$ENV{"REMOTE_HOST"} nutzlos?

$ENV{"REMOTE_HOST"} nutzlos?

am 12.05.2007 10:43:21 von Heiko Rompel

Moin,

da wollte ich mittels $ENV{'REMOTE_HOST'} herausbekommen,
ob ein Script von seiner Homepage aufgrufen wurde oder ob es von woanders
her
aufgerufen wurde, aber leider bleibt $ENV{'REMOTE_HOST'} teilweise leer.

Gibt es denn keinen abfragbaren Wege, herauszufinden von wo ein Aufruf
erfolgte?

MfG
Heiko

Re: $ENV{"REMOTE_HOST"} nutzlos?

am 12.05.2007 10:49:27 von Frank Seitz

Heiko Rompel wrote:
>
> da wollte ich mittels $ENV{'REMOTE_HOST'} herausbekommen,
> ob ein Script von seiner Homepage aufgrufen wurde oder ob es von woanders
> her
> aufgerufen wurde, aber leider bleibt $ENV{'REMOTE_HOST'} teilweise leer.

Wieso macht das was, für das was Du erreichen möchtest?

> Gibt es denn keinen abfragbaren Wege, herauszufinden von wo ein Aufruf
> erfolgte?

Versuchs mal mit REMOTE_ADDR, das sollte immer einen Wert haben.

Grüße
Frank
--
Dipl.-Inform. Frank Seitz; http://www.fseitz.de/
Anwendungen für Ihr Internet und Intranet
Tel: 04103/180301; Fax: -02; Industriestr. 31, 22880 Wedel

Re: $ENV{"REMOTE_HOST"} nutzlos?

am 12.05.2007 11:11:14 von Mirco Wahab

Heiko Rompel wrote:
> Moin,
>
> da wollte ich mittels $ENV{'REMOTE_HOST'} herausbekommen,
> ob ein Script von seiner Homepage aufgrufen wurde oder ob es von
> woanders her
> aufgerufen wurde, aber leider bleibt $ENV{'REMOTE_HOST'} teilweise leer.
>
> Gibt es denn keinen abfragbaren Wege, herauszufinden von wo ein Aufruf
> erfolgte?

@goodhosts = ('http://www.heikorompel.com', 'http://www.beimirinau.com');

if( $ENV{'HTTP_REFERER'} ) {
...
if( grep /$ENV{'HTTP_REFERER'}/, @goodhosts ) {
...
fine


Der Referer kann natürlich, wie der gesamte http header,
gefaked werden. Sogar schon mit wget und erst recht
mit den Perl-Modulen.


Viele Grüße

M.

Re: $ENV{"REMOTE_HOST"} nutzlos?

am 12.05.2007 11:33:50 von Heiko Rompel

Hallo,

>> aufgerufen wurde, aber leider bleibt $ENV{'REMOTE_HOST'} teilweise leer.
>
> Wieso macht das was, für das was Du erreichen möchtest?

Nein.

> Versuchs mal mit REMOTE_ADDR, das sollte immer einen Wert haben.

Damit habe ich die IP.
Damit kann ich aber nur dann was anfangen, wenn der Provider bei dem das
Script liegt,
mir immer die gleiche IP zuweist.
Sonst kannich ja nicht feststellen, ob das Script von meiner Seite (meiner
IP) oder einer
anderen Seite aufgerufen wurde.

MfG
Heiko

Re: $ENV{"REMOTE_HOST"} nutzlos?

am 12.05.2007 11:37:49 von Heiko Rompel

Hallo,

> if( $ENV{'HTTP_REFERER'} ) {

Wie steht schon in meinem Perlbuch:
'HTTP_REFERER' >>"Der Wert der Variablen wird nicht von allen WWW-Browsern
übermittelt.
"<<

> Der Referer kann natürlich, wie der gesamte http header,
> gefaked werden. Sogar schon mit wget und erst recht
> mit den Perl-Modulen.

Und kann man das verhindern bzw. gibt es im Datenstrom Informationen die
nicht gefaked werden können?

MfG
Heiko

Re: $ENV{"REMOTE_HOST"} nutzlos?

am 12.05.2007 13:23:57 von hjp-usenet2

On 2007-05-12 09:33, Heiko Rompel wrote:
>>> aufgerufen wurde, aber leider bleibt $ENV{'REMOTE_HOST'} teilweise leer.
>>
>> Wieso macht das was, für das was Du erreichen möchtest?
>
> Nein.

Auf eine "wieso"-Frage mit "Nein" zu antworten ist eigenwillig.


>> Versuchs mal mit REMOTE_ADDR, das sollte immer einen Wert haben.
>
> Damit habe ich die IP.
> Damit kann ich aber nur dann was anfangen, wenn der Provider bei dem das
> Script liegt,
> mir immer die gleiche IP zuweist.

Nein. Das ist die IP-Adresse des Clients (also des Rechners, auf dem der
Browser läuft, oder der Proxy, wenn ein solcher im Spiel ist). Die hat
überhaupt nichts mit dem Server auf dem das Script liegt, zu tun.

Das gleiche gilt für REMOTE_HOST.


> Sonst kannich ja nicht feststellen, ob das Script von meiner Seite
> (meiner IP) oder einer anderen Seite aufgerufen wurde.

Was meinst Du mit "von meiner Seite aufgerufen"? Meinst Du, dass auf
Deiner Seite ein oder

befindet, das
auf das bewusste Script verweist? Dann sind REMOTE_ADDR und REMOTE_HOST
komplett falsch. HTTP_REFERER wäre richig, ist aber trivial zu fälschen
(vom Benutzer des Browsers, nicht vom Betreiber einer anderen Website).
Du könntest in einem Cookie oder Hidden Field einen Wert mitgeben, der
dann im Script überprüft wird (z.B. sowas wie ($now . md5_hex($secret .
$now)) - wenn $now zu alt ist oder die Checksumme nicht stimmt, bekommt
der User nur eine Fehlermeldung).

hp

--
_ | Peter J. Holzer | I know I'd be respectful of a pirate
|_|_) | Sysadmin WSR | with an emu on his shoulder.
| | | hjp@hjp.at |
__/ | http://www.hjp.at/ | -- Sam in "Freefall"

Re: $ENV{"REMOTE_HOST"} nutzlos?

am 12.05.2007 13:29:02 von hjp-usenet2

On 2007-05-12 09:37, Heiko Rompel wrote:
>> if( $ENV{'HTTP_REFERER'} ) {
>
> Wie steht schon in meinem Perlbuch:
> 'HTTP_REFERER' >>"Der Wert der Variablen wird nicht von allen WWW-Browsern
> übermittelt.
> "<<

Alle Browser übermitteln das per Default. Bei manchen kann man es
abschalten und manche User tun das aus Datenschutzgründen (genauso wie
sie Cookies und andere Informationen abschalten). Wenn nun ein User sagt
"Von welcher Seite ich komme, geht Dich nichts an", dann
kannst Du auch sagen "Dann geht Dich der Output meines Scripts auch
nichts an" - ob Du das willst, ist Deine Entscheidung.


>> Der Referer kann natürlich, wie der gesamte http header,
>> gefaked werden. Sogar schon mit wget und erst recht
>> mit den Perl-Modulen.
>
> Und kann man das verhindern bzw. gibt es im Datenstrom Informationen die
> nicht gefaked werden können?

Die IP-Adresse des Clients (sonst kriegt er kein Ergebnis). Alles was Du
ihm schickst (Cookies, URLS) und entsprechend kryptographisch
absicherst.

hp


--
_ | Peter J. Holzer | I know I'd be respectful of a pirate
|_|_) | Sysadmin WSR | with an emu on his shoulder.
| | | hjp@hjp.at |
__/ | http://www.hjp.at/ | -- Sam in "Freefall"

Re: $ENV{"REMOTE_HOST"} nutzlos?

am 12.05.2007 13:56:40 von Heiko Rompel

Hallo,

"Peter J. Holzer" schrieb:

> Auf eine "wieso"-Frage mit "Nein" zu antworten ist eigenwillig.

Okay, da hast du recht.

> Nein. Das ist die IP-Adresse des Clients (also des Rechners, auf dem der
> Browser läuft, oder der Proxy, wenn ein solcher im Spiel ist). Die hat
> überhaupt nichts mit dem Server auf dem das Script liegt, zu tun.
>
> Das gleiche gilt für REMOTE_HOST.

Und wieder was dazu gelernt.

> Was meinst Du mit "von meiner Seite aufgerufen"? Meinst Du, dass auf
> Deiner Seite ein
oder befindet, das
> auf das bewusste Script verweist?

Ja.

> HTTP_REFERER wäre richig, ist aber trivial zu fälschen
> (vom Benutzer des Browsers, nicht vom Betreiber einer anderen Website).

Oder wird nicht übertragen ...

> Du könntest in einem Cookie oder Hidden Field einen Wert mitgeben, der
> dann im Script überprüft wird (z.B. sowas wie ($now . md5_hex($secret .
> $now)) - wenn $now zu alt ist oder die Checksumme nicht stimmt, bekommt
> der User nur eine Fehlermeldung).

In der Art mache ich schon was.
Ich hatte nur überlegt ob man das doch eine " HTTP_REFERER "-Abfrage
oder vergleichbarem, sicherer machen kann.

MfG
Heiko

Re: $ENV{"REMOTE_HOST"} nutzlos?

am 12.05.2007 13:59:40 von Heiko Rompel

Hallo,

"Peter J. Holzer" schrieb:

"Dann geht Dich der Output meines Scripts auch
> nichts an" - ob Du das willst, ist Deine Entscheidung.

Das will ich nicht.

> Die IP-Adresse des Clients (sonst kriegt er kein Ergebnis). Alles was Du
> ihm schickst (Cookies, URLS) und entsprechend kryptographisch
> absicherst.

Damit weiß ich aber noch nicht, ob die POST-Daten von meiner Page
dem Script vorgeworfen werden oder von anderer Seite kommen.

MfG
Heiko

Re: $ENV{"REMOTE_HOST"} nutzlos?

am 12.05.2007 14:55:51 von Frank Seitz

Heiko Rompel wrote:

> Damit weiß ich aber noch nicht, ob die POST-Daten von meiner Page
> dem Script vorgeworfen werden oder von anderer Seite kommen.

Du möchtest Lösungen für Probleme implementieren, die Du nicht mal
halbwegs klar durchdrungen hast. Das Missverständnis fängt schon
damit an, dass eine Page keine Daten postet.

Du suchst CAPTCHAs, Transaktionsnummern oder dergleichen.
Aus dem CGI-Environment kannst Du nicht ablesen, ob ein
CGI-Aufruf "berechtigt" ist oder nicht. Schon gar nicht, wenn
die Sache nicht fälschbar und portabel sein soll.

Grüße
Frank
--
Dipl.-Inform. Frank Seitz; http://www.fseitz.de/
Anwendungen für Ihr Internet und Intranet
Tel: 04103/180301; Fax: -02; Industriestr. 31, 22880 Wedel

Re: $ENV{"REMOTE_HOST"} nutzlos?

am 12.05.2007 17:44:20 von Slaven Rezic

"Peter J. Holzer" writes:

> On 2007-05-12 09:37, Heiko Rompel wrote:
[...]
> >
> > Und kann man das verhindern bzw. gibt es im Datenstrom Informationen die
> > nicht gefaked werden können?
>
> Die IP-Adresse des Clients (sonst kriegt er kein Ergebnis).
>

Wobei der User Proxies verwenden könnte, mit denen er seine wahre
Herkunft verschleiert.

--
Slaven Rezic - slaven rezic de

Lost in your Tk widget tree? Try
http://user.cs.tu-berlin.de/~eserte/src/perl/Tk-WidgetDump/

Re: $ENV{"REMOTE_HOST"} nutzlos?

am 12.05.2007 18:12:33 von Heiko Rompel

Hallo,

"Frank Seitz" schrieb:

> Aus dem CGI-Environment kannst Du nicht ablesen, ob ein
> CGI-Aufruf "berechtigt" ist oder nicht. Schon gar nicht, wenn
> die Sache nicht fälschbar und portabel sein soll.

Danke, diese Aussage habe ich gesucht.
Google-Groups hatte mir nicht weitergeholfen.

Schönes Restwochenende
Heiko

Re: $ENV{"REMOTE_HOST"} nutzlos?

am 12.05.2007 19:00:20 von Hermann Martinelli

Heiko Rompel wrote:
> Moin,
>
> da wollte ich mittels $ENV{'REMOTE_HOST'} herausbekommen,
> ob ein Script von seiner Homepage aufgrufen wurde oder ob es von
> woanders her
> aufgerufen wurde, aber leider bleibt $ENV{'REMOTE_HOST'} teilweise leer.

Aus der CGI-Spezifikation:

REMOTE_HOST:
Name des Rechners, von dem der Request stammt. Falls der Server diese
Information nicht besitzt, weil zum Beispiel die zugreifende Maschine
über keinen Domain-Eintrag verfügt, ist diese Variable leer.
In diesem Fall hilft REMOTE_ADDR weiter.
Beispiel: tommy.Informatik.Uni-Dortmund.DE

REMOTE_ADDR:

IP-Adresse des Client-Rechners.
Beispiel: 129.217.24.126

(Publiziert unter http://www.ruhr-uni-bochum.de/...)

> Gibt es denn keinen abfragbaren Wege, herauszufinden von wo ein Aufruf
> erfolgte?
>
> MfG
> Heiko

Re: $ENV{"REMOTE_HOST"} nutzlos?

am 13.05.2007 08:15:15 von mlelstv

"Heiko Rompel" writes:

>Damit weiß ich aber noch nicht, ob die POST-Daten von meiner Page
>dem Script vorgeworfen werden oder von anderer Seite kommen.

Unterschreibe die Daten, dann weisst du es.

--
--
Michael van Elst
Internet: mlelstv@serpens.de
"A potential Snark may lurk in every tree."

Re: $ENV{"REMOTE_HOST"} nutzlos?

am 13.05.2007 09:00:52 von Frank Seitz

Michael van Elst wrote:
> "Heiko Rompel" writes:
>>
>>Damit weiß ich aber noch nicht, ob die POST-Daten von meiner Page
>>dem Script vorgeworfen werden oder von anderer Seite kommen.
>
> Unterschreibe die Daten, dann weisst du es.

Die Daten kann er schwerlich unterschreiben, denn die kommen
nicht von ihm, sondern von einem Browser.

Grüße
Frank
--
Dipl.-Inform. Frank Seitz; http://www.fseitz.de/
Anwendungen für Ihr Internet und Intranet
Tel: 04103/180301; Fax: -02; Industriestr. 31, 22880 Wedel

Re: $ENV{"REMOTE_HOST"} nutzlos?

am 13.05.2007 15:33:52 von hjp-usenet2

On 2007-05-13 07:00, Frank Seitz wrote:
> Michael van Elst wrote:
>> "Heiko Rompel" writes:
>>>
>>>Damit weiß ich aber noch nicht, ob die POST-Daten von meiner Page
>>>dem Script vorgeworfen werden oder von anderer Seite kommen.
>>
>> Unterschreibe die Daten, dann weisst du es.
>
> Die Daten kann er schwerlich unterschreiben, denn die kommen
> nicht von ihm, sondern von einem Browser.

Die Daten, die der User eingibt, kann er natürlich nicht unterschreiben,
aber die, die er selber (z.B. in einem Hidden-Field) einfügt. Die soll
der Browser einfach nur unverändert weiterreichen, und genau das stellt
man mit einer Signatur sicher.

hp

--
_ | Peter J. Holzer | I know I'd be respectful of a pirate
|_|_) | Sysadmin WSR | with an emu on his shoulder.
| | | hjp@hjp.at |
__/ | http://www.hjp.at/ | -- Sam in "Freefall"

Re: $ENV{"REMOTE_HOST"} nutzlos?

am 13.05.2007 15:38:54 von hjp-usenet2

On 2007-05-12 11:59, Heiko Rompel wrote:
> "Peter J. Holzer" schrieb:
>> "Dann geht Dich der Output meines Scripts auch
>> nichts an" - ob Du das willst, ist Deine Entscheidung.
>
> Das will ich nicht.
>
>> Alles was Du ihm schickst (Cookies, URLS) und entsprechend
>> kryptographisch absicherst.
>
> Damit weiß ich aber noch nicht, ob die POST-Daten von meiner Page
> dem Script vorgeworfen werden oder von anderer Seite kommen.

Abgesehen davon, dass - wie schon jemand festgestellt hat - die
POST-Daten dem Script nie von einer Page sondern von einem Browser
vorgeworfen werden, kannst Du genau das damit feststellen. Wie das geht,
habe ich bereits geschildert.

Was ist das *eigentliche* Problem, das Du lösen willst?

hp


--
_ | Peter J. Holzer | I know I'd be respectful of a pirate
|_|_) | Sysadmin WSR | with an emu on his shoulder.
| | | hjp@hjp.at |
__/ | http://www.hjp.at/ | -- Sam in "Freefall"

Re: $ENV{"REMOTE_HOST"} nutzlos?

am 13.05.2007 15:42:28 von Frank Seitz

Peter J. Holzer wrote:
> On 2007-05-13 07:00, Frank Seitz wrote:
>>Michael van Elst wrote:
>>>
>>>"Heiko Rompel" writes:
>>>
>>>>Damit weiß ich aber noch nicht, ob die POST-Daten von meiner Page
>>>>dem Script vorgeworfen werden oder von anderer Seite kommen.
>>>
>>>Unterschreibe die Daten, dann weisst du es.
>>
>>Die Daten kann er schwerlich unterschreiben, denn die kommen
>>nicht von ihm, sondern von einem Browser.
>
> Die Daten, die der User eingibt, kann er natürlich nicht unterschreiben,
> aber die, die er selber (z.B. in einem Hidden-Field) einfügt. Die soll
> der Browser einfach nur unverändert weiterreichen, und genau das stellt
> man mit einer Signatur sicher.

Schön, kann er machen. Aber inwiefern löst dies das Problem?

Grüße
Frank
--
Dipl.-Inform. Frank Seitz; http://www.fseitz.de/
Anwendungen für Ihr Internet und Intranet
Tel: 04103/180301; Fax: -02; Industriestr. 31, 22880 Wedel

Re: $ENV{"REMOTE_HOST"} nutzlos?

am 13.05.2007 17:13:10 von Heiko Rompel

Hallo,

"Peter J. Holzer" schrieb:

> Abgesehen davon, dass - wie schon jemand festgestellt hat - die
> POST-Daten dem Script nie von einer Page sondern von einem Browser
> vorgeworfen werden, kannst Du genau das damit feststellen. Wie das geht,
> habe ich bereits geschildert.

Mal für mein Verständnis:

Script erzeugt Formular mit Hidden-Field in dem sich z.B. ein MD5-Hash
befindet.
Den gleichen MD5-Hash schreibe ich in eine Datei oder Datenbank.
Wenn das Formular nun abgeschickt wird, wertet das Zielscript nun als erstes
aus, ob der MD5-Hash in der Datei/Datenbank vorhanden ist (und löscht ihn).
Wenn Daten ohne gültigen Hash kommen, habe werden die Daten verworfen.
Richtig so?

> Was ist das *eigentliche* Problem, das Du lösen willst?

Ich habe wie an anderer Stelle gepostet ein Gästebuch, das ich mit meinen
Kenntnissen
sichern will. Ich habe jetzt Pflichtfelder und Captcha. Ich hatte nun
überlegt,
ob ich feststellen kann, ob die Daten von meinem Formular kommen oder nicht.

MfG
Heiko

Re: $ENV{"REMOTE_HOST"} nutzlos?

am 13.05.2007 17:17:03 von mlelstv

Frank Seitz writes:

>Michael van Elst wrote:
>> Unterschreibe die Daten, dann weisst du es.

>Die Daten kann er schwerlich unterschreiben, denn die kommen
>nicht von ihm, sondern von einem Browser.

Seite1 liefert Daten an Browser.

Seite2 erwartet Daten vom Browser und das dahinter liegende
Programm muss feststellen, ob das Daten sind, die Seite1
geliefert hat. Das geht dann, wenn die Daten signiert sind.

--
--
Michael van Elst
Internet: mlelstv@serpens.de
"A potential Snark may lurk in every tree."

Re: $ENV{"REMOTE_HOST"} nutzlos?

am 13.05.2007 17:17:54 von mlelstv

Frank Seitz writes:

>Schön, kann er machen. Aber inwiefern löst dies das Problem?

Welches Problem? :)

--
--
Michael van Elst
Internet: mlelstv@serpens.de
"A potential Snark may lurk in every tree."

Re: $ENV{"REMOTE_HOST"} nutzlos?

am 13.05.2007 17:41:29 von hjp-usenet2

On 2007-05-13 15:13, Heiko Rompel wrote:
> "Peter J. Holzer" schrieb:
>> Abgesehen davon, dass - wie schon jemand festgestellt hat - die
>> POST-Daten dem Script nie von einer Page sondern von einem Browser
>> vorgeworfen werden, kannst Du genau das damit feststellen. Wie das geht,
>> habe ich bereits geschildert.
>
> Mal für mein Verständnis:
>
> Script erzeugt Formular mit Hidden-Field in dem sich z.B. ein MD5-Hash
> befindet.
> Den gleichen MD5-Hash schreibe ich in eine Datei oder Datenbank.
> Wenn das Formular nun abgeschickt wird, wertet das Zielscript nun als erstes
> aus, ob der MD5-Hash in der Datei/Datenbank vorhanden ist (und löscht ihn).
> Wenn Daten ohne gültigen Hash kommen, habe werden die Daten verworfen.
> Richtig so?

Im Prinzip ja. Nur reicht eine einfache (ausreichend lange) Zufallszahl,
wenn Du sie in einer Datenbank speicherst, dazu brauchst Du keinen Hash.
Die Methode, die ich vorgeschlagen hatte (Zeitstempel + Hash) kommt ohne
Datenbank aus.


>> Was ist das *eigentliche* Problem, das Du lösen willst?
>
> Ich habe wie an anderer Stelle gepostet ein Gästebuch, das ich mit
> meinen Kenntnissen sichern will.

Das habe ich befürchtet: Klassisches XY-Problem. Warum sollte jemand auf
einer anderen Website ein Formular erstellen, das die Eingabe von
Eintragungen in Dein Gästebuch erlaubt? Hast Du irgendwelche Hinweise
darauf, dass das geschieht? (Nein, Gästebuchspam ist kein Hinweis darauf
- das macht wohl üblicherweise ein Bot und da ist weder ein Formular
noch ein Browser im Spiel).

> Ich habe jetzt Pflichtfelder und Captcha. Ich hatte nun überlegt, ob
> ich feststellen kann, ob die Daten von meinem Formular kommen oder
> nicht.

Du kannst den Spambot damit zwingen, Dein Formular zu holen, bevor er
den Spam abkippt, ja. Inwiefern ist Dir damit geholfen?

hp

--
_ | Peter J. Holzer | I know I'd be respectful of a pirate
|_|_) | Sysadmin WSR | with an emu on his shoulder.
| | | hjp@hjp.at |
__/ | http://www.hjp.at/ | -- Sam in "Freefall"

Re: $ENV{"REMOTE_HOST"} nutzlos?

am 13.05.2007 17:52:38 von hjp-usenet2

On 2007-05-13 13:42, Frank Seitz wrote:
> Peter J. Holzer wrote:
>> On 2007-05-13 07:00, Frank Seitz wrote:
>>>Michael van Elst wrote:
>>>>"Heiko Rompel" writes:
>>>>>Damit weiß ich aber noch nicht, ob die POST-Daten von meiner Page
>>>>>dem Script vorgeworfen werden oder von anderer Seite kommen.
>>>>
>>>>Unterschreibe die Daten, dann weisst du es.
>>>
>>>Die Daten kann er schwerlich unterschreiben, denn die kommen
>>>nicht von ihm, sondern von einem Browser.
>>
>> Die Daten, die der User eingibt, kann er natürlich nicht unterschreiben,
>> aber die, die er selber (z.B. in einem Hidden-Field) einfügt. Die soll
>> der Browser einfach nur unverändert weiterreichen, und genau das stellt
>> man mit einer Signatur sicher.
>
> Schön, kann er machen. Aber inwiefern löst dies das Problem?

Kommt darauf an, was "das Problem" ist. Heikos eigentliches Problem wird
es wohl nicht lösen, aber das hat er ja bis eben auch nicht geschildert.

Wenn "das Problem" ist: "Ich möchte dafür sorgen, dass ein bestimmtes
Script nur über ein bestimmtes Formular erreichbar ist"[0], dann wird ist
dieses Problem so lösbar. Denn jeder User-Agent[1], der nicht vorher das
Formular besucht hat, ist nicht im Besitz des richtigen Werts für das
Hidden-Field und kann damit keinen gültigen Request absetzen.

hp


[0] Mögliche Gründe dafür:
* User soll Nutzungsbestimmungen gelesen haben
* Andere Websites sollen das Service nicht als ihres ausgeben
können.
[1] Ich schreibe hier absichtlich nicht Browser. Das kann auch ein
Nicht-interaktives Tool sein.

--
_ | Peter J. Holzer | I know I'd be respectful of a pirate
|_|_) | Sysadmin WSR | with an emu on his shoulder.
| | | hjp@hjp.at |
__/ | http://www.hjp.at/ | -- Sam in "Freefall"

Re: $ENV{"REMOTE_HOST"} nutzlos?

am 13.05.2007 18:02:41 von Heiko Rompel

Hallo,

"Peter J. Holzer" schrieb:

> Im Prinzip ja.

Okay.

> Nur reicht eine einfache (ausreichend lange) Zufallszahl,
> wenn Du sie in einer Datenbank speicherst, dazu brauchst Du keinen Hash.

Leuchtet ein.

> Die Methode, die ich vorgeschlagen hatte (Zeitstempel + Hash) kommt ohne
> Datenbank aus.

Bedeutet aber, das ich mir überlegen muß, nach welcher Zeit ich
Daten als nicht mehr zuläßig ansehe.

> Das habe ich befürchtet: Klassisches XY-Problem. Warum sollte jemand auf
> einer anderen Website ein Formular erstellen, das die Eingabe von
> Eintragungen in Dein Gästebuch erlaubt?

Weiß ich nicht.

> Hast Du irgendwelche Hinweise darauf, dass das geschieht?

Wen ich das nur genau wüßte. Fakt ist, das jemand Daten in Gästebuch
geschrieben hat und dazu halt die Hiddenfeldinformationen (zu dem Zeitpunkt
im Klartext)
benutzt hat.

(Nein, Gästebuchspam ist kein Hinweis darauf
> - das macht wohl üblicherweise ein Bot und da ist weder ein Formular
> noch ein Browser im Spiel).

Vielleicht hat da einer versucht wie sicher das Gästebuch ist, um dann
seinen Bot
drauf loszulassen.

>> Ich habe jetzt Pflichtfelder und Captcha. Ich hatte nun überlegt, ob
>> ich feststellen kann, ob die Daten von meinem Formular kommen oder
>> nicht.
>
> Du kannst den Spambot damit zwingen, Dein Formular zu holen, bevor er
> den Spam abkippt, ja. Inwiefern ist Dir damit geholfen?

Der Bot muß die Pflichtfeld ausfüllen und das Captcha lösen.
Klar mit genügend Energie und der Hoffnung mit den Einträgen vielleicht Geld
zu machen, ist jeder Schutz ein Witz.
Der Freak (scheint immer der gleiche zu sein) scheint es auch nicht zu
stören,
das erfolgreiche Einträge teilweise binnen Minuten wieder gelöscht sind.

Ich überlege, ob vielleicht noch eine Blacklist sinnvoll wäre.

MfG
Heiko

Re: $ENV{"REMOTE_HOST"} nutzlos?

am 13.05.2007 18:25:26 von Frank Seitz

Peter J. Holzer wrote:

> Wenn "das Problem" ist: "Ich möchte dafür sorgen, dass ein bestimmtes
> Script nur über ein bestimmtes Formular erreichbar ist"[0], dann wird ist
> dieses Problem so lösbar. Denn jeder User-Agent[1], der nicht vorher das
> Formular besucht hat, ist nicht im Besitz des richtigen Werts für das
> Hidden-Field und kann damit keinen gültigen Request absetzen.
>
> hp
>
> [0] Mögliche Gründe dafür:
> * User soll Nutzungsbestimmungen gelesen haben
> * Andere Websites sollen das Service nicht als ihres ausgeben
> können.

Was hindert mich technisch, ein eigenes Formular nebst eigenem CGI
zu erstellen, das die Seite des eigentlichen Anbieters aufruft,
die Signatur ausschnibbelt und diese mit den selbst erhobenen Daten
an dessen CGI schickt?

> [1] Ich schreibe hier absichtlich nicht Browser. Das kann auch ein
> Nicht-interaktives Tool sein.

Ist klar, irgendein HTTP-Client.

Grüße
Frank
--
Dipl.-Inform. Frank Seitz; http://www.fseitz.de/
Anwendungen für Ihr Internet und Intranet
Tel: 04103/180301; Fax: -02; Industriestr. 31, 22880 Wedel

Re: $ENV{"REMOTE_HOST"} nutzlos?

am 13.05.2007 20:06:48 von hjp-usenet2

On 2007-05-13 16:25, Frank Seitz wrote:
> Peter J. Holzer wrote:
>
>> Wenn "das Problem" ist: "Ich möchte dafür sorgen, dass ein bestimmtes
>> Script nur über ein bestimmtes Formular erreichbar ist"[0], dann wird ist
>> dieses Problem so lösbar. Denn jeder User-Agent[1], der nicht vorher das
>> Formular besucht hat, ist nicht im Besitz des richtigen Werts für das
>> Hidden-Field und kann damit keinen gültigen Request absetzen.
>>
>>
>> [0] Mögliche Gründe dafür:
>> * User soll Nutzungsbestimmungen gelesen haben
>> * Andere Websites sollen das Service nicht als ihres ausgeben
>> können.
>
> Was hindert mich technisch, ein eigenes Formular nebst eigenem CGI
> zu erstellen, das die Seite des eigentlichen Anbieters aufruft,
> die Signatur ausschnibbelt und diese mit den selbst erhobenen Daten
> an dessen CGI schickt?

Nichts. Allerdings fällt dann eventuell in den Logfiles auf, dass eine
bestimmte IP-Adresse verdächtig häufig vorkommt, oder man baut gleich
Rate-Limiting ein. Das kannst Du dann wieder über TOR o.ä. umgehen. Aber
irgendwann wird dann auch der unschuldigste Augenaufschlag vor dem
Richter unglaubwürdig werden.

hp


--
_ | Peter J. Holzer | I know I'd be respectful of a pirate
|_|_) | Sysadmin WSR | with an emu on his shoulder.
| | | hjp@hjp.at |
__/ | http://www.hjp.at/ | -- Sam in "Freefall"