WebWork Magazin - Webseiten erstellen lassen, Online Medien, html

Webhoster, Webhosting Provider und Domain registrieren

Home | Registrieren | Einloggen | Suchen | Aktuelles | GSL-Webservice | Suleitec Webhosting
Reparatur-Forum | Elektro forum | Ersatzteilshop Haushalt und Elektronik


Homepage und Webhosting-Forum

HTML, XHTML, CSS , style, XML, Javascript und mehr, Fragen, Tipps und Anregungen zu diesen Basic Techniken - hier rein !


Forum » HTML, CSS - Hilfe für das Erstellen einer Homepage » url anzeigen unterbinden » Antworten
Benutzername:
Passwort: Passwort vergessen?
Inhalt der Nachricht: Fett | Kursiv | Unterstrichen | Link | Bild | Smiley | Zitat | Zentriert | Quellcode| Kleiner Text
Optionen: Emailbenachrichtigung bei Antworten
 

Die letzten 5 Postings in diesem Thema » Alle anzeigen
von böner
Lewi schrieb am 17.04.2004 18:59
böner schrieb am 17.04.2004 18:02
Bsp:
User ruft eine Nachricht ab, und ändert in der url einfach die nummer. dann kriegt er nicht seine nachricht, sondern eine andere !


Bsp:
"User ruft eine Nachricht ab, und ändert in der url einfach die nummer. Script liest Nummer von User über Cookie/Session etc. aus. Script liest nummer von Nachricht über URL aus. Script schaut in der Datenbank nach, ob Empfängernummer der Nachricht == Nummer des Users. Wenn ja, wird die Nachricht angezeigt. Wenn nicht, nicht. So kriegt er nur seine eigenen Nachrichten."

Warum nicht so?


ich wollte nicht extra nochmal auf die db zugreifen. aber ich werd's jetzt wohl so machen.
von Can
Al Blank, löscht das wieder, aber sofort, am Ende macht er das auch noch so!!!

Also echt: Solche Methoden führen dazu, dass alles voller Sicherheitslücken ist. Server prüft nicht nach, was er für Daten bekommt und verarbeitet sie, egal ob sie gültig sind oder nicht. Client versucht zu verhindern, dass ungültige Daten zum Server gelangen, was aber jeder, der etwas Ahnung hat, umgehen kann. Hacker (bzw. Cracker) senden ungültige Daten, Server nimmt sie und bricht durch....so geht das.

Ergo: Bau in deine PHP-Scripts Sicherheitsabfragen ein und prüfe Daten, bevor du sie verarbeitest.
von Al Blank
Wie es geht hat noch keiner geschrieben

Javascript:

1: 
2: 
3: 
4: 
5: 
6: 
7: 
8:
<script language="javascript" type="text/javascript">
<!--
function Statustext(Text) { 
  status=Text;
  document.Text_returnValue = true;
}
//-->
</script>


Link:

1:
<a href="zieladresse.htm" onMouseOver="Statustext('Text in der Statusleiste');return document.Text_returnValue">Link</a>


von c3o
Clientseitige Verschleierungsversuche als Sicherheitsfeature? Ähm, schlechte Idee.
Vor allem wenn es darum geht eine URL zu verschleiern: Das ist lächerlich. Die sehe ich in der History, wenn ich schnell mal ctrl+d drücke in den Bookmarks, evtl. in der Firewall usw. Mein eigener Browser schickt sie doch als Anfrage an deinen Server, und du willst es irgendwie so drehen dass ich sie nicht mitbekomme??

Mein Firefox ist sowieso so konfiguriert das, was du hier versuchst, nicht zu erlauben (Options > Web Features > Javascript: Allow Javascript to.. change the status bar text: No).
von Lewi
böner schrieb am 17.04.2004 18:02
Bsp:
User ruft eine Nachricht ab, und ändert in der url einfach die nummer. dann kriegt er nicht seine nachricht, sondern eine andere !


Bsp:
"User ruft eine Nachricht ab, und ändert in der url einfach die nummer. Script liest Nummer von User über Cookie/Session etc. aus. Script liest nummer von Nachricht über URL aus. Script schaut in der Datenbank nach, ob Empfängernummer der Nachricht == Nummer des Users. Wenn ja, wird die Nachricht angezeigt. Wenn nicht, nicht. So kriegt er nur seine eigenen Nachrichten."

Warum nicht so?

Nach oben