Mailinglisten-Archive |
Hallo Liste, ich habe mit PHP einen geschützten Bereich gebaut, welcher über eine Authorisierung per Session zu erreichen ist. Also der User gibt Benutzernamen und Passwort ein, beides wird gegen seinen Account in der DB geprüft, danach erfolgt der Login per Schalter in seiner Session. Im geschützten Bereich kann der User u.a. auch seinen Punktestand abrufen, eine Art Bonuspunkte für seine Teilnahme. Nun hat mich ein Nutzer angesprochen, der seinen Namen per Google gesucht hat und dort aus dem Google Cache meine Seite angezeigt bekommt, und zwar aus dem geschützen Bereich und samt Informationen dieses Nutzers. Da stehen im Google Cache quasi im Klartext Informationen über den User (z.B. sein Punktestand), die eigentlich nur der User selbst nach einem Login sehen können sollte. Ich suche nun nach irgendeiner Erklärung, wie das möglich ist. Das betreffende Suchergebnis zeigt einen Link zu meiner Seite inklusive des GET-Parameters PHPSESSID, das bedeutet, dass bei diesem Zugriff nicht mit Cookies gearbeitet wurde und PHP dadurch den Fallback ausgeführt hat und die Session-ID an alle URLs selbst anhängt. Bis dahin alles ok. Aber dies weist entweder darauf hin, dass der User keine Cookies akzeptiert hat oder es würde noch für einen Google Spider sprechen, welcher wahrscheinlich auch keine Cookies akzeptieren würde. Wenn man jetzt diesen Link aufruft, dann landet man natürlich nicht im geschützten Bereich in der Session des Users, weil die Session bereits abgelaufen ist. Aber selbst wenn die Session noch aktiv wäre, kann ich mir nicht erklären wie ein Spider in diese hineingelangt wäre. Der hat ja sicherlich nicht so ohne weiteres Zugriff auf die Session- daten im tmp-Ordner meines Servers. Außerdem ist das bisher ein Einzelfall mit diesem User. Des Weiteren listet der Google Cache einen Link in Verbindung mit meiner Seite, welcher auf einen Logout der selben Session-ID dieses Users hinweist. Den Link zum Logout kann man aber nur sehen, wenn man überhaupt eingeloggt ist. Einloggen kann man sich nur per Formular und indizierenden Robots werden wohl keine Formulare absenden und sich erst recht nicht erfolgreich einloggen können, weil die Zugangsdaten nicht bekannt sind. Daher würde ich einen Robots oder sonstigen Automatismus auschließen und das Erscheines des betreffenden Links mitsamt den heiklen persönlichen Informationen im Google Cache eher in Zusammenhang mit dem User selbst bringen. Aber wie zum Teufel ist Google an diese Infos gelangt? Wäre die Google Toolbar oder ein beim User aktiver Google Desktop denkbar? Damit hab ich leider bisher keine Erfahrungen gesammelt, da ich beides nicht nutze. Aber vielleicht hat jemand in dieser Richtung schonmal von einem Vorfall gehört? Schlimm genug, dass Google solche Informationen für jeden zugänglich im Internet darstellt. Man denke mal nur an sensiblere Daten wie beim online Banking. Wobei ich hoffe, dass so etwas mit SSL-verschlüsselten URLs nicht passiert. Aber man kann doch nicht gleich jeden User-Bereich mit einem Zertifikat versehen. Das ging doch bisher auch mit ausschließlich PHP. Also falls jemand irgendeine Idee hat, wie Daten aus einem nicht offiziellen Bereich einer Webseite, auf den wirklich nur ein User Zugriff haben kann, in den Google Cache gelangen können, ich wäre für Hinweise sehr dankbar. Einen schönen ersten Advent wünsche ich noch, Ringo.
php::bar PHP Wiki - Listenarchive