Http-referrer und cgi-Ansteuerung

Anonym · 28. Mai 2000 um 12:22

Hallo Leute,

folgendes Problem:
Ich möchte ein cgi-Script so konfigurieren, dass der Zugrif auf dieses Script nur von einer einzigen, von mir festgelegten, Webpage aus möglich ist.
Soviel ich weiss, muß das mit dem Befehl http_referrer möglich sein,
deshalb frage ich:

WER WEISS WAS ?

Danke, Swen

Anonym · 28. Mai 2000 um 12:40

Hallo,

folgendes Problem:
Ich möchte ein cgi-Script so
konfigurieren, dass der Zugrif auf dieses
Script nur von einer einzigen, von mir
festgelegten, Webpage aus möglich ist.
Soviel ich weiss, muß das mit dem Befehl
http_referrer möglich sein,

Jein. Es „geht“ natürlich mit einem Zugriff auf die Variable HTTP_REFERER, aber wirklich sicher ist dies nicht, weil man einen Referer leicht fälschen kann.

if($HTTP\_REFERER ne "$meinbesondererurl")
 die("Flachser Referer");

täte mal das grundlegende. Wenn Du wirklich sicherheitskritische Daten hast, wirst Du ja eh Verschlüsselung und Sessionmanagement benutzen, da entfallen dann solche Sorgen wie von selbst mit.

al

Anonym · 28. Mai 2000 um 19:25

Hi,

Jein. Es „geht“ natürlich mit einem
Zugriff auf die Variable HTTP_REFERER,
aber wirklich sicher ist dies nicht, weil
man einen Referer leicht fälschen kann.

nebenbei bemerkt: Referer ist kein Pflichtheader. Kein Client oder Proxy muß ihn (unverändert) weiterliefern. Mit anderen Worten: Du kannst darin höchstens eine Wahrscheinlichkeit erkennen, aber keine Tatsache.

if($HTTP_REFERER ne „$meinbesondererurl“)
die(„Flachser Referer“);

Da ich hier Perl-Syntax erkenne, möchte ich noch erwähnen, daß die Variable $HTTP_REFERER vorher aus $ENV{‚HTTP_REFERER‘} gefüllt werden sollte - oder aber gleich eben dies verwendet. Zur Optimierung des ganzen verzichte dann bitte noch auf die Anführungszeichen um die Variable $meinbesondererurl

Cheatah

Anonym · 28. Mai 2000 um 22:45

OT
Hallo

Jein. Es „geht“ natürlich mit einem
Zugriff auf die Variable HTTP_REFERER,
aber wirklich sicher ist dies nicht, weil
man einen Referer leicht fälschen kann.

nebenbei bemerkt: Referer ist kein
Pflichtheader. Kein Client oder Proxy muß
ihn (unverändert) weiterliefern. Mit
anderen Worten: Du kannst darin höchstens
eine Wahrscheinlichkeit erkennen, aber
keine Tatsache.

Ist doch toll. Ich sah gestandene Informatiker schon Wahrscheinlichkeitstänze um Zufallsfunktionen ausführen. Wetten, dass die Referer sich nach dem Mond ändern *g*. Da muss man doch was draus machen können…

*geradenachdemsinnvonUMLsuchend*
al