[php] Zeker weten waar je bezoeker vandaan komt.

woensdag 22 oktober 2003 08:54

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Ik wil weten waar mijn bezoeker vandaan komt. Het is voor een authenticatieformuliertje. Ik wil niet dat men wat gesnift heeft en deze informatie dan vanaf een eigen computer kan POSTen.

Nu las ik hier en op php.net dat met de $HTTP_REFERER kan flessen op de een of andere manier. Nu is mijn vraag. Hoe zou dit mogelijk zijn en hoe kan ik dit voorkomen. Thanks voor tips.

woensdag 22 oktober 2003 09:00

Acties:

0 Henk 'm!

RupS

Je kan een country detection doen op basis van het ip adres van de bezoeker.
php.net gebruikt dat ook en ik heb het ook in mijn icoon zitten

Dit de website van ip-to-country

Het bestand dat je daar kunt downloaden is wel .csv, dus dat zul je dan bijv. om moeten zetten in een mysql database.

woensdag 22 oktober 2003 09:16

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Dat omzetten is niet zo'n probleem. Het enige wat ik me afvraag is of dit wel 100% waterdicht is. Het lijkt me zo omslachtig als ik alleen maar eigenlijk de HTTP_REFERER wil weten.

Het IP adres van de bezoeker mag ook van alles zijn natuurlijk. Ik wil alleen weten of het authenticatieformuliertje wel echt vanaf de webserver gepost wordt en niet bij iemand lokaal op zijn computer.

woensdag 22 oktober 2003 09:23

Acties:

0 Henk 'm!

samo

yo/wassup

Je kan het formulier multi-page maken, en in pagina 1 een random code genereren, die vastknopen aan een session, opslaan in een database en in page 2 weer opvragen en nakijken... :-)
Eventueel met ip gekoppeld ofzo...

* samo is in de omslachtige bui vandaag

[ Voor 9% gewijzigd door samo op 22-10-2003 09:24 ]

Bekend van cmns.nl | ArneCoomans.nl | Het kindertehuis van mijn pa in Ghana

woensdag 22 oktober 2003 09:24

Acties:

0 Henk 'm!

crisp

Devver

Pixelated

Php

Verwijderd schreef op 22 October 2003 @ 09:16:
Dat omzetten is niet zo'n probleem. Het enige wat ik me afvraag is of dit wel 100% waterdicht is. Het lijkt me zo omslachtig als ik alleen maar eigenlijk de HTTP_REFERER wil weten.

Het IP adres van de bezoeker mag ook van alles zijn natuurlijk. Ik wil alleen weten of het authenticatieformuliertje wel echt vanaf de webserver gepost wordt en niet bij iemand lokaal op zijn computer.

zoek eens op challenge en authenticatie in dit forum - dat zijn gangbare en veilige methoden die moeilijk te omzeilen zijn (eigenlijk alleen maar dmv sessie-kaping)

Intentionally left blank

woensdag 22 oktober 2003 09:27

Acties:

0 Henk 'm!

Janoz

Moderator Devschuur®

!litemod

Php

Dat weet je nooit zeker met $HTTP_REFERER. Hierbij vertrouw je op clientside gegenereerde informatie, en dat is inderdaad erg simpel te vervalsen. Dit wordt veroorzaakt door de stateless-heid van http. De enige manier om dit op te lossen is om de sessie al te starten bij het formulier en het formulier een random waarde laten meesturen.

Ken Thompson's famous line from V6 UNIX is equaly applicable to this post:
'You are not expected to understand this'

woensdag 22 oktober 2003 10:18

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Ja ik wil ook gebruik maken van challenge response maar dan nog kan men de hele boel sniffen, sessie kapen, IP spoofen en posten maar. Makkelijk zat.

Als ik die challenge nu een lifetime geef van een paar minuten, dan zou het vrij moeilijk zijn. Maar dan nog is het mogelijk.

woensdag 22 oktober 2003 10:27

Acties:

0 Henk 'm!

cdgrit

Je kunt een session_id in een Hidden formfield plaatsen en die op pagina 2 weer controleren...

Originele startpagina - Stadindex.nl

Onderwerpen