nicht angemeldet
referer verschlüsseln
Hallo
wenn man Z.B mit dem Link<A HREF="$ENV{'SCRIPT_NAME'}?action=post&pass=karl ins cgi gelangt und dort
Z:b auf einen Link
<A HREF=http://eineDomain.de/> klicken würde könnte eineDomain.de
in der referer Statistik den Geamten Link mit Passwort erkennen.
Wie könnte man diese Sischerheitslücke verbessern?
vielen Dank für eventuelle Hilfe
petra
-
Hi,
<A HREF="$ENV{'SCRIPT_NAME'}?action=post&pass=karl
das "&" _muss_ HTML-kodiert werden.
<A HREF=http://eineDomain.de/>
Dieser Attributwert _muss_ in Anführungszeichen stehen.
Wie könnte man diese Sischerheitslücke verbessern?
Forcierung eines anderen Referers, etwa durch einen (nicht HTTP-)Redirect. Letzten Endes ist es jedoch immer Sache des Clients, was er als Referer sendet.
Cheatah
--
X-Will-Answer-Email: No
X-Please-Search-Archive-First: Absolutely Yes -
Wenn Du sowas sicher machen möchtest hilft Dir eigentlich nur noch ssl
z.B. open ssl.Gruss Matze
-
Hi,
Wenn Du sowas sicher machen möchtest hilft Dir eigentlich nur noch ssl
und das bringt hier bitte was? Der fremde Server wird immer noch ohne SSL angesprochen (und wenn nicht, ist das auch egal), und der Client entscheidet, ob er die referenzierende Seite als Referer mitschickt.
Cheatah
--
X-Will-Answer-Email: No
X-Please-Search-Archive-First: Absolutely Yes
-