Reiner: nochmal zum Referer

Beitrag lesen

SELF-Forum

nochmal zum Referer

Reiner
Informationen zu den Bewertungsregeln

Hallo Reiner!

Ich meine damit den Referer (Evenronmentvariable) bei CGI, nicht bei JavaScript!
Ist es WIRKLICH möglich, diesen Wert so im Header zu verschleiern, daß es nicht möglich ist, in zu bekommen?

Aehm... Ja, natuerlich!

Okay, techn. habe ich es nun verstanden. Aber wo sollte der generelle Sinn liegen, das zu machen?
Wenn ich bspw. irgendwo was ausfüllen soll, suchen will...schickt mich das CGI-Script zum "Teufel" wenn der Referer nichts im geringsten mit der Domain zu tun hat, sofern es der Programmierer will. Für mich liegt darin (im Gegensatz zum js-Referer) auch kein Sicherheitsrisiko.

Ich weiss nicht, wie genau der JS-Referrer gebildet wird. Bei HTTP ist es jedenfalls so, dass der Browser (oder wer auch immer der User agent ist, kann auch ein Perl script sein) ganz bewusst und absichtlich im Request einen Header namens Referer: mitsendet, und in dem steht drin, wer die referrende Seite ist. Das *darf* der Browser machen, aber keine Sau auf der Welt zwingt ihn dazu. Schau doch einfach mal nach http://rfc.fh-koeln.de/rfc/html_gz/rfc2616.html.gz Kapitel 14.36, da steht's.

Der JS-Referrer wird wohl ähnlich gebildet. Aber der Hintergrund ist ein anderer. Beim JS-R. kann ich (per JS) das auf einer Seite, aber anderer Domain, auslesen, sofern JS eingeschaltet ist. Der Referrer bei CGI macht im Prinzip das Gleiche. Da aber CGI (normalerweise) für Prozesse wie Suchen, usw. verwendet wird, das entspr. Suchformular meist in der gleichen Domain hängt, liegt es hier (in der Praxis) anders, da das Script ja wohl prüfen will, ob die Daten wirklich aus der eigenen Domain kommen.

Wenn sich jemand wirklich in der Lage sieht, den geschilderten Effekt bewußt zu simulieren, möchte ich ihn bitten, einmal kurz auf folgende Seite zu gehen:
< http://www.w3solutions.de>

Aeh... und was ist da?

Tja, nix....:-)
Außer einem Script, was versucht, den Referrer herauszubekommen. Wenn es wirklich jemand schaffen sollte, den gezielt zu zerhackstückeln, könnte ich es eben hier sehen. Sonst nix!
Das es geht, glaube ich ja nun.
Aber, ob das in der Praxis sehr oft vorkommt (siehe oben: Frage nach dem Sinn), wage ich zu bezweifeln!

Ich glaube es noch immer nicht ganz. Wie funktionieren denn Eure Zähler dann, wenn Ihr noch nicht mal wißt, woher der Scriptaufruf stammt???

Wer sagt, dass die funktionieren?

Naja, ich habe schon mal sowas geschrieben... :-)
Kam bisher jedenfalls noch nicht vor.

So long

Gute Nacht,
Reiner

Beitrag melden
Informationen zu den Bewertungsregeln