[PHP] http_referer + redirect *

dinsdag 8 juli 2003 14:21

Acties:

0 Henk 'm!

pietje63

RTFM

Topicstarter

ik heb een index.html met als bron

code:

<html>
<head>
<META HTTP-EQUIV="Refresh" CONTENT="1; URL=http://saurus.t-h-o-m-a-s.nl/smoelenboek/index.php">
</head>
<body>

<p><font color=#ca0000>Je wordt doorgestuurd naar het smoelenboek</font>
<a href=http://saurus.t-h-o-m-a-s.nl/smoelenboek/index.php>klik</a>
</body>
</html>

en een index.php met als stuk van bron

PHP:

1	if ($_SERVER['HTTP_REFERER']=="http://saurus.t-h-o-m-a-s.nl/smoelenboek/index.html"){

Dit wil ik gebruiken omdat de server van onze vereniging php/mysql niet goed ondersteund en ik die dingen daarom maar op mijn eigen server zet. Het idee: index.html zit achter een htaccess; mensen kunnen index.php dus alleen bekijken als ze ook toegang hebben tot de htaccess (nu staan beide bestanden op de zelfde server maar gaat om idee)

Als ik de link uit het index.html bestand gebruik dan gaat de check goed; als ik echter wacht op de http-refresh dan geeft hij een false check.

met andere woorden: na een http-equiv=refresh wordt de http_referer niet aangepast -> hoe kan ik er voor zorgen dat wat ik wil (als mensen een seconde wachten ze vanzelf worden doorgestuurd) werkt?

edit:
Ik wilde titel nog even wijzigen met een [php] tag maar ben te laat.. excuses

[ Voor 19% gewijzigd door pietje63 op 08-07-2003 14:23 ]

De grootste Nederlandstalige database met informatie over computers met zoekfunctie!!

dinsdag 8 juli 2003 14:23

Acties:

0 Henk 'm!

Erkens

Fotograaf

Php

kan je niet beter die .htaccess op je eigen server ook zetten?
aangezien je de referer makkelijk kan faken

dinsdag 8 juli 2003 14:25

Acties:

0 Henk 'm!

Verwijderd

ik begrijp niet wat je bazelt hoor

maar even voor de duidelijkheid, referer checken is niet betrouwbaar! deze wordt niet altijd meegegeven en is ook zo te faken.

dinsdag 8 juli 2003 14:26

Acties:

0 Henk 'm!

pietje63

RTFM

Topicstarter

Erkens schreef op 08 July 2003 @ 14:23:
kan je niet beter die .htaccess op je eigen server ook zetten?
aangezien je de referer makkelijk kan faken

nee, want er is een inlogsysteem waarachter verschillende functie zitten en ik wil niet dat de mensen 2x in moeten loggen

en de referer is inderdaad te faken, maar of de gemiddelde surfer dat door heeft...

De grootste Nederlandstalige database met informatie over computers met zoekfunctie!!

dinsdag 8 juli 2003 14:30

Acties:

0 Henk 'm!

Verwijderd

pietje63 schreef op 08 July 2003 @ 14:26:
[...]

nee, want er is een inlogsysteem waarachter verschillende functie zitten en ik wil niet dat de mensen 2x in moeten loggen

niet als je hem op de eerste server weghaalt en daar gewoon standaard redirect

en de referer is inderdaad te faken, maar of de gemiddelde surfer dat door heeft...

nee,maar zou t sowieso niet gebruiken omdat het geen goeie methode is

dinsdag 8 juli 2003 14:34

Acties:

0 Henk 'm!

Erkens

Fotograaf

Php

pietje63 schreef op 08 July 2003 @ 14:26:
[...]

nee, want er is een inlogsysteem waarachter verschillende functie zitten en ik wil niet dat de mensen 2x in moeten loggen

dat probleem heb je altijd als je met meerdere servers gaat werken

en de referer is inderdaad te faken, maar of de gemiddelde surfer dat door heeft...

ten eerste heeft elke fatsoenlijke browser al een optie om die referer uit privacy overwegingen uit te schakelen, en ten tweede iemand, die geinterreseerd is om websites te "cracken/defacen/whatever" heeft deze "beveiliging" snel door

dinsdag 8 juli 2003 14:36

Acties:

0 Henk 'm!

curry684

left part of the evil twins

modbreak: [PHP] voor je topictitle gezet, doe dat de volgende keer even zelf

Professionele website nodig?

dinsdag 8 juli 2003 14:39

Acties:

0 Henk 'm!

pietje63

RTFM

Topicstarter

Verwijderd schreef op 08 July 2003 @ 14:30:
[...]

niet als je hem op de eerste server weghaalt en daar gewoon standaard redirect

nee,maar zou t sowieso niet gebruiken omdat het geen goeie methode is

Beveilging op eerste server weghalen is geen optie -> mensen willen alle functies gebruiken

Verder snap ik dat het niet slim is om met meerdere servers te werken en er komt ook 1 nieuwe server aan die alles op zich neemt, maar dat duurt waarschijnlijk nog een paar maanden. Dit leek mij de makkelijkste/veiligste manier om het op te vangen.

Een ander alternatief is een formulier maken met daarin enkele versleutelde waarden (afhankelijk van tijd) en die controleren; maar volgens mij is dat evenmin betrouwbaar/ minder makkelijk omdat mensen dan het formulier moeten submitten.

Of weet iemand iets beters

De grootste Nederlandstalige database met informatie over computers met zoekfunctie!!

dinsdag 8 juli 2003 14:41

Acties:

0 Henk 'm!

Bosmonster

*zucht*

pietje63 schreef op 08 July 2003 @ 14:26:
[...]

nee, want er is een inlogsysteem waarachter verschillende functie zitten en ik wil niet dat de mensen 2x in moeten loggen

Die eerste inlog is toch niet nodig? Je hoeft toch alleen je eigen server te beveiligen.. die krijgt de redirect binnen en vraagt vervolgens om een wachtwoord.

edit: ow dat kan dus niet.. zorg dan dat je redirect met een unieke code ofzo, zodat degene automatisch inlogt op je eigen server. Iets ge MD5'd met username en timestamp van de minuut ofzo. Zodat de code ook maar een minuut geldig is. ( en uiteraard iets van je eigen code... iets wat buitenstaanders niet weten

)

en de referer is inderdaad te faken, maar of de gemiddelde surfer dat door heeft...

De gemiddelde surfer zal ook niet degene zijn die geinteresseerd is in misbruik van je systeempje

[ Voor 22% gewijzigd door Bosmonster op 08-07-2003 14:45 ]

dinsdag 8 juli 2003 14:44

Acties:

0 Henk 'm!

pietje63

RTFM

Topicstarter

Bosmonster schreef op 08 juli 2003 @ 14:41:
[...]
Die eerste inlog is toch niet nodig? Je hoeft toch alleen je eigen server te beveiligen.. die krijgt de redirect binnen en vraagt vervolgens om een wachtwoord.

edit: ow dat kan dus niet.. zorg dan dat je redirect met een unieke code ofzo, zodat degene automatisch inlogt op je eigen server. Iets ge MD5'd met username en timestamp van de minuut ofzo. Zodat de code ook maar een minuut geldig is.

edit: op server1 zit een htaccess login kun je met php de gegevens uitlezen van waarmee iemand in is gelogd?

[...]
De gemiddelde surfer zal ook niet degene zijn die geinteresseerd is in misbruik van je systeempje

Nee, ok, maar er zijn altijd wel mensen die even simpel proberen een beveiliging te omzeilen maar eigenlijk niets ervan afweten (die kijken of ze iets in de bron zien staan)

[ Voor 32% gewijzigd door pietje63 op 08-07-2003 14:46 ]

De grootste Nederlandstalige database met informatie over computers met zoekfunctie!!

dinsdag 8 juli 2003 14:48

Acties:

0 Henk 'm!

Bosmonster

*zucht*

pietje63 schreef op 08 July 2003 @ 14:44:
[...]

edit: op server1 zit een htaccess login kun je met php de gegevens uitlezen van waarmee iemand in is gelogd?

Ja dat kan... check hier:

http://nl2.php.net/features.http-auth

dinsdag 8 juli 2003 15:38

Acties:

0 Henk 'm!

Erkens

Fotograaf

Php

pietje63 schreef op 08 July 2003 @ 14:39:
Verder snap ik dat het niet slim is om met meerdere servers te werken en er komt ook 1 nieuwe server aan die alles op zich neemt, maar dat duurt waarschijnlijk nog een paar maanden. Dit leek mij de makkelijkste/veiligste manier om het op te vangen.

mja als het maar voor een paar maanden is? wat is dan het bezwaar om dan tijdelijk maar 2x in te loggen, tuurlijk is vervelend, ligt er maar net aan of je meer hecht aan gebruiksgemak of veiligheid, jouw keuze

dinsdag 8 juli 2003 15:56

Acties:

0 Henk 'm!

pietje63

RTFM

Topicstarter

Bosmonster schreef op 08 July 2003 @ 14:48:
[...]

Ja dat kan... check hier:

http://nl2.php.net/features.http-auth

ik heb hier iets leuks mee gemaakt, bedankt
(combinatie van een username+encryptie + check of die bestaat + timestamp + encrypte time stamp; deze worden allen gecontroleerd en vergeleken)

onbreekbaar? nee
maar toch genoeg voor mij

De grootste Nederlandstalige database met informatie over computers met zoekfunctie!!

Onderwerpen