nicht angemeldet
weggefilterte Referrer-Daten
Hallo,
Hintergrund: ich biete einen kostenlosen Chat für private Homepages an. Um den User-Chat im Server zu identifizieren, verwende ich die Referrer-Daten, die beim ersten Request mitgeschickt werden. Der User platziert eine Anker-Datei auf seiner HP und verweist per Link darauf, die Ankerdatei lädt dann den Chat. Das klappte früher gut.
Problem: die Norton-Firewall und soweit ich weiss auch die AOL-Zugangs-Software filtern standardmäßig Referrer-Informationen aus dem HTTP-Request heraus. Also sieht mein Server oft nicht mehr, wo die Ankerdatei eingebettet ist.
Frage: Ich such eine bessere Möglichkeit, meinen Chat auf fremden Homepages einzubinden. Dabei soll der Server erkennen können, wessen privater Chat gerade betreten wird (das ginge u.U. durch eine ID, die ich vergebe), und es soll aber auch verhindert werden, dass jemand die ID klaut, und den Chat unter fremder ID bei sich einbaut.
vielen Dank schonmal, und viele Grüße Ralf
-
Hintergrund: ich biete einen kostenlosen Chat für private Homepages an. Um den User-Chat im Server zu identifizieren, verwende ich die Referrer-Daten, die beim ersten Request mitgeschickt werden.
Es ist immer riskant, sich auf derartige Zusatzdaten zu verlassen, da sie, wie Du ja bemerkt hast, frei veränderbar sind. Im Grunde ist außer der abgefragten URL nichts sicher. Daraus folgt..
Frage: Ich such eine bessere Möglichkeit, meinen Chat auf fremden Homepages einzubinden. Dabei soll der Server erkennen können, wessen privater Chat gerade betreten wird (das ginge u.U. durch eine ID, die ich vergebe), und es soll aber auch verhindert werden, dass jemand die ID klaut, und den Chat unter fremder ID bei sich einbaut.
..daß Du prinzipiell damit leben werden mußt. Soweit ich das überblicke, bietest Du letztlich einen öffentlich zugänglichen Dienst an, so gesehen ist es schon von der Definition her recht abwegig, diesen Dienst versperren zu wollen.
Ich sehe momentan auch den Schaden nicht, der angerichtet werden könnte. Je mehr auf einen Chat hingewiesen wird, desto mehr Besucher werden kommen; und wenn es etwas gibt, was einem Chat den Todesstoß versetzt, dann sind es mangelnde Besucher. Von diesem Gesichtspunkt her wäre es geradezu schädlich, Fremdverweise unterbinden zu wollen.
Geht es Dir lediglich darum, kontrollieren zu können, wer die Hauptnutzer Deines Dienstes sind bzw. daß sich niemand mit fremden Federn schmückt, dann solltest Du Deinen angemeldeten Nutzern die Möglichkeit geben, Deinen Dienst entsprechend ihrem Seitendesign anzupassen. Steht beispielsweise groß oben drüber "Peters Plauderplatz", wird Karen diesen Dienst kaum als "Karens Küchenklamauk" anbieten können.
Für diese Anpassung reicht dann auch die von Dir angesprochene Auswahl über die URL ("http://example.com/chat/petersplauderplatz/").Du kannst das Ganze natürlich trotzdem noch über die Referrer-Angabe einengen. Nach wie vor melden die meisten Browser eine echte URL. Prüfe also, ob der Referrer dem Format einer absoluten HTTP-URL entspricht und falls ja, prüfe, ob sie mit einer Deiner Nutzer übereinstimmt und gewähre entsprechend Zutritt oder nicht.
Falls der Referrer nicht dem Standardformat entspricht, gewähre auf jeden Fall Zutritt. Außer den versteckten oder verkrüppelten Referrern gibt es nämlich auch noch solche, die entstehen, wenn jemand Deinen Dienst aus seinen Lesezeichen/Favoriten anwählt; meistens leer, manchmal aber auch "bookmarks:" oder ähnliches. Und wenn schon jemand Dein Angebot so interessant findet, daß er sich ein Lesezeichen anlegt, dann willst Du ihn doch sicher nicht aussperren, oder?Davon abgesehen: Geht es hingegen um eine echte geschlossene Benutzergruppe, dann solltest Du Passwörter vergeben.
-
Hallo,
Frage: Ich such eine bessere Möglichkeit, meinen Chat auf fremden Homepages einzubinden. Dabei soll der Server erkennen können, wessen privater Chat gerade betreten wird (das ginge u.U. durch eine ID, die ich vergebe), und es soll aber auch verhindert werden, dass jemand die ID klaut, und den Chat unter fremder ID bei sich einbaut.
an, so gesehen ist es schon von der Definition her recht abwegig, diesen Dienst versperren zu wollen.
versperren will ich den Zugang nicht, ich will nur sicherstellen, dass über alle externen User-Chat Eingänge immer der passende private "Raum" vom Server geliefert wird. Und das bestimme ich halt bisher allein über die Referrer-URL (was schlecht ist).
Ich sehe momentan auch den Schaden nicht, der angerichtet werden könnte.
rein "Paranoia-hypotetisch" wäre es denkbar, dass jemand einen fremden User-Chat klaut, und ihn für eigene zB. sittenwidrige Zwecke nutzt. Für solche Fälle würde ich gern in der Lage sein, den geklauten Chat zu sperren, aber den chat der beklauten Users weiter bestehen zu lassen. Das ging mit den Referrer-Daten gut. Und deshalb hoffe ich dass es eine bessere Lösung als die Chat-Identifikation per IDs gibt.
Je mehr auf einen Chat hingewiesen wird, desto mehr Besucher werden kommen; und wenn es etwas gibt, was einem Chat den Todesstoß versetzt, dann sind es mangelnde Besucher. Von diesem Gesichtspunkt her wäre es geradezu schädlich, Fremdverweise unterbinden zu wollen.
stimmt.
Mein Anmelde-Verfahren ist jetzt schon viel zu kompliziert denke ich, und so würde ich es auf der einen Seite gerne vereinfachen, ... aber auf der anderen Seite habe ich als kleiner privater Dienst-Anbieter echt Angst vor skrupellosen Abmahnern und dem juristischen Dschungel.
Möglichkeit geben, Deinen Dienst entsprechend ihrem Seitendesign anzupassen. Steht beispielsweise groß oben drüber "Peters Plauderplatz", wird Karen diesen Dienst kaum als "Karens Küchenklamauk" anbieten können.
gute Idee, wenn das Verfahren mit den IDs das einzige verlässliche sein sollte, dann böte das so eine gewisse Sicherheit.
Ansonsten noch: Danke für die Tipps.
viele Grüße Ralf
-
Moin!
Ich sehe momentan auch den Schaden nicht, der angerichtet werden könnte.
rein "Paranoia-hypotetisch" wäre es denkbar, dass jemand einen fremden User-Chat klaut, und ihn für eigene zB. sittenwidrige Zwecke nutzt. Für solche Fälle würde ich gern in der Lage sein, den geklauten Chat zu sperren, aber den chat der beklauten Users weiter bestehen zu lassen. Das ging mit den Referrer-Daten gut. Und deshalb hoffe ich dass es eine bessere Lösung als die Chat-Identifikation per IDs gibt.
Und du meinst, dass sich böse Menschen für das Behandeln von sittenwidrigen Themen ausgerechnet _deinen_ Chat aussuchen werden? Wo es doch hunderttausende von anderen Chatsystemen und InstantMessaging gibt, die allesamt dasselbe tun, aber durch die Tatsache, dass sie keine HTML-Chats sind, tausendmal besser sind.
Mein Anmelde-Verfahren ist jetzt schon viel zu kompliziert denke ich, und so würde ich es auf der einen Seite gerne vereinfachen, ... aber auf der anderen Seite habe ich als kleiner privater Dienst-Anbieter echt Angst vor skrupellosen Abmahnern und dem juristischen Dschungel.
Verdienst du mit dem Chat irgendein Geld?
Wenn ja, bist du nicht privat, sondern gewerblich tätig. Auch wenn du beispielsweise Bannerwerbung geschaltet hast und dafür Geld kriegst, ist das kein "privat" mehr.
Wenn nein, dann gib deinen Chatdienst doch einfach auf. Dürfte nicht weiter schade drum sein, und du kannst dadurch ruhiger schlafen.
Möglichkeit geben, Deinen Dienst entsprechend ihrem Seitendesign anzupassen. Steht beispielsweise groß oben drüber "Peters Plauderplatz", wird Karen diesen Dienst kaum als "Karens Küchenklamauk" anbieten können.
gute Idee, wenn das Verfahren mit den IDs das einzige verlässliche sein sollte, dann böte das so eine gewisse Sicherheit.
Was heißt hier "verläßlich"? Wer die ID kennt und einen entsprechenden Link zusammenbaut, der kommt in den gewünschten Chatraum.
Was heißt hier "Sicherheit"? Es ist doch vollkommen egal, wie man in den Chat gelangt ist (sei es durch einen "entführten" Link oder über den legalen Link einer ansonsten vollkommen irrelevanten Webseite, die niemand besucht und bei der niemand im Chat ist), wenn da drin dann angeblich illegale Sachen besprochen werden.
- Sven Rautenberg
--
Among the maxims on Lord Naoshige's wall, there was this one: "Matters of great concern should be treated lightly."
Master Ittei commented, "Matters of small concern should be treated seriously."
(Hagakure: The Way of the Samurai)-
Hallo Sven Rautenberg,
Und du meinst, dass sich böse Menschen für das Behandeln von sittenwidrigen Themen ausgerechnet _deinen_ Chat aussuchen werden? Wo es doch hunderttausende von anderen Chatsystemen und InstantMessaging gibt, die allesamt dasselbe tun, aber durch die Tatsache, dass sie keine HTML-Chats sind, tausendmal besser sind.
bitte hier keinen Flame über die Existenzberechtigung von HTML- bzw. Java-Chats vom Zaun brechen, danke.
Verdienst du mit dem Chat irgendein Geld?
... Wenn nein, dann gib deinen Chatdienst doch einfach auf. Dürfte nicht weiter schade drum sein, und du kannst dadurch ruhiger schlafen.nein, ich verdiene absolut kein Geld damit, und ich will auch nichts damit verdienen, es ist mein reines Privatvergnügen. Dennoch möchte ich weiter meinen Chat anbieten, kostenlos und ohne Webung. Klar ist das ein Verlustgeschäft, aber ich möchte das so.
sorry, aber Dein Beitrag hilft mir bei meiner Frage nicht weiter.
viele Grüße Ralf Rosenkranz
-
-
versperren will ich den Zugang nicht, ich will nur sicherstellen, dass über alle externen User-Chat Eingänge immer der passende private "Raum" vom Server geliefert wird.
Für diesen rein technischen Aspekt ist die URL prädestiniert.
Ich sehe momentan auch den Schaden nicht, der angerichtet werden könnte.
rein "Paranoia-hypotetisch" wäre es denkbar, dass jemand einen fremden User-Chat klaut, und ihn für eigene zB. sittenwidrige Zwecke nutzt. Für solche Fälle würde ich gern in der Lage sein, den geklauten Chat zu sperren, aber den chat der beklauten Users weiter bestehen zu lassen. Das ging mit den Referrer-Daten gut. Und deshalb hoffe ich dass es eine bessere Lösung als die Chat-Identifikation per IDs gibt.
Nein, Dir bleibt nur, die Referrer-Angaben wie von mir vorgeschlagen zu prüfen: echte URLs wie bisher kontrollieren, alles andere durchlassen. Dies bietet Dir zumindest ein wenig Sicherheit vor Script-Kiddies. Und bei derartig mißbrauchten Chats solltest Du wahrscheinlich sowieso den Zugang (lies: die URL) ändern.
Es mag keine wirkliche Beruhigung sein, aber:
1. Die wirklich bösen Buben amüsieren sich sowieso woanders.2. Bleibst Du nur Anbieter der _technischen_ Plattform, bist Du nicht unbedingt für die Inhalte verantwortlich. Dein Webhoster wäre ja beispielsweise auch nicht für die Kinderpornos verantwortlich, würdest Du solche auf Deinem Webspace vertreiben.
Verantwortlich wird man erst zu dem Zeitpunkt, an dem man von dem Treiben Kenntniss erlangt. Siehe Teledienstegesetz, § 8(2) und §§ 9 bis 11 (http://www.netlaw.de/gesetze/tdg.htm). So möglich, solltest Du also darauf achten, Dich strikt im Hintergrund zu halten und die Verantwortung den Homepagebetreibern zu überlassen. Das sind eh diejenigen, die den größten Nutzen von Deinem Angebot haben.-
Hallo,
Es mag keine wirkliche Beruhigung sein, aber:
-
Die wirklich bösen Buben amüsieren sich sowieso woanders.
-
Bleibst Du nur Anbieter der _technischen_ Plattform, bist Du nicht unbedingt für die Inhalte verantwortlich. Dein Webhoster wäre ja beispielsweise auch nicht für die Kinderpornos verantwortlich, würdest Du solche auf Deinem Webspace vertreiben.
Verantwortlich wird man erst zu dem Zeitpunkt, an dem man von dem Treiben Kenntniss erlangt. Siehe Teledienstegesetz, § 8(2) und §§ 9 bis 11 (http://www.netlaw.de/gesetze/tdg.htm). So möglich, solltest Du also darauf achten, Dich strikt im Hintergrund zu halten und die Verantwortung den Homepagebetreibern zu überlassen. Das sind eh diejenigen, die den größten Nutzen von Deinem Angebot haben.
besten Dank für diesen Hinweis, das hilft mir wirklich sehr ! Ich werde den Anmeldevorgang so umbauen, wie Du es vorgeschlagen hast.
viele Grüße Ralf
-
-
-
-