Sven Rautenberg: sicherheit beim öffnen eines fensters

Beitrag lesen

Moin!

ich möchte aber auf jedenfall verhindern, dass man einfach via url www.xyz.com/dateibrowser.php auf den dateibrowser kommt.

Dann muß der Server xyz in jedem Fall jeden Zugriff authentifizieren, d.h. gegen eine Liste der erlaubten Kriterien abgleichen und nur im Erfolgsfall Zugriff geben.

Kriterien sind (alternativ oder kumulativ):

  • Username und Passwort (HTTP-Authentifizierung)
  • IP des Clients
  • Referrer des Clients
  • URL-Parameter oder Cookie des Clients

Erläuterungen:
HTTP-Authentifizierung funktioniert nicht ohne erneute Eingabe des Passwortes, dafür aber vollkommen unabhängig vom Login auf foo.

Die IP des Clients dürfte nur nutzbar sein, wenn der Client foo ist, welcher als Proxy agiert. In PHP gegossen dürfte das recht aufwendig werden, insbesondere wenn es ein Dateibrowser sein soll.

Der Referrer ist als unzuverlässig anzusehen und fällt deshalb aus.

ich habe auch zugriff von www.foo.com auf die mysql db von www.xyz.com.

Du könntest also den Client auf foo mit einer Session-ID ausstatten, die Gültigkeit dieser ID dann auf xyz speichern und den Client dann mit URL-Parameter von foo auf xyz weiterleiten.

kann man überprüfen von wo ein dokument geöffnet wird?

Die IP des zugreifenden Browsers wäre ein Kriterium - bei dynamischer IP-Vergabe allerdings eines, das dir nicht weiterhilft.

- Sven Rautenberg

--
My sssignature, my preciousssss!