Moin,

Den Referer kannst Du pruefen.

Und auf was genau soll der geprüft werden? Ob der User innerhalöb des Systems nur interne Links nutzt oder was?

Ja. Wenn ich eine Session hijacke, komme ich nicht unbedingt von einer Seite des Systems. Selbst, wenn ich mich gerade einloggen will, koennte man mir unterstellen ein Bot zu sein, wenn ich nicht vom  Login komme.

Worin liegt der Sicherheitsgewinn hierbei?

Wenn auf einer Seite, die nach einer Taneingabe folgt und die eine Ueberweisung ausloest, google die letzte Seite war, hast Du ein kleineres Sicherheitsproblem.

Aber ich habe ja auch schon geschrieben, dass Du deine User etweder zwingst einen korrekten Referer zu benutzen oder Deine Seite zu meiden. Sehr restrektiv, und trotzdem unsicher da faelschbar. Ich weiss nicht, ob es noch so ist, aber frueher konnte ich z.B. in einem bestimmen Forum eines sehr bekannten Spiels nichts posten, nachdem ich meinen Referer ausgestellt hatte. Ich nehm an, man wollte Bots und Deeplinks verhindern.

Ich finde, dass Refererpruefungen und IP-Pruefungen sich aehneln. Beides bringt im Grunde den gleichen Sicherheitsgewinn (Keinen bei Leuten, die wissen, wie man sowas faked) und beides ist aber sehr restriktiv. Der Unterschied waere lediglich, das der durchschnittliche User ueber die Refererangaben selbst bestimmen kann, ueber die ihm aktuell zugewiesene IP aber eher nicht.

Ich wuerde beide Moeglichkeiten nicht unbedingt weiterverfolgen und habe das nur als Alternative aufgefuehrt.