WebWork Magazin - Webseiten erstellen lassen, Online Medien, html

Webhoster, Webhosting Provider und Domain registrieren

Home | Registrieren | Einloggen | Suchen | Aktuelles | GSL-Webservice | Suleitec Webhosting
Reparatur-Forum | Elektro forum | Ersatzteilshop Haushalt und Elektronik
Homepage und Webhosting-Forum
HTML, XHTML, CSS , style, XML, Javascript und mehr, Fragen, Tipps und Anregungen zu diesen Basic Techniken - hier rein !

Forum » HTML, CSS - Hilfe für das Erstellen einer Homepage » url anzeigen unterbinden » Antworten
Benutzername:
Passwort: Passwort vergessen?
Inhalt der Nachricht: Fett | Kursiv | Unterstrichen | Link | Bild | Smiley | Zitat | Zentriert | Quellcode| Kleiner Text
Optionen: Emailbenachrichtigung bei Antworten
 

url anzeigen unterbinden
von böner
Lewi schrieb am 17.04.2004 18:59
böner schrieb am 17.04.2004 18:02
Bsp:
User ruft eine Nachricht ab, und ändert in der url einfach die nummer. dann kriegt er nicht seine nachricht, sondern eine andere !


Bsp:
"User ruft eine Nachricht ab, und ändert in der url einfach die nummer. Script liest Nummer von User über Cookie/Session etc. aus. Script liest nummer von Nachricht über URL aus. Script schaut in der Datenbank nach, ob Empfängernummer der Nachricht == Nummer des Users. Wenn ja, wird die Nachricht angezeigt. Wenn nicht, nicht. So kriegt er nur seine eigenen Nachrichten."

Warum nicht so?


ich wollte nicht extra nochmal auf die db zugreifen. aber ich werd's jetzt wohl so machen.
von Can
Al Blank, löscht das wieder, aber sofort, am Ende macht er das auch noch so!!!

Also echt: Solche Methoden führen dazu, dass alles voller Sicherheitslücken ist. Server prüft nicht nach, was er für Daten bekommt und verarbeitet sie, egal ob sie gültig sind oder nicht. Client versucht zu verhindern, dass ungültige Daten zum Server gelangen, was aber jeder, der etwas Ahnung hat, umgehen kann. Hacker (bzw. Cracker) senden ungültige Daten, Server nimmt sie und bricht durch....so geht das.

Ergo: Bau in deine PHP-Scripts Sicherheitsabfragen ein und prüfe Daten, bevor du sie verarbeitest.
von Al Blank
Wie es geht hat noch keiner geschrieben

Javascript:

1: 
2: 
3: 
4: 
5: 
6: 
7: 
8:
<script language="javascript" type="text/javascript">
<!--
function Statustext(Text) { 
  status=Text;
  document.Text_returnValue = true;
}
//-->
</script>


Link:

1:
<a href="zieladresse.htm" onMouseOver="Statustext('Text in der Statusleiste');return document.Text_returnValue">Link</a>


von c3o
Clientseitige Verschleierungsversuche als Sicherheitsfeature? Ähm, schlechte Idee.
Vor allem wenn es darum geht eine URL zu verschleiern: Das ist lächerlich. Die sehe ich in der History, wenn ich schnell mal ctrl+d drücke in den Bookmarks, evtl. in der Firewall usw. Mein eigener Browser schickt sie doch als Anfrage an deinen Server, und du willst es irgendwie so drehen dass ich sie nicht mitbekomme??

Mein Firefox ist sowieso so konfiguriert das, was du hier versuchst, nicht zu erlauben (Options > Web Features > Javascript: Allow Javascript to.. change the status bar text: No).
von Lewi
böner schrieb am 17.04.2004 18:02
Bsp:
User ruft eine Nachricht ab, und ändert in der url einfach die nummer. dann kriegt er nicht seine nachricht, sondern eine andere !


Bsp:
"User ruft eine Nachricht ab, und ändert in der url einfach die nummer. Script liest Nummer von User über Cookie/Session etc. aus. Script liest nummer von Nachricht über URL aus. Script schaut in der Datenbank nach, ob Empfängernummer der Nachricht == Nummer des Users. Wenn ja, wird die Nachricht angezeigt. Wenn nicht, nicht. So kriegt er nur seine eigenen Nachrichten."

Warum nicht so?
von böner
doch, genau das hatte ich vor !

und es geht nicht um ungültige parameter, sonder um welche die derjenige garnicht haben darf.

Bsp:
User ruft eine Nachricht ab, und ändert in der url einfach die nummer. dann kriegt er nicht seine nachricht, sondern eine andere !
von Lewi
böner schrieb am 17.04.2004 17:48
es geht darum das der besucher nicht weiß wo er hinkommt ! das soll verhindern das jemand einfach die url in den browser kopiert, und z.B. parameter ändert !


Du solltest dein Script so schreiben, dass auch ungültige Parameter entsprechend verarbeitet werden können oder zu einer Fehlermeldung führen. Wenn der User den Link haben will, klickt er auf "Verknüpfung kopieren". Und jetzt sag bitte nicht, dass du das per Rechts-Klick-JS verhinderst...
von böner
es geht darum das der besucher nicht weiß wo er hinkommt ! das soll verhindern das jemand einfach die url in den browser kopiert, und z.B. parameter ändert !

Gruß Böner
von languitar
Sowas unterbinden ist dem Surfer gegenüber unfair und nebenbei auch mehr oder weniger völlig unmöglich, da das Browsermäßig gestuert wird. Opera zeigt die Adresse z.B. in einem ToolTip an.

Da das ganze hier aber nichts mit PHP zu tun hat, verschieb ich das Topic mal
von Lewi
Wobei das von den meisten Surfern mittlerweile weniger mit Bewunderung, als mit Ärgernis erkannt wird, daher lieber lassen...
von Can
Im IE gibts glaub ich nen Bug, mit dem das geht

Ne im Ernst: Das geht wohl nur per JavaScript, also indem du bei Überfahren des Links (mouseover heißt das Event glaub ich) den Text in der Statuszeile löschst.
von böner
wenn man die maus über ein link häkt wird unten links immer die url angezeigt. kann man das irgendwie unterbinden ?

Gruß Böner
   Nutzungsbedingungen | Impressum | Datenschutz | RSS
Nach oben