petra: referer verschlüsseln

SELF-Forum

referer verschlüsseln

petra
Informationen zu den Bewertungsregeln

Hallo

wenn man Z.B mit dem Link<A HREF="$ENV{'SCRIPT_NAME'}?action=post&pass=karl ins cgi gelangt und dort

Z:b auf einen Link

<A HREF=http://eineDomain.de/> klicken würde könnte eineDomain.de

in der referer Statistik den Geamten Link mit Passwort erkennen.

Wie könnte man diese Sischerheitslücke verbessern?

vielen Dank für eventuelle Hilfe

petra

Beitrag melden
Informationen zu den Bewertungsregeln

  1. referer verschlüsseln

    Cheatah
    Informationen zu den Bewertungsregeln

    Hi,

    <A HREF="$ENV{'SCRIPT_NAME'}?action=post&pass=karl

    das "&" _muss_ HTML-kodiert werden.

    <A HREF=http://eineDomain.de/>

    Dieser Attributwert _muss_ in Anführungszeichen stehen.

    Wie könnte man diese Sischerheitslücke verbessern?

    Forcierung eines anderen Referers, etwa durch einen (nicht HTTP-)Redirect. Letzten Endes ist es jedoch immer Sache des Clients, was er als Referer sendet.

    Cheatah

    --
    X-Will-Answer-Email: No
    X-Please-Search-Archive-First: Absolutely Yes
    Beitrag melden
    Informationen zu den Bewertungsregeln

  2. referer verschlüsseln

    Matze
    Informationen zu den Bewertungsregeln

    Wenn Du sowas sicher machen möchtest hilft Dir eigentlich nur noch ssl
    z.B. open ssl.

    Gruss Matze

    Beitrag melden
    Informationen zu den Bewertungsregeln

    1. referer verschlüsseln

      Cheatah
      Informationen zu den Bewertungsregeln

      Hi,

      Wenn Du sowas sicher machen möchtest hilft Dir eigentlich nur noch ssl

      und das bringt hier bitte was? Der fremde Server wird immer noch ohne SSL angesprochen (und wenn nicht, ist das auch egal), und der Client entscheidet, ob er die referenzierende Seite als Referer mitschickt.

      Cheatah

      --
      X-Will-Answer-Email: No
      X-Please-Search-Archive-First: Absolutely Yes
      Beitrag melden
      Informationen zu den Bewertungsregeln