phpbar.de logo

Mailinglisten-Archive

[php] 1/2 OT Session und Google Cache

[php] 1/2 OT Session und Google Cache

Ringo Großer swek at gmx.net
Sam Dez 2 23:37:06 CET 2006


Hallo Liste,

ich habe mit PHP einen geschützten Bereich gebaut, welcher
über  eine Authorisierung per Session zu erreichen ist. Also der
User gibt Benutzernamen und Passwort ein, beides wird gegen
seinen Account in der DB geprüft, danach erfolgt der Login per
Schalter in seiner Session.
Im geschützten Bereich kann der User u.a. auch seinen Punktestand
abrufen, eine Art Bonuspunkte für seine Teilnahme.

Nun hat mich ein Nutzer angesprochen, der seinen Namen per
Google gesucht hat und dort aus dem Google Cache meine Seite
angezeigt bekommt, und zwar aus dem geschützen Bereich und
samt Informationen dieses Nutzers.
Da stehen im Google Cache quasi im Klartext Informationen über den
User (z.B. sein Punktestand), die eigentlich nur der User selbst nach
einem Login sehen können sollte.

Ich suche nun nach irgendeiner Erklärung, wie das möglich ist.

Das betreffende Suchergebnis zeigt einen Link zu meiner Seite
inklusive des GET-Parameters PHPSESSID, das bedeutet, dass
bei diesem Zugriff nicht mit Cookies gearbeitet wurde und PHP
dadurch den Fallback ausgeführt hat und die Session-ID an alle
URLs selbst anhängt. Bis dahin alles ok.
Aber dies weist entweder darauf hin, dass der User keine Cookies
akzeptiert hat oder es würde noch für einen Google Spider sprechen,
welcher wahrscheinlich auch keine Cookies akzeptieren würde.

Wenn man jetzt diesen Link aufruft, dann landet man natürlich nicht
im geschützten Bereich in der Session des Users, weil die Session
bereits abgelaufen ist. Aber selbst wenn die Session noch aktiv wäre,
kann ich mir nicht erklären wie ein Spider in diese hineingelangt wäre.
Der hat ja sicherlich nicht so ohne weiteres Zugriff auf die Session-
daten im tmp-Ordner meines Servers. Außerdem ist das bisher ein
Einzelfall mit diesem User.

Des Weiteren listet der Google Cache einen Link in Verbindung mit
meiner Seite, welcher auf einen Logout der selben Session-ID dieses
Users hinweist. Den Link zum Logout kann man aber nur sehen, wenn
man überhaupt eingeloggt ist. Einloggen kann man sich nur per
Formular und indizierenden Robots werden wohl keine Formulare
absenden und sich erst recht nicht erfolgreich einloggen können, weil
die Zugangsdaten nicht bekannt sind.

Daher würde ich einen Robots oder sonstigen Automatismus auschließen
und das Erscheines des betreffenden Links mitsamt den heiklen
persönlichen Informationen im Google Cache eher in Zusammenhang mit
dem User selbst bringen. Aber wie zum Teufel ist Google an diese Infos
gelangt?
Wäre die Google Toolbar oder ein beim User aktiver Google Desktop
denkbar? Damit hab ich leider bisher keine Erfahrungen gesammelt, da ich
beides nicht nutze. Aber vielleicht hat jemand in dieser Richtung schonmal
von einem Vorfall gehört?
Schlimm genug, dass Google solche Informationen für jeden zugänglich im
Internet darstellt. Man denke mal nur an sensiblere Daten wie beim online
Banking. Wobei ich hoffe, dass so etwas mit SSL-verschlüsselten URLs
nicht passiert. Aber man kann doch nicht gleich jeden User-Bereich mit
einem Zertifikat versehen. Das ging doch bisher auch mit ausschließlich
PHP.

Also falls jemand irgendeine Idee hat, wie Daten aus einem nicht offiziellen
Bereich einer Webseite, auf den wirklich nur ein User Zugriff haben kann,
in den Google Cache gelangen können, ich wäre für Hinweise sehr dankbar.

Einen schönen ersten Advent wünsche ich noch, Ringo. 


php::bar PHP Wiki   -   Listenarchive