phpbar.de logo

Mailinglisten-Archive

[php] Sicherheit MD5

[php] Sicherheit MD5

php_(at)_phpcenter.de php_(at)_phpcenter.de
Tue, 15 Oct 2002 00:48:40 +0200


Dietmar Möller <php_(at)_jubu.de> wrote ..

> Idee: Bringts was, auf der verarbeitenden Seite, die Herkunftsseite auf
> Korrektheit zu prüfen. Oder kann man das auch austricksen, bzw. wird die
> überhaupt mit $_SERVER["HTTP_REFERER"] immer übergeben?

Nicht wirklich. HTTP_REFERER ist abhängig von den Informationen, die der anfragende Browser gibt. Das kann man (bestenfalls) abschalten oder (schlechtestenfalls) fälschen.

In Anlehnung an meine vorherige Mail könntest Du auf die Verschlüsselung via JavaScript verzichten, aber jedes Formular mittels einer unique-id mit einem einmaligen Berechtigungsschlüssel ausstatten. Es dürfte schon recht unwahrscheinlich sein, dass jemand das Formular abfängt, die Daten eingibt, und dann zurückschickt. Im Gegensatz zum normalen Anwender muss der Hacker ja erstmal herausfinden, was da eigentlich passieren soll. So wird er wohl meistens länger benötigen, um ein Formular auszufüllen, als ein Anwender, der es gezielt angewählt hat. Dieser Zeitvorsprung ist bei einem einmaligen Schlüssel effektiv. Nur: Die Daten sind nach wie vor unverschlüsselt. SSL ist nunmal die Wahl zur Zeit.

Hinrich


php::bar PHP Wiki   -   Listenarchive