Thorsten Steffen: POST sicherer als GET?

Beitrag lesen

SELF-Forum

POST sicherer als GET?

Thorsten Steffen
Informationen zu den Bewertungsregeln

Hi Lactrik,

Mal angenommen, ich habe eine Abstimmung... in einem Formular macht man gewisse Angaben, welche dann über POST übermittelt werden. Anschliessend wird ein Cookie gesetzt, dass Mehrfach-Abstimmung verhindert.

Das tut das Cookie mit sicherheit nicht, mehrfachabstimmungen verhindern. steht so auch in den anderen antworten.

Sogesehen ist POST doch sicherer oder nicht? Weil dort keine Manipulationen möglich sind?

Ich würde POST auch als etwas sicherer einstufen als GET, aber bei weitem nicht sicher. Eine Manipulation ist auch dort ohne grossen aufwand möglich. Sicher nur weil ich davon ausgehe das ein paar Benutzer weniger wissen was zu tun ist für eine Manipulation ;)

Eines muss klar sein, 100% Sicherheit gibt es hier nicht. Aber durch eine gezielte Kombination von Sicherheitsmechanismen kannst du es sehr schwer und evtl sehr unattraktiv machen manipulieren zu wollen. Und die schliesst diejenigen aus die nicht das knowhow dazu haben.

einige ideenansätze,

  • das Cookie ist nicht verkehrt, nur leicht umgehbar, aber du filterst mit sicherheit einige heraus.

  • REFERER, ist manipulierbar und nicht jeder Browser setzt einen, also prüfst du ob gesetzt und wenn ob der richtige, alles andere filterst du aus.

  • IPAdresse, hm, ist aber so ein kritischer punkt, nicht jeder hat eine "eigene" IP (z.B. Firmennetzwerk) und schon garnicht eine statische. Aber oft wird folgendes gemacht, die IP wird in eine Tabelle mit der Zeit eingetragen und bleibt dort 5min drin, erst danach kann wieder abgestimmt werden. Ist zwar keine sauberer lösung, aber ich denke effektiv, da diejenigen die mehrfachabstimmen wollen das sicherlich meist direkt hintereinander tun werden.

  • Eine Id für das Formular in ein hiddenfeld generiert, diese id als "schon abgestimmt" speichern, das formular dürfte in einigen Fällen aus dem cache und nicht vom Server kommen (musst du mit einigen massnamen "fördern").

was mir gerade eingefallen ist, nur ideenansätze. Wichtig ist, je mehr Mechanismen um so sicherer, wobei man den user nicht kanns vergessen sollte, dumm ists dein Formular ist schon so "abgedichtet" das man nicht mal mehr ein einziges mal abstimmen kann ;)

gruss

Thorsten

Beitrag melden
Informationen zu den Bewertungsregeln