Eric: referer wird nicht übergeben

Hallo,

ich habe einen neuen provider, der absolut keinen plan von seinem apache hat.
ich habe eine seite auf der verschiedene links zu anderen seiten sind. die zielseiten sind mit htaccess geschützt, so das man nur auf sie zugreifen kann, wenn man von meiner seite kommt. die htaccess prüft also den referer.

problem ist jetzt, daß mein server erst garkein referer mitgibt. wir das irgendwo im httpd.conf eingestellt?? oder wo kann man das einschalten?

danke für eure hilfe!

eric

  1. Moin

    problem ist jetzt, daß mein server erst garkein referer mitgibt. wir das irgendwo im httpd.conf eingestellt?? oder wo kann man das einschalten?

    Der Referer wird in einem HTTP-Header vom Client übergeben, der Server (zumindest der Server, der die Ausgangsseite vorhält) hat damit also überhaupt gar nichts zu tun. Schlimmer noch: Der Client kann sich aussuchen, ob er den referer überhaupt überträgt, und wenn ja, ob er auch den richtigen Wert sendet. Da in der Vergangenheit mit dieser Angabe auch schon mal Schindluder getrieben wurde, haben viele Benutzer sich entschieden den referer-Header zu unterdrücken oder Blödfug übermitteln zu lassen (sowas wie "Ich war hier" :), er ist also für eine Authentifizierung denkbar ungeeignet, zumal sich der referer kinderleicht fälschen lässt.

    Wenn du sicherstellen willst, dass ein Besucher wirklich von einer bestimmten Seite kommt, musst du das anders regeln. Eine Idee wäre zum Beispiel eine Art Ticket: Der Ausgangsserver generiert bei jedem Seitenaufruf eine Zufallszahl, hängt diese an die Links auf der Seite an und schafft sie ausserdem auch noch irgendwie auf den Zielserver. Dort werden sie vorläufig gespeichert (und alte Werte rausgeschmissen). Wenn jetzt ein Besucher auf einen der Links klickt, überprüft der Zielserver, ob die übergebene Zahl in der Liste ist und falls ja, wird der Besucher reingelassen (vielleicht noch gleich eine Session aufmachen) und die Zahl aus der Liste gestrichen. Selbstverständlich gibt's auch noch andere Möglichkeiten (zB. MD5(Zufallszahl + Geheimnis), aber der http-referer ist dafür nicht geeignet

    --
    Henryk Plötz
    Grüße von der Ostsee