AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Programmierung allgemein Programmieren allgemein PHP-Dateien vor direktem Aufruf im Browser schützen.
Thema durchsuchen
Ansicht
Themen-Optionen

PHP-Dateien vor direktem Aufruf im Browser schützen.

Ein Thema von Matze · begonnen am 25. Aug 2008 · letzter Beitrag vom 27. Aug 2008
Antwort Antwort
Seite 2 von 4     12 34      
Benutzerbild von Die Muhkuh
Die Muhkuh

Registriert seit: 21. Aug 2003
7.332 Beiträge
 
Delphi 2009 Professional
 
#11

Re: PHP-Dateien vor direktem Aufruf im Browser schützen.

  Alt 25. Aug 2008, 11:54
Was Du bist, weiß keiner so genau
  Mit Zitat antworten Zitat
Benutzerbild von Matze
Matze
(Co-Admin)

Registriert seit: 7. Jul 2003
Ort: Schwabenländle
14.929 Beiträge
 
Turbo Delphi für Win32
 
#12

Re: PHP-Dateien vor direktem Aufruf im Browser schützen.

  Alt 25. Aug 2008, 11:55
Eine Bot-Erkennungsfunktion finde ich nicht schön, da ständig neue Bots hinzukommen. Außerdem kann man die Bots nur am User-Agent oder der IP erkennen. Die IP ändert sich ständig und der User-Agent kann vom Bot selbst definiert werden. Oftmals ist es ein gängiger Browser-User-Agent. Somit ist das alles andere als zuverlässig.
Per htaccess kann ich auch nur den Referer prüfen und das ist bei JS nicht möglich.

@Martin: Genau. Wenn jemand den Link direkt von meiner Website aufruft oder wenn die JS-Datei dies tut, soll es funktionieren. Gibt man die URL direkt im Browser ein, sollte der Code in der PHP-Datei nicht ausgeführt werden.

@Deddy: Ne, der User-Agent taucht sicher nicht in einer bekannten Bot-Liste auf.


PS: Langsam nerven die ganzen roten Kästen, ich kann den Beitrag gar nicht absenden. *g*
  Mit Zitat antworten Zitat
Namenloser

Registriert seit: 7. Jun 2006
Ort: Karlsruhe
3.724 Beiträge
 
FreePascal / Lazarus
 
#13

Re: PHP-Dateien vor direktem Aufruf im Browser schützen.

  Alt 25. Aug 2008, 11:56
Ja, das war meine Frage, ob es um den Link geht, der von dem JS aufgerufen wird oder um den, den er hinschreibt wenn kein JS aktiviert ist.

Bei dem Link könnte ein Captcha helfen.

Aber ich glaube nicht, dass es für die AJAX-Seite eine 100%ige Lösung gibt. Du könntest höchstens ein möglichst kompliziertes Anmeldesystem (ginge dann wieder in Richtung Session) erstellen, wobei auch das natürlich knackbar wäre. Ist halt die Frage wie viel es dir bzw. dem Angreifer Wert ist.
  Mit Zitat antworten Zitat
Benutzerbild von Matze
Matze
(Co-Admin)

Registriert seit: 7. Jul 2003
Ort: Schwabenländle
14.929 Beiträge
 
Turbo Delphi für Win32
 
#14

Re: PHP-Dateien vor direktem Aufruf im Browser schützen.

  Alt 25. Aug 2008, 11:57
Das "Problem" ist, dass auch nicht registrierte Besucher den Link nutzen dürfen. Sonst müsste ich ja nur die Session-Überprüfen.

Edit: Und eine Captcha kommt für mich nicht in Frage. Ziel ist es, die Benutzung so einfach zu halten, das ein einziger Link-Klick zum Ergebnis führt.
  Mit Zitat antworten Zitat
Namenloser

Registriert seit: 7. Jun 2006
Ort: Karlsruhe
3.724 Beiträge
 
FreePascal / Lazarus
 
#15

Re: PHP-Dateien vor direktem Aufruf im Browser schützen.

  Alt 25. Aug 2008, 11:58
Und wenn du für jeden Besucher auch eine Session erstellen würdest? Natürlich erst nach dem Lösen eines Captchas.

[edit]Ok, also wenn Captcha ausscheidet wirds schwierig[/edit]
  Mit Zitat antworten Zitat
Benutzerbild von Phoenix
Phoenix
(Moderator)

Registriert seit: 25. Jun 2002
Ort: Hausach
7.639 Beiträge
 
#16

Re: PHP-Dateien vor direktem Aufruf im Browser schützen.

  Alt 25. Aug 2008, 12:26
Quick & relativ dirty:
Übergebe bei einem Aufruf den Du selber startest und erlaubst einen 'geheimen' Parameter in der URL mit.
Fehlt dieser, ist es ein ungültiger Aufruf.

Bots raten nicht wild irgendwelche Parameter. Diese hast Du damit zuverlässig ausgesperrt. Ein menschlicher Benutzer könnte das zwar, müsste dann aber auch erst den korrekten Wert des Parameters erraten.
Sebastian Gingter
Phoenix - 不死鳥, Microsoft MVP, Rettungshundeführer
Über mich: Sebastian Gingter @ Thinktecture Mein Blog: https://gingter.org
  Mit Zitat antworten Zitat
Benutzerbild von alcaeus
alcaeus

Registriert seit: 11. Aug 2003
Ort: München
6.537 Beiträge
 
#17

Re: PHP-Dateien vor direktem Aufruf im Browser schützen.

  Alt 25. Aug 2008, 12:30
Zitat von Phoenix:
Übergebe bei einem Aufruf den Du selber startest und erlaubst einen 'geheimen' Parameter in der URL mit.
Fehlt dieser, ist es ein ungültiger Aufruf.
Ich hatte auch an eine Art One-Time-Password gedacht. Du muesstest fuer jeden AJAX-Link ein eigenes OTP generieren. Wird die URL aufgerufen, wird das OTP geloescht und ein neues generiert und in den Link eingetragen. Wenn die OTPs dann auch nach einer gewissen Zeitspanne verfallen, ist es relativ schwer, einen ungueltigen Aufruf zu starten.

Greetz
alcaeus
Andreas B.
Die Mutter der Dummen ist immer schwanger.
Ein Portal für Informatik-Studenten: www.infler.de
  Mit Zitat antworten Zitat
Benutzerbild von Matze
Matze
(Co-Admin)

Registriert seit: 7. Jul 2003
Ort: Schwabenländle
14.929 Beiträge
 
Turbo Delphi für Win32
 
#18

Re: PHP-Dateien vor direktem Aufruf im Browser schützen.

  Alt 25. Aug 2008, 12:32
@Phoenix: Hm wie meinst du das genau?
bei Betreten der Seite speichere ich einen Zufalls-String in der Session, prüfe auf diesen und nach dem Aufruf des Skripts lösche ich ihn wieder aus der Session und erzeuge ggf. einen neuen?
Das würde den direkten Aufruf vermutlich verhindern, stimmt. Ich überlege nur grad, wo dort der Haken ist.

@Andy+Phoenix: Ginge das auch über das $_SESSION-Array?

@Andy: Gut, du hast mir schon die meisten Antworten auf die Fragen gegeben.
  Mit Zitat antworten Zitat
Namenloser

Registriert seit: 7. Jun 2006
Ort: Karlsruhe
3.724 Beiträge
 
FreePascal / Lazarus
 
#19

Re: PHP-Dateien vor direktem Aufruf im Browser schützen.

  Alt 25. Aug 2008, 12:35
IMO ist der Haken, dass ich das ganze immer noch automatisiert durchführen kann:
Seite aufrufen, ID abholen, AJAX-Seite mit ID aufrufen... Wirklich was gewonnen hast du dadurch nicht, außer, dass noch mehr Traffic erzeugt wird.
  Mit Zitat antworten Zitat
Benutzerbild von Matze
Matze
(Co-Admin)

Registriert seit: 7. Jul 2003
Ort: Schwabenländle
14.929 Beiträge
 
Turbo Delphi für Win32
 
#20

Re: PHP-Dateien vor direktem Aufruf im Browser schützen.

  Alt 25. Aug 2008, 12:39
Das stimmt natürlich, aber ob das Bots machen, hm.

Edit: Vielleicht ab heute, weil ihr den "Trick" verraten habt. *g*
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 2 von 4     12 34      


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 20:09 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz