>
>
> if(isset($_POST['aktion1'])){
> tue das;
> }elseif (isset($_POST['aktion2'])){
> tue dies
> }elseif (isset($_POST['aktion3'])){
> mach jenes;
> }else{
> bla;
> }
>
>
> Gibt es eine Möglichkeit neben dem Referrer, in den einzelnen
> "Aktionsbereichen" eine Sicherheitsabfrage zu definieren, die nur die
> POSTS von dieser Seite erlaubt?
>
>
> Danke schon mal
> Micha
>
>

Re: POST / Referrer

michael.fan@lycos.de wrote:

> Gibt es eine Möglichkeit neben dem Referrer, in den einzelnen
> "Aktionsbereichen" eine Sicherheitsabfrage zu definieren, die nur die
> POSTS von dieser Seite erlaubt?

Der Referrer bringt dir rein gar nichts, der kann beliebig manipuliert
werden.
Wenn ich dein Anliegen richtig verstehe, schau dir mal Sessions an.

Gruß,
Jens


--
Der Kluegere gibt nach - Eine traurige Wahrheit:
sie begruendet die Weltherrschaft der Dummen.
- Marie von Ebner-Eschenbach

Re: POST / Referrer

Hallo Benjamin,

die Posts möchte ich zwar auch auf die Gültigkeit überprüfen, soll
nun aber nicht meine Frage sein.
Für die zusätzliche Sicherheit möchte ich überprüfen, von welcher
Seite die Posts kommen und dementsprechend nur Posts von der einen
Seite zulassen. Geht das?
Gruß
Micha

Benjamin Kalytta schrieb:

> Mir ist nicht ganz klar was du machen möchtest. Geht es Dir darum nur P=
OSTs zu erlaube die von einer bestimmten Seite kommen?
>
> Referrer zu verwenden macht ja überhaupt keinen Sinn weil diese jeder b=
eliebige Browser (der diese ja generiert) verändern kann.
>
> Ziel wird wohl sein die Daten der einzelnen POSTs auf Gültigkeit zu pr=
üfen und diese von jeder Seite zulassen. Anders ist es so viel ich weiß=
nicht möglich.
>
> Benjamin
>
>
> > Hallo,
> >
> > ich habe da mal eine Frage:
> > Ich habe auf einer Seite ein Script, auf dem ich mit Post und action=3D=
""
> >
> > sozusagen immer auf die gleiche bestehende Seite poste.So:
> >
> >
> > if(isset($_POST['aktion1'])){
> > tue das;
> > }elseif (isset($_POST['aktion2'])){
> > tue dies
> > }elseif (isset($_POST['aktion3'])){
> > mach jenes;
> > }else{
> > bla;
> > }
> >
> >
> > Gibt es eine Möglichkeit neben dem Referrer, in den einzelnen
> > "Aktionsbereichen" eine Sicherheitsabfrage zu definieren, die nur die
> > POSTS von dieser Seite erlaubt?
> >
> >
> > Danke schon mal=20
> > Micha
> >
> >

Re: POST / Referrer

michael.fan@lycos.de schrieb:

> Für die zusätzliche Sicherheit möchte ich überprüfen, von welcher
> Seite die Posts kommen und dementsprechend nur Posts von der einen
> Seite zulassen. Geht das?

Nein!

Alles was gefälscht werden kann wird es auch. (es gibt immer jemand der
dich ärgern will)

Wenn die Posts von Servern kommen sollte die Prüfung der IP reichen.
Fälschen der selben ist nicht ganz trivial. Bei Clients kannst du einen
IP Raum zulassen der 'möglicherweise' vertrauenswürdig ist. (z.B.
Klienten mit fester IP).

Wenn IP nicht geht hilft nur eine Authentifizierung. z.B ein sha1-Hash
von geheimnis+ip.

Wenn die Poster von sonst wo kommen: Pech - da hilft nix.

Jörg

Re: POST / Referrer

Hallo Jörg,

vielen Dank erstmal für Deine Antwort. Das mit der IP hört sich sehr
gut an. Ich gehe doch recht in der Annahme, dass - wenn ich eine
Webseite habe, wo die Besucher sich z.B. per Formular registrieren
können, per Buttons Dinge auswählen können (Formskripte mit POST
Funktion) diese Aktionen nur auf dem Server mit der einen IP
statfinden, richtig?

Hast Du zufällig einen Link zu einer Doku, wo ich nachlesen kann, wie
ich die Überprüfung der IP einbinden kann?

Danke
Micha

PS: Was heisst denn "nicht ganz trivial" - eher einfach, oder eher
kompliziert?



Jörg Singendonk schrieb:

> michael.fan@lycos.de schrieb:
>
> > Für die zusätzliche Sicherheit möchte ich überprüfen, von wel=
cher
> > Seite die Posts kommen und dementsprechend nur Posts von der einen
> > Seite zulassen. Geht das?
>
> Nein!
>
> Alles was gefälscht werden kann wird es auch. (es gibt immer jemand der
> dich ärgern will)
>
> Wenn die Posts von Servern kommen sollte die Prüfung der IP reichen.
> Fälschen der selben ist nicht ganz trivial. Bei Clients kannst du einen
> IP Raum zulassen der 'möglicherweise' vertrauenswürdig ist. (z.B.
> Klienten mit fester IP).
>
> Wenn IP nicht geht hilft nur eine Authentifizierung. z.B ein sha1-Hash
> von geheimnis+ip.
>
> Wenn die Poster von sonst wo kommen: Pech - da hilft nix.
>=20
> Jörg

Re: POST / Referrer

michael.fan@lycos.de wrote:

> vielen Dank erstmal für Deine Antwort. Das mit der IP hört sich sehr
> gut an. Ich gehe doch recht in der Annahme, dass - wenn ich eine
> Webseite habe, wo die Besucher sich z.B. per Formular registrieren
> können, per Buttons Dinge auswählen können (Formskripte mit POST
> Funktion) diese Aktionen nur auf dem Server mit der einen IP
> statfinden, richtig?

Ich glaube, das verstehst du falsch. Der POST-Request wird nicht mit der
IP des Webservers verschickt, sondern mit der IP des Besuchers.
Wenn du also feststellen willst, ob der POST-Request durch Benutzen
deines Original-Formular erzeugt wurde, hilft dir die IP da rein gar nichts.

> PS: Was heisst denn "nicht ganz trivial" - eher einfach, oder eher
> kompliziert?

http://de.wikipedia.org/wiki/Trivial

Gruß,
Jens


--
Der Kluegere gibt nach - Eine traurige Wahrheit:
sie begruendet die Weltherrschaft der Dummen.
- Marie von Ebner-Eschenbach

Re: POST / Referrer

michael.fan@lycos.de schrieb:

*TOFU+FQ entsorgt*

Bitte lies: http://einklich.net/usenet/zitier.htm#tofu


Frank