nicht angemeldet
Urls verschleiern
Hallo,
ich bin gerade dabei für meine Nutzer eine Art "Memberarea" in php zu schreiben, die sie auf deren Homepage einsetzen können.
Damit deren nutzer nicht sofort sehen, wohin die "Original-Url" zeigt, möchte ich die Weiterleitungs-Url etwas verschleiern.
Habt Ihr eine Idee wie ich das machen könnte?
Meine ersten Überlegungen möchte ich Euch nicht vorenthalten:
Ich dachte, ich verschlüssele die Url Server-seitig, und lasse sie vom Client via Java-Script vom Browser wieder entschlüsseln.
So weit so gut. Wie ich in PHP eine Url nach einem bestimmten Muster verschlüssle ist mir klar *g aber ich hab mit JavaScript nicht so viel am Hut. Kann mir hier eventuell jemand helfen?
Die Url soll zumindest im Browser nicht als "Klartext" stehen... ganz toll wäre, wenn im Browser im Quelltext irgend ein Java-Script steht in dem man nur 00111010101011100010110011001 sehen würde, also eine Art Binär-Umsetzung *gg
LiG
und danke für die Hilfe
Jo
-
Hallo HerrJo!
Hä?
Ich hab wirklich keinen Schimmer, was Du nun willst.
Adresse "verschleiern", also nicht in der Adreßzeile auftauchen lassen wird ja oft mit Frames gemacht, was ich aber sehr unschön und unsinnig finde.
Ich verstehe auch nicht, warum Du ueberhaupt irgendwas "verschleiern" willst.
Irgendwie wurde ich aus Deinem Posting nicht so ganz schlau ...
MfG
Götz--
Losung und Lehrtext für Samstag, 20. Dezember 2003
Die da lehren, werden leuchten wie des Himmels Glanz, und die viele zur Gerechtigkeit weisen, wie die Sterne immer und ewiglich. (Daniel 12,3)
Paulus schreibt: Ist jemand Lehre gegeben, so lehre er. (Römer 12,7)
(http://www.losungen.de/heute.php3) -
Hallo HerrJo,
Damit deren nutzer nicht sofort sehen, wohin die "Original-Url" zeigt, möchte ich die Weiterleitungs-Url etwas verschleiern.
egal, wie komplex du die "verschlüsselung" machst, ich leite die ausgabe der entschlüsselung einfach von location.href in einen alert um und habe die url.
du kannst auch einfach an die bisherige url (die schön lang sein sollte), mit einem @ deine neue url anhängen, damit man sie in der adresszeile nicht sofort sieht, aber auch das kann leicht umgangen werden.
und wenn du nicht mit frames arbeitest, wird die neue url sowieso angezeigt.
vorsichtige leute legen sich einfach bookmarklets an, mit denen sie u.a. solche verschleierten weiterleitungen ganz einfach feststellen können. siehe dazu den letzten bug im ie und microsofts "würgaround".und bei (z.b. aus sicherheitsgründen) abgeschaltetem javascript wird deine seite dann gänzlich unbenutzbar.
freundl. Grüße aus Berlin, Raik
-
Moin!
Die Url soll zumindest im Browser nicht als "Klartext" stehen... ganz toll wäre, wenn im Browser im Quelltext irgend ein Java-Script steht in dem man nur 00111010101011100010110011001 sehen würde, also eine Art Binär-Umsetzung *gg
Dafür gibts zum Glück keine wirklich gut funktionierende Technologie. Wenn irgendetwas in der Art in irgendeinem Browser funktioniert nennt man dies einen Bug. Solche Bugs wiederum werden bevorzugt von netten Mitmenschen ausgenutzt, die wollen, daß (irgend-)jemand bestimmte Telefonnummern wählt... nicht aus Langeweile, sondern weil sie hoffen "schnell und bequem von zu Hause aus viel Geld" zu "verdienen".
Du wirst nicht wollen, daß die Benutzer Deiner "Memberarea" Arges von Dir denken?
MFFG (Mit freundlich- friedfertigem Grinsen)
fastix®
--
Als Freiberufler bin ich immer auf der Suche nach Aufträgen: Schulungen, Development. Auch für seriöse Agenturen. -
Hi,
Damit deren nutzer nicht sofort sehen, wohin die "Original-Url" zeigt, möchte ich die Weiterleitungs-Url etwas verschleiern.
Gibt es Browser, die kein "File - Properties" oder "View - Page Info" oder ähnliches haben?
Damit hat man doch auf einfachste Weise die URL der aktuellen Seite (selbst wenn sie in einem Frameset steckt...)
Abgesehen davon, eine Weiterleitung (Location-Header) geschieht ohne Javascript, so daß eine Javascript-Entschlüsselung keinen Sinn hat.
Und bei Weiterleitung per meta-http-equiv oder Javascript ist spätestens nach der Weiterleitung die URL in der Adreßzeile sichtbar.Dein Vorhaben ist unsinnig.
cu,
Andreas--
MudGuard? Siehe http://www.mud-guard.de/ -
»»ganz toll wäre, wenn im Browser im Quelltext irgend ein Java-»»Script steht in dem man nur 00111010101011100010110011001 sehen würde
gerade dann würdest Du Leute herausfordern ...
-
Ich glaub ich hab mich falsch ausgedrückt,
hier noch ein Versuch dies genauer darzustellen:Es wird eine Seite geben, die aus 3 Frames besteht. Einem oberen, mittleren und unterem.
Wobei das mittlere wiederum aus einem Frame besteht. einem "unsichtbaren" und einem 100% sichtbaren.
Dieses Frame beinhaltet eine Login-Box. Wenn sich nun jemand den Quelltext ansieht, wird er urls sehen, die einerseits auf meinen server verweisen, und anderer seits nach dem login auch auf seiten jenes nutzers, der den passwortschutz von mir verwendet.
Da dies als Frames-Seiten dargestellt wird, hätte ich mir erhofft, dass es eine Möglichkeit gibt, den Link auf die Frame-Seite zu verschleiern. Professionelle Verschlüsselungs-Methode solls eh nicht sein, einfach nur eine kleine Verschleierung.
-
Hallo HerrJo,
Da dies als Frames-Seiten dargestellt wird, hätte ich mir erhofft, dass es eine Möglichkeit gibt, den Link auf die Frame-Seite zu verschleiern. Professionelle Verschlüsselungs-Methode solls eh nicht sein, einfach nur eine kleine Verschleierung.
ist deine login-routine so unsicher, das du da was "verschlüsseln" musst?
ich versteh deine beweggründe immer noch nicht.zu deiner info:
_jede_ wie auch immer geartete "verschlüsselung" muss den string irgendwann in eine variable schreiben, die dann als url verwendet wird. an dieser stelle kann jeder halbwegs logisch denkende mensch, der selfhtml kennt, sich die url einfach ausgeben lassen.und um es nochmal zu wiederholen:
bei abgeschaltetem javascript (und sicherheitsbewusste leute haben das zur zeit garantiert ausgeschaltet) funktioniert deine seite dann _nicht_ mehr.du könntest uns anstatt allgemeiner andeutungen ja auch mal deinen quelltext zeigen, damit wir wirklich etwas dazu sagen können. ;-)
freundl. Grüße aus Berlin, Raik
-
hi,
bei abgeschaltetem javascript (und sicherheitsbewusste leute haben das zur zeit garantiert ausgeschaltet)
nein, das muss man AFAIK nur den IE-nutzern empfehlen. aber bei denen ist die bezeichnung "sicherheitsbewusst" ja auch wieder meist fehl am platze.
gruss,
wahsaga-
hallo wahsaga
nein, das muss man AFAIK nur den IE-nutzern empfehlen. aber bei denen ist die bezeichnung "sicherheitsbewusst" ja auch wieder meist fehl am platze.
dann lies mal hier:
[pref:t=67086&m=383537]
hab ich letztens grad irgendwo gelesen: wer mit dem finger auf andere zeigt, richtet dabei vier finger auf sich selbst.
den neuen bug des ie mit den in der adresszeile abgeschnittenen url's "unterstützen" auch einige mozilla- und netscape-versionen.grüsse, raik
-
hi,
nein, das muss man AFAIK nur den IE-nutzern empfehlen. aber bei denen ist die bezeichnung "sicherheitsbewusst" ja auch wieder meist fehl am platze.
dann lies mal hier:
[pref:t=67086&m=383537]das auch die alternativen ihre sicherheitslücken haben, will und kann ich nicht betreiten.
dass diese aber a) oftmals sehr viel schneller gefixt werden, und b) auch nicht in derart hoher anzahl vorhanden sind, vor allem was auf javascript basierende lücken angeht, wage ich aber trotzdem zu behaupten.hab ich letztens grad irgendwo gelesen: wer mit dem finger auf andere zeigt, richtet dabei vier finger auf sich selbst.
das müsste aber schon eine sehr eigenartige haltung der restlichen vier finger bedeuten, wenn man diese wirklich als zeigend interpretieren möchte.
den neuen bug des ie mit den in der adresszeile abgeschnittenen url's "unterstützen" auch einige mozilla- und netscape-versionen.
aber nicht in dem ausmaß wie beim IE.
der mozilla hat, sofern ich richtig informiert bin, lediglich den fehler, dass er in der _statuszeile_ beim hovern des links nur den teil vor dem @ anzeigt - falls man den link tatsächlich anklickt, bekommt man in der adresszeile dennoch den _wirklichen_ url zu sehen.
der IE hingegen zeigt auch in der adresszeile nur den teil vor dem @ an - das halte ich für _wirklich gefährlich_, wenn daraufhin dann jemand beispielsweise seine homebanking- oder ebay-zugangsdaten auf einer gefakten seite eingeben würde.
klar kann auch schon durch den reinen aufruf einer seite etwas ungewolltes auf deinem rechner passieren (um die entschuldigung, dass der mozilla den fehler "nur" in der statuszeile macht, ins richtige verhältnis zu stellen) - aber auch was das angeht, bist du mit dem IE m.E. wieder _erheblich mehr_ gefährdet, als mit dem mozilla.und der offizielle(!) vorschlag von microsoft, zur umgehung dieses bugs ein javascript-bookmarklet zur visuellen kontrolle des wirklichen URL zu benutzen, was man dann konsequenterweise vor _jedem_ anklicken eines links machen müsste, ist einfach nur lächerlich und ein armutszeugnis.
gruss,
wahsaga
-
-
-
Ich glaub wir lassen es einfach ;-)
ihr wollt (oder könnt) nicht verstehen was ich meine, da hat es keinen sinn mehr drüber zu reden...wie ich bereits schrieb, ist das ganze noch in planung ich "möchte" das anbieten...
2. ich will einfach nur eine möglichkeit die url entwas zu verschleiern. denkt ihr so kompliziert oder drück ich mich so laienhaft aus?!?!?!?!
keine ahnung. am besten der thread wird gelöscht und alles ist wieder gut...
wenn ich mich das nächste mal an jemanden wende, wird's an eine newsgroup sein, sicher nicht mehr SELFhtml!
sorry, nichts für ungut
jo-
Moin!
wenn ich mich das nächste mal an jemanden wende, wird's an eine newsgroup sein, sicher nicht mehr SELFhtml!
Du brauchst Dich nicht wundern, wenn Dir alle abraten. Was glaubst Du, was passiert? Deine "Verschlüsselung" wird von irgendeinem 12jährigen geknackt und der wird das natürlich "wild feiern", während Du, weil Du Dich entgegen unserem Ratschlag gemüht hast, beschämt herumläufst.
Die Ratschläge stimmen alle, sind also "gut".
Überleg Dir am besten was anderes. Zum Beispiel was mit serverseitiger Logik.MFFG (Mit freundlich- friedfertigem Grinsen)
fastix®
--
Als Freiberufler bin ich immer auf der Suche nach Aufträgen: Schulungen, Development. Auch für seriöse Agenturen.
-
-
-
Hi,
Es wird eine Seite geben, die aus 3 Frames besteht. Einem oberen, mittleren und unterem.
Wobei das mittlere wiederum aus einem Frame besteht. einem "unsichtbaren" und einem 100% sichtbaren.
Dieses Frame beinhaltet eine Login-Box. Wenn sich nun jemand den Quelltext ansieht, wird er urls sehen, die einerseits auf meinen server verweisen, und anderer seits nach dem login auch auf seiten jenes nutzers, der den passwortschutz von mir verwendet.Soll das heißen, daß die eigentlichen Seiten ungeschützt sind, wenn man die URL kennt?
Dann hat Dein von Dir sogenannter Paßwortschutz einen Konzeptfehler.cu,
Andreas--
MudGuard? Siehe http://www.mud-guard.de/
-