nicht angemeldet
Weblogin nur für "localhost"
Hallo Forumler,
auf meiner Webseite habe ich einen Login in dem Benutzer Daten in meine Datenbank einpflegen können. In letzter Zeit gibt es diverse Nasen die meinen über Scripte einen Login vornehmen zu müssen und automatisiert Daten über die Webformluare abzusetzen.
Ich habe mir überlegt den Referer zu prüfen, aber das ist mir zu unsicher. Meine 2te Idee war es Captcha einzubauen, aber das schreckt ab.
Meine Frage an euch: Wie würdet Ihr versuchen euren Login nur über die Angebotetene Weboberfläche zugänglich zu machen?
Danke und Gruß!
Zwergmoos
--
Urlaub vom PC findet Ihr an der Ostsee ;)
Urlaub vom PC findet Ihr an der Ostsee ;)
-
auf meiner Webseite habe ich einen Login in dem Benutzer Daten in meine Datenbank einpflegen können. In letzter Zeit gibt es diverse Nasen die meinen über Scripte einen Login vornehmen zu müssen und automatisiert Daten über die Webformluare abzusetzen.
Ich habe mir überlegt den Referer zu prüfen, aber das ist mir zu unsicher. Meine 2te Idee war es Captcha einzubauen, aber das schreckt ab.
Meine Frage an euch: Wie würdet Ihr versuchen euren Login nur über die Angebotetene Weboberfläche zugänglich zu machen?
Cookies (wer sich einloggen will, muss das Login Formular mindestens verlangt haben. Also heisst es Cookies vor all.)
Validieren des Requests. Spambots sind manchmal nicht in der Lage, minimalste HTTP Regeln einzuhalten.mfg Beat
--
><o(((°> ><o(((°>
<°)))o>< ><o(((°>o
Der Valigator leibt diese Fische
-
Hi,
wer sich einloggen will, muss das Login Formular mindestens verlangt haben. Also heisst es Cookies vor all.
Das wäre eine Möglichkeit, werde es mal antesten und schauen wann die ersten es bemerken :-)
--
Urlaub vom PC findet Ihr an der Ostsee ;) -
Hi,
Cookies (wer sich einloggen will, muss das Login Formular mindestens verlangt haben. Also heisst es Cookies vor all.)
Validieren des Requests. Spambots sind manchmal nicht in der Lage, minimalste HTTP Regeln einzuhalten.der OP scheint zu verstehen was du genau meinst, ich leider nicht.
....muss das Login Formular mindestens verlangt haben.....?
Mike
-
Cookies (wer sich einloggen will, muss das Login Formular mindestens verlangt haben. Also heisst es Cookies vor all.)
Validieren des Requests. Spambots sind manchmal nicht in der Lage, minimalste HTTP Regeln einzuhalten.der OP scheint zu verstehen was du genau meinst, ich leider nicht.
....muss das Login Formular mindestens verlangt haben.....?Ein Request, der ein Formular verlangt, und dabei kein Cookie sendet, das in einer Datenbank als existent und valide vermerkt wird, ist mit einer Sorry, "Sie haben ihren Keks vergessen"-Meldung zu vertrösten.
Fall A
Browser sendet Name und PW aber kein Cookie.
Login abgelehnt.Fall B
Browser verlangt eine Seite, die ein neues Cookies ausgibt
Server sendet Seite, diese beinhaltet das Login Formular
Browser sendet Name und PW mit Cookie.
Cookie kann validiert werden
-> Login PrüfungWann und wie genau du ein Cookie ausgibst,
kann verschieden gehandhabt werden.mfg Beat
--
><o(((°> ><o(((°>
<°)))o>< ><o(((°>o
Der Valigator leibt diese Fische
-
-
-
Hi!
Meine Frage an euch: Wie würdet Ihr versuchen euren Login nur über die Angebotetene Weboberfläche zugänglich zu machen?
Der erste Schritt ist, dem Formular versteckte Elemente hinzuzufügen. Aber auch die lassen sich ja nachbilden. Dan check deine Logfiles, wie schnell die Formulare ausgefüllt werden und verbiete eine bestimmte Geschwindigkeit.
Wenn das auch nicht reicht wirds langsam schwierig.
Referer sind fast beliebig anpassbar und nicht jeder sendet die Dinger mit. Du musst Dir also überlegen, wie wichtig die Seiten sind, bevor Du Deinen Usern bestimmte Browsereinstellungen aufzwingst.
--
"Die Diebesgilde beklagte sich darueber, dass Mumm in aller Oeffentlichkeit behauptet hatte, hinter den meisten Diebstaehlen steckten Diebe."
- T. Pratchett-
Hi,
Referer sind fast beliebig anpassbar und nicht jeder sendet die Dinger mit.
*Wenn* ich aber einen Spambot schreibe - dann ist wohl eine meine allerersten Maßnahmen bei der Bemühung, einen "normalen" Eindruck zu erwecken, das mitsenden eines zur Domain gehörenden Referrers.
Den zu "kontrollieren", bringt m.E. zur Spambekämpfung gar nichts.MfG ChrisB
--
Light travels faster than sound - that's why most people appear bright until you hear them speak.-
Moin!
»» Referer sind fast beliebig anpassbar und nicht jeder sendet die Dinger mit.
*Wenn* ich aber einen Spambot schreibe - dann ist wohl eine meine allerersten Maßnahmen bei der Bemühung, einen "normalen" Eindruck zu erwecken, das mitsenden eines zur Domain gehörenden Referrers.
Den zu "kontrollieren", bringt m.E. zur Spambekämpfung gar nichts.Höchstwahrscheinlich. Deshalb ist das wie mit vielen Schutzmechanismen: Sie bekämpfen super den normalen User, sind aber kein Problem für die sorte Leute, gegen die sie gerichtet sind.
--
"Die Diebesgilde beklagte sich darueber, dass Mumm in aller Oeffentlichkeit behauptet hatte, hinter den meisten Diebstaehlen steckten Diebe."
- T. Pratchett
-
-
-
hi,
Session aufbauen, zwei keys: einen ins Formular, der geht per Ajax zurück zum Server. Den anderen key mit einem Cookie setzen. Diese keys müssen != sein.
Totzeit festlegen zwischen GET-Formular und POST-Data.
In der Response auf POST-Data keinen Cookie mitschicken.
POST auf einen/session begrenzen.
Startpasswort verwenden, was per eMail zugestellt wird und per Klick freizuschalten ist.
So, das reicht erstmal ;)
Hotte--
Wenn der Kommentar nicht zum Code passt, kann auch der Code falsch sein.