http://forum.geizhals.at/feed.jsp?id=571076 Geizhals-Forum http://forum.geizhals.at/t571076,4801364.html#4801364 <blockquote><em> ...diese die method="post" übergeb, und eine action="blabla.html?input=15"...</em></blockquote><br>Sobald du in der URL parameter übergibst widersprichst du ja eigentlich der Idee des POST requests. Also steck alle Parameter in den Body des Requests, indem du besagtes Form verwendest. Das hindert natürlich nichts und niemanden daran, diesen Request auch via POST auszuführen. Also am besten schon bei der Security VOR dem Posten ansetzen. Aber dazu hast du ja eh schon einige Ideen bekommen...<br/> Sat, 17 May 2008 12:39:22 GMT http://forum.geizhals.at/t571076,4801364.html#4801364 RevX 2008-05-17T12:39:22Z http://forum.geizhals.at/t571076,4800968.html#4800968 Also wennst am Server PHP, Perl, ... hast, dann nimm noch eine Session Variable beim Submit mit dazu, dann hast auch einen Schutz bei Spammern.<br><br/> Sat, 17 May 2008 07:27:02 GMT http://forum.geizhals.at/t571076,4800968.html#4800968 jobnavigator 2008-05-17T07:27:02Z http://forum.geizhals.at/t571076,4800157.html#4800157 <blockquote><em> also ist es garantiert [..] </em></blockquote><br><br>das musst du wissen - ist es garantiert? <img src="zwinker.gif" width="16" height="19" align="absmiddle" alt=";-)"/><br/> Fri, 16 May 2008 14:24:01 GMT http://forum.geizhals.at/t571076,4800157.html#4800157 japh 2008-05-16T14:24:01Z http://forum.geizhals.at/t571076,4800152.html#4800152 ok - war ein denkfehler, natürlich kommt er ohne gültige session garnicht dorthin!!!<br><br>also ist es garantiert, dass nur ein eingeloggter benutzer mit gültiger aktiven session dorthinkommt<br/> Fri, 16 May 2008 14:19:23 GMT http://forum.geizhals.at/t571076,4800152.html#4800152 kracker 2008-05-16T14:19:23Z http://forum.geizhals.at/t571076,4800148.html#4800148 <blockquote><em> natürlich ist alles unter user control - d.h. theoretisch garnicht möglich für den crawler, aber falls doch (irgendwie hauts eine session zam oder so), dann habe ich keine möglichkeit ausser den request davor zu resolven und es nagelfest nur für diesen benutzer zu erlauben oder ?</em></blockquote><br><br>wenn sich einer ein login krallt oder eine session hijackt, keine chance.<br><br>CAPTCHA kannst machen (auch schon viele gecrackt), aber es kommt halt immer drauf an ob der maximal moegliche schaden den aufwand rechtfertigt.<br/> Fri, 16 May 2008 14:17:14 GMT http://forum.geizhals.at/t571076,4800148.html#4800148 japh 2008-05-16T14:17:14Z http://forum.geizhals.at/t571076,4800146.html#4800146 Also wenn die Webseite richtig programmiert ist, sollte man ohne Session gar nicht erst dort hinkommen. Ansonsten hast du wahrscheinlich ganz andere Probleme.<br/> Fri, 16 May 2008 14:16:37 GMT http://forum.geizhals.at/t571076,4800146.html#4800146 hellbringer 2008-05-16T14:16:37Z http://forum.geizhals.at/t571076,4800147.html#4800147 Also wenn die Webseite richtig programmiert ist, sollte man ohne gültige Session gar nicht erst dort hinkommen. Ansonsten hast du wahrscheinlich ganz andere Probleme.<br/> Fri, 16 May 2008 14:16:37 GMT http://forum.geizhals.at/t571076,4800147.html#4800147 hellbringer 2008-05-16T14:16:37Z http://forum.geizhals.at/t571076,4800140.html#4800140 ok danke -<br><br>habe jetzt eine robots.txt eingerichtet und ausserdem alle ausführbaren aktionen über einen post request gemacht.<br><br>sollte ein spammer/cracker aber submitten - dann hab ich ein problem ^^<br><br>was ich machen möchte: eine tabelle mit fotos, wenn man den link unter dem foto folgt, dann wird einfach ein Update in der DB gemacht, und ein flag von 'N' auf 'Y' gesetzt.<br><br>natürlich ist alles unter user control - d.h. theoretisch garnicht möglich für den crawler, aber falls doch (irgendwie hauts eine session zam oder so), dann habe ich keine möglichkeit ausser den request davor zu resolven und es nagelfest nur für diesen benutzer zu erlauben oder ?<br/> Fri, 16 May 2008 14:12:36 GMT http://forum.geizhals.at/t571076,4800140.html#4800140 kracker 2008-05-16T14:12:36Z http://forum.geizhals.at/t571076,4800130.html#4800130 "brave" crawler werden sich an sowas halten, aber du musst unbedingt davon ausgehen, dass dein formular auch automatisiert benutzt werden wird.<br><br>spammer/cracker z.b. crawlen herum und submitten alles was nicht niet- und nagelfest ist.<br/> Fri, 16 May 2008 14:05:45 GMT http://forum.geizhals.at/t571076,4800130.html#4800130 japh 2008-05-16T14:05:45Z http://forum.geizhals.at/t571076,4800124.html#4800124 ok - ich werd das einfach folgendermaßen lösen:<br><br>in der &lt;form method ....... onsubmit="BEFEHL"&gt;<br><br>sonst wärs einfach ein <a href=""/> gewesen - nur wäre das dann kein post request - und theoretisch, falls der crawler einen dreck baut, dann führt er gleich 1000 updates in der DB aus ....<br/> Fri, 16 May 2008 14:03:59 GMT http://forum.geizhals.at/t571076,4800124.html#4800124 kracker 2008-05-16T14:03:59Z http://forum.geizhals.at/t571076,4800120.html#4800120 das weiß ich nicht.<br>crawler verhält sich eigentlich nicht anders als ein user der herumsurft.<br/> Fri, 16 May 2008 14:01:51 GMT http://forum.geizhals.at/t571076,4800120.html#4800120 nico 2008-05-16T14:01:51Z http://forum.geizhals.at/t571076,4800115.html#4800115 eine frage hätte ich noch:<br><br>ignorieren crawler javascripts ??<br><br><br/> Fri, 16 May 2008 13:59:39 GMT http://forum.geizhals.at/t571076,4800115.html#4800115 kracker 2008-05-16T13:59:39Z http://forum.geizhals.at/t571076,4800106.html#4800106 vielen dank !<br><br/> Fri, 16 May 2008 13:54:57 GMT http://forum.geizhals.at/t571076,4800106.html#4800106 kracker 2008-05-16T13:54:57Z http://forum.geizhals.at/t571076,4800079.html#4800079 ja wäre es.<br><br>robots.txt ins root dir legen<br><br>inhalt:<br>User-agent: *<br>Disallow: /<br/> Fri, 16 May 2008 13:45:52 GMT http://forum.geizhals.at/t571076,4800079.html#4800079 nico 2008-05-16T13:45:52Z http://forum.geizhals.at/t571076,4800069.html#4800069 oh vielen dank<br><br>folgen crawler normalerweise nur links ??<br><br>mein problem liegt momentan daran, dass ich ca 10 links auf meiner seite habe, die jeder eine aktion ausführt in der Datenbank (einfach ein update mit where statement auf die inputID)<br><br>jedenfalls wird die aktion auch ausgeführt, wenn ich einfach nur die URL in die adressleiste eingebe, was bei einem crawler doch auch der fall wäre oder nicht ???<br><br><br/> Fri, 16 May 2008 13:39:57 GMT http://forum.geizhals.at/t571076,4800069.html#4800069 kracker 2008-05-16T13:39:57Z http://forum.geizhals.at/t571076,4800067.html#4800067 robots.txt und crawler zugriff verweigern.<br><br>aber crawler folgen nur den links sie füllen keine formular felder aus.<br/> Fri, 16 May 2008 13:34:09 GMT http://forum.geizhals.at/t571076,4800067.html#4800067 nico 2008-05-16T13:34:09Z http://forum.geizhals.at/t571076,4800045.html#4800045 Hi, da ich mich länger nicht damit befasst habe, und jetzt eine minimale auffrischung in diesem gebiet benötige:<br><br>angenommen ich möchte auf einen ganz normalen HTML link einen POST Request setzen.<br>also ich habe zB. folgenden Request:<br><br>blabla.html?input=15<br><br>welcher irgendeine aktion ausführen würde.<br><br>das ist doch insofern gefährlich, weil ein crawler zB. diese aktion ausführen würde, wenn er die URL aufruft.<br><br>deshalb meine lösung: request mit Post "verstecken"<br><br>wie mache ich dies nun am besten ??<br><br>mein problem:<br><br>wenn ich den link umbaue, und eine form daraus mache, diese die method="post" übergeb, und eine action="blabla.html?input=15" (oder mit einem hidden-field), würde der crawler, wenn er die URL aufruft, dennoch mein skript ausführen - oder wie dreh ich das ab ????<br><br>mfg<br/> Fri, 16 May 2008 13:16:07 GMT http://forum.geizhals.at/t571076,4800045.html#4800045 kracker 2008-05-16T13:16:07Z