Hi Leute!

Irgendwie ist es ein seltsames Problem und passt vielleicht auch nicht unbedingt in dieses Forum, aber ich fang erstmal an :)
Ich hab im Mailmodul meines Shopsystems eine Überprüfung drin, die schaut ob der korrekte Referer in $ENV{'HTTP_REFERER'} steht... sollte doch eigentlich kein Problem sein dachte ich mir, da der ja von meinem Script bzw. des Formulares immer korrekt mitgeschickt wird, ausser jemand möchte mein Script von aussen "füttern" ... Nun will ein Kollege von zu Hause aus das ganze testen und bekommt genau diesen Fehler, das der Referer nicht korrekt ist, um genau zu sein $ENV{'HTTP_REFERER'} ist leer :(
bei mir am PC klappt alles wunderbar ... bei anderen auch. Nu hat mein Kollege Hansenet bei sich zu Hause und mir kam die Vermutung, dass das Ganze vielleicht auch von Providerseite unterdrückt werden kann, hab ein kleines Script geschrieben, welches einfach nur den http-referer ausgibt wenn man auf einen Link klickt, Kollega testet es ... und der Referer wird korrekt ausgelesen und angezeigt :( ... das gleiche Problem hab ich auch auf meinem Linuxserver mit Lynx.
Jetzt bin ich mit meinem Latein am Ende ... jemand ne Idee? Warum kann $ENV{'HTTP_REFERER'} mal leer sein und mal nicht? An Browsereinstellungen kann es ja auch nicht liegen. Bin ich nur zu blöd?

Gruß, Tom

warum es mal leer ist, und mal nicht kann ich nicht sagen, aber was ich sagen, ist, dass du dich darauf nicht verlassen kannst, was da drin steht, weil ich z.b. mit LWP_UserAgent selbst den Referer setzen kann und wenn ich das kann, dann können es auch angreifer (auch ohne lwp_useragent) ...

hmmm ... stimmt natürlich an die Möglichkeit hab ich gar nicht gedacht :angry: gibt es denn eine 100%ige Lösung um zu überprüfen ob die Daten auch von der richtigen Domain kommen? ... ohne gleich das gesamte Script auszusperren.

Die Variable ist dann leer wenn die URL direkt aufgerufen wurde oder sie explizit, wie schon erwähnt, geleert wurde(Warum auch immer).

Gruß Alex\n\n

<!--EDIT|format_c|1089786771-->

Einige Brower sowie FIrewall bieten solche Optionen an, Referers zu unterdrücken bzw falsche Werte zu übermitteln.
Benutze Opera und Norton FIrewall. Die haben beide solch eine Option.

[quote=tomlong,14.07.2004, 03:16]
Ich hab im Mailmodul meines Shopsystems eine Überprüfung drin, die schaut ob der korrekte Referer in $ENV{'HTTP_REFERER'} steht...[/quote]
stop. die überprüfung rauswerfen, da es egal ist, ob sie drin ist oder
nicht. eine sagen wir mal 90-prozentige wahrscheinlichkeit, dass der
referer richtig gesetzt ist, ist bei einem online-shop gleich null.
arbeite mit sessions.

Quote

sollte doch eigentlich kein Problem sein dachte ich mir, da der ja von meinem Script bzw. des Formulares immer korrekt mitgeschickt wird,

weder dein skript noch dein formular schicken diese variable. dies macht
der browser bzw. irgendwelche proxies.
alle HTTP_* variablen kommen vom browser - also im endeffekt
vom user. darauf solltest du dich nie verlassen.

Benutzt er vielleicht den Proxy seines Providers? Vielleicht entfernt der ja einige Header-Felder.

genau die Ideen hatte ich auch alle ... Firewall und Browser könnens eigentlich nicht sein, da ich hier mit Mozilla, Opera und IE teste bis auf den IE mit Standardeinstellungen, mein Kollege an 3 verschiedenen Rechnern mit und ohne Firewall, wie gesacht, am provider könnte es liegen... wobei es dann wieder seltsam ist, dass er den referer im einen script auslesen kann und im anderen nicht, aber gut, das Thema hat sich ja erledigt ... da war ich wohl zu vorschnell ohne wirklich nachgedacht zu haben :0

mit sessions arbeite ich natürlich, nur weiterhelfen wird mir das bei einer Überprüfung doch nicht oder? ich mein, ne sessionid kann auch jeder mitschicken wie er lustig ist\n\n

<!--EDIT|tomlong|1089802457-->

[quote=tomlong,14.07.2004, 12:51]mit sessions arbeite ich natürlich, nur weiterhelfen wird mir das bei einer Überprüfung doch nicht oder? ich mein, ne sessionid kann auch jeder mitschicken wie er lustig ist[/quote]
das musst du wissen; ich weiss ja nicht, wie du deine sessions implementiert
hast.
im normalfall sollte das mitschicken einer beliebigen sessionid nicht tragisch
sein, da diese id sehr wahrscheinlich ungültig ist.
wenn du deine sessionids natürlich von 1 an einfach hochzählen lässt,
solltest du dich erstens nicht wundern, wenn dein shop gehackt wird und zweitens
die finger von shop-programmierung lassen...

nee nee die session wird schon dynamisch nach einem Muster generiert +timestamp aber ob das Sicherheit genug ist? im normalfall geht man kurz in den shop bekommt ne sid und die ist dann erstma für ein paar stunden gültig

EDIT: zum anderen finde ich es auch immer wieder ziemlich lustig wie voreilig die Stammposter hier über andere urteilen, bzw. anscheinend doch die damals bei perl.de so gehassten Glaskugel besitzen ;)\n\n

<!--EDIT|tomlong|1089804734-->