phpbar.de logo

Mailinglisten-Archive

AW: [php] Suchmaschinen aussperren

AW: [php] Suchmaschinen aussperren

Andreas Müller php_(at)_phpcenter.de
Sun, 24 Mar 2002 20:32:43 +0100


Hallo zusammen,
zu dem Problem kann ich vielleicht etwas beitragen:
Der einfachste und bisher sicherste Weg dafür zu sorgen das Bereiche nicht
durch eine Suchmaschine erreichbar gefunden werden können war bisher bei mir
der Weg über Session-Cookies. Mir ist keine Suchmaschine bekannt die sich
die Mühe macht mit Session-Cookies sauber umzugehen. D.h. ein Impressum oder
was auch immer ist nur mit gültigem Session-Cookie möglich. In der Praxis
kommt so eine Kombination aus Verfahren zum Einsatz:
- Cookie/nicht Cookie-Check
- Referrer-Check
- Referer-Content: Liste von erlaubten Refereren/Liste verbotener Referer
- Source-Adress-List: Erlaubte Source-Adresses/Liste verbotener
Source-Adresse (oder jeweils Domains)

Ich benutze aber auch oft den umgekehrten Weg: Bestimmte Inhalte sollen
ausschließlich von Suchmaschinen besucht werden und durch den Benutzer nur
indirekt z.B. nach einem Login. Dazu kommt eine Kombination aus
Referrer-Check und Session-Cookie zum Einsatz und funktioniert bisher recht
zuverlässig. Gut wenn jemand anfängt zu hacken dann kann er auch ohne Login
in den Bereich, aber das ist in dem Fall recht unwichtig und steht in keinem
Aufwand/Nutzenverhältnis. Aber dafür werden meine Inhalte hinter einem Login
in gängigen Suchmaschinen gefunden.

Vor einer "Authentifizierung" via IP-Adresse kann ich nur warnen. Auch über
den Weg könnte man prüfen ob ein Benutzer einer Session auch der "richtige"
ist. Nur leider schlägt dieses Verfahren bei AOL und T-Online-Software Usern
fehl. Die Request kommen in dem Fall von unterschiedlichen Proxy-Servern
verteilt. Schade aber durch solch gebastel machen solche Anbieter eine
halbwegs sichere Web-Anwendung ohne Cookies fast unmöglich.

Das ganze ist ein recht schwammiger Bereich. Man muss gut abwägen zwischen
Aufwand und Nutzen. Und bezüglich E-Mail-Adr.: Den Zahn kann man sich ziehen
das man so E-Mail-Adr. verstecken kann. Am Ende nützt es recht wenig denn
E-Mail-Adr. stehen am Ende an so vielen Stellen das es auf 2 Stellen mehr
oder weniger nicht mehr ankommt. Und es wird noch viel dreister seit ein
paar Wochen: Ich bekomme an diverse generierte E-Mail-Adr. an meine Domains
Spam. Einige dieser Adressen sind nicht existend und ich bekomme die Mails
auch nur wegen *_(at)_domain. Aber auf diesem Weg kommen noch immer extrem viele
E-Mails an.

Ich habe mir mal die Mühe gemacht und ein paar Accounts in Mailinglisten
verteilt und die über einen Filter gejagt. Auch einen Spider-Bot für Yahoo
oder Smartgroups habe ich bereits gesehen der E-Mail-Adr. sammelt. So kommen
innerhalb weniger Stunden hunderttausende E-Mail-Adr. zusammen. Teilweise
sogar personalisierbar weil Profile z.B. in Yahoo auch automatisch parsbar
sind und Informationen preisgeben falls eingegeben. Aber auch allein das
vorhandensein einer Person (E-Mail) auf einer ML zeigt schon das "fachliche"
Interesse und eignet sich zur zielgruppenorientierten Werbung.

Soweit der OT Ausflug in die Realität von E-Mail-Sammlern :)

Schönen Sonntag wünscht
Andreas


php::bar PHP Wiki   -   Listenarchive