Groups | Search | Server Info | Keyboard shortcuts | Login | Register [http] [https] [nntp] [nntps]
Groups > de.comp.lang.php > #4579 > unrolled thread
| Started by | Jan Novak <repcom@gmail.com> |
|---|---|
| First post | 2020-04-30 15:19 +0200 |
| Last post | 2020-05-03 19:00 +0200 |
| Articles | 8 — 4 participants |
Back to article view | Back to de.comp.lang.php
Daten ablegen und vor Zugriff schützen Jan Novak <repcom@gmail.com> - 2020-04-30 15:19 +0200
Re: Daten ablegen und vor Zugriff schützen Arno Welzel <usenet@arnowelzel.de> - 2020-04-30 18:12 +0200
Re: Daten ablegen und vor Zugriff schützen Arno Welzel <usenet@arnowelzel.de> - 2020-04-30 18:14 +0200
Re: Daten ablegen und vor Zugriff schützen Jan Novak <repcom@gmail.com> - 2020-05-01 08:31 +0200
Re: Daten ablegen und vor Zugriff schützen Robin Koch <robin.koch@t-online.de> - 2020-05-05 19:05 +0200
Re: Daten ablegen und vor Zugriff schützen Thomas Hochstein <thh@inter.net> - 2020-05-01 16:05 +0200
Re: Daten ablegen und vor Zugriff schützen Jan Novak <repcom@gmail.com> - 2020-05-03 13:38 +0200
Re: Daten ablegen und vor Zugriff schützen Arno Welzel <usenet@arnowelzel.de> - 2020-05-03 19:00 +0200
| From | Jan Novak <repcom@gmail.com> |
|---|---|
| Date | 2020-04-30 15:19 +0200 |
| Subject | Daten ablegen und vor Zugriff schützen |
| Message-ID | <r8ej94$3f1$1@gwaiyur.mb-net.net> |
Hallo, ich muss eine öffentlich erreichbare Seite erstellen, auf der ein Benutzer eingaben macht. Diese sollen bei einem POST nochmal angezeigt werden und beim nächsten POST in eine json Datei gespeichert werden. Soweit nichts besonderes. Im heutigen Zeitalter, auch im Hinblick auf SPAM und Hacking Versuche, stellt sich mir die Frage wie sicher das Formular und die json Datei dann vor Zugriffen dritter geschützt ist? Gibt es besondere Vorkehrungen, die ich treffen sollte, abgesehen von einer verschlüsselten Verbindung (HTTPS / SSL) und eventuell einer captcha Funktion? Jan
[toc] | [next] | [standalone]
| From | Arno Welzel <usenet@arnowelzel.de> |
|---|---|
| Date | 2020-04-30 18:12 +0200 |
| Message-ID | <hh0bnkFomfbU1@mid.individual.net> |
| In reply to | #4579 |
Jan Novak: > Hallo, > > ich muss eine öffentlich erreichbare Seite erstellen, auf der ein > Benutzer eingaben macht. Diese sollen bei einem POST nochmal angezeigt > werden und beim nächsten POST in eine json Datei gespeichert werden. > Soweit nichts besonderes. > Im heutigen Zeitalter, auch im Hinblick auf SPAM und Hacking Versuche, > stellt sich mir die Frage wie sicher das Formular und die json Datei > dann vor Zugriffen dritter geschützt ist? > Gibt es besondere Vorkehrungen, die ich treffen sollte, abgesehen von > einer verschlüsselten Verbindung (HTTPS / SSL) und eventuell einer > captcha Funktion? Eventuell noch versteckte Eingabefelder, die Bots gerne ausfüllen möchten (<input type="hidden" name="password" /> oder <input type="text" name="password" style="display:none" placeholder="Nicht ausfuellen! Nichts eintragen! Das ist nur der Spam-Schutz!" /> o.Ä.), die man dann prüft, ob sie *leer* sind. Ein Mensch sollte die nicht sehen oder ohne CSS dennoch den Hinweis sehen, dass das Feld leer bleiben muss. Ein Bot dagegen schreibt was rein und daran erkennt man, dass es Bot war. Notfalls gibt man in der Antwort dann noch folgenden Text aus: "Liebe/r Nutzer/in - bitte das Feld, wo stand, dass man nichts eintragen soll, auch wirklich leer lassen! Das dient nur dazu, um Spammer abzuhalten - Danke!" -- Arno Welzel https://arnowelzel.de
[toc] | [prev] | [next] | [standalone]
| From | Arno Welzel <usenet@arnowelzel.de> |
|---|---|
| Date | 2020-04-30 18:14 +0200 |
| Message-ID | <hh0bqqFomfbU2@mid.individual.net> |
| In reply to | #4580 |
Arno Welzel: > Jan Novak: > >> Hallo, >> >> ich muss eine öffentlich erreichbare Seite erstellen, auf der ein >> Benutzer eingaben macht. Diese sollen bei einem POST nochmal angezeigt >> werden und beim nächsten POST in eine json Datei gespeichert werden. >> Soweit nichts besonderes. >> Im heutigen Zeitalter, auch im Hinblick auf SPAM und Hacking Versuche, >> stellt sich mir die Frage wie sicher das Formular und die json Datei >> dann vor Zugriffen dritter geschützt ist? >> Gibt es besondere Vorkehrungen, die ich treffen sollte, abgesehen von >> einer verschlüsselten Verbindung (HTTPS / SSL) und eventuell einer >> captcha Funktion? > > Eventuell noch versteckte Eingabefelder, die Bots gerne ausfüllen > möchten (<input type="hidden" name="password" /> oder <input type="text" > name="password" style="display:none" placeholder="Nicht ausfuellen! > Nichts eintragen! Das ist nur der Spam-Schutz!" /> o.Ä.), die man dann > prüft, ob sie *leer* sind. Ein Mensch sollte die nicht sehen oder ohne > CSS dennoch den Hinweis sehen, dass das Feld leer bleiben muss. Ein Bot > dagegen schreibt was rein und daran erkennt man, dass es Bot war. > Notfalls gibt man in der Antwort dann noch folgenden Text aus: > > "Liebe/r Nutzer/in - bitte das Feld, wo stand, dass man nichts eintragen > soll, auch wirklich leer lassen! Das dient nur dazu, um Spammer > abzuhalten - Danke!" Ergänzend: die json-Datei wird ja wohl auf dem Server gespeichert. Wie sollte die von außen erreichbar sein? Die musst Du natürlich in einem Verzeichnis speichern, dass von außen nicht abrufbar ist. Wahlweise komplett außerhalb des Webspace oder mit einer passenden Regel im Webserver, dass der Zugriff auf dieses Verzeichnis von außen nicht erlaubt ist. -- Arno Welzel https://arnowelzel.de
[toc] | [prev] | [next] | [standalone]
| From | Jan Novak <repcom@gmail.com> |
|---|---|
| Date | 2020-05-01 08:31 +0200 |
| Message-ID | <r8gfnm$lst$1@gwaiyur.mb-net.net> |
| In reply to | #4580 |
Am 30.04.20 um 18:12 schrieb Arno Welzel: > Jan Novak: > "Liebe/r Nutzer/in - bitte das Feld, wo stand, dass man nichts eintragen > soll, auch wirklich leer lassen! Das dient nur dazu, um Spammer > abzuhalten - Danke!" Sehr gute Idee ... sozusagen ein negiertes Captcha ... Jan
[toc] | [prev] | [next] | [standalone]
| From | Robin Koch <robin.koch@t-online.de> |
|---|---|
| Date | 2020-05-05 19:05 +0200 |
| Message-ID | <r8s6bt$p7h$1@news.albasani.net> |
| In reply to | #4582 |
Am 01.05.2020 um 08:31 schrieb Jan Novak: > Am 30.04.20 um 18:12 schrieb Arno Welzel: >> Jan Novak: >> "Liebe/r Nutzer/in - bitte das Feld, wo stand, dass man nichts eintragen >> soll, auch wirklich leer lassen! Das dient nur dazu, um Spammer >> abzuhalten - Danke!" > > Sehr gute Idee ... sozusagen ein negiertes Captcha ... Ich denke Stichwort ist Honeypot, falls Du Dich weiter darüber informieren möchtest. -- Robin Koch
[toc] | [prev] | [next] | [standalone]
| From | Thomas Hochstein <thh@inter.net> |
|---|---|
| Date | 2020-05-01 16:05 +0200 |
| Message-ID | <dclp.2005011605.67@meneldor.ancalagon.de> |
| In reply to | #4579 |
Jan Novak schrieb: > Im heutigen Zeitalter, auch im Hinblick auf SPAM und Hacking Versuche, > stellt sich mir die Frage wie sicher das Formular und die json Datei > dann vor Zugriffen dritter geschützt ist? Was willst Du denn wogegen schützen? Das Formular gegen unbefugten Aufruf? Das Formular gegen einen Aufruf durch Bots? Die Übertragung der Daten bei einem Formularaufruf gegen Mitlesen und Veränderung durch Dritte? Die Einsicht in de JSON-Datei? ... -thh
[toc] | [prev] | [next] | [standalone]
| From | Jan Novak <repcom@gmail.com> |
|---|---|
| Date | 2020-05-03 13:38 +0200 |
| Message-ID | <r8maf1$s2h$1@gwaiyur.mb-net.net> |
| In reply to | #4583 |
Am 01.05.20 um 16:05 schrieb Thomas Hochstein: > Jan Novak schrieb: > >> Im heutigen Zeitalter, auch im Hinblick auf SPAM und Hacking Versuche, >> stellt sich mir die Frage wie sicher das Formular und die json Datei >> dann vor Zugriffen dritter geschützt ist? > > Was willst Du denn wogegen schützen? > > Das Formular gegen unbefugten Aufruf? Das Formular gegen einen Aufruf > durch Bots? Die Übertragung der Daten bei einem Formularaufruf gegen > Mitlesen und Veränderung durch Dritte? Die Einsicht in de JSON-Datei? hmmm ... am besten deine ganze Aufzählung ... :-) Aber im Ernst, was ist sinnvoll? Das Formular gegen BOT Aufrufe schützen wäre gut - Arno hat da ja schon einen Tip gegeben. Die Json Datei erweitert sich mit jedem Absenden des Formulares, es wird immer "addiert". Speicherort ist ausserhalb des WEB Verzeichnisses. Wo die Datei liegt, sieht der Browser ja nicht. Somit sollte diese Datei sicher sein. "Die Übertragung der Daten bei einem Formularaufruf gegen Mitlesen und Veränderung durch Dritte" wäre noch eine ernsthafte Frage? Wie würde so etwas gehen und wie könnte ich mich davor schützen? Jan
[toc] | [prev] | [next] | [standalone]
| From | Arno Welzel <usenet@arnowelzel.de> |
|---|---|
| Date | 2020-05-03 19:00 +0200 |
| Message-ID | <hh8blgFf2e8U1@mid.individual.net> |
| In reply to | #4584 |
Jan Novak: [...] > Die Json Datei erweitert sich mit jedem Absenden des Formulares, es wird > immer "addiert". Speicherort ist ausserhalb des WEB Verzeichnisses. > Wo die Datei liegt, sieht der Browser ja nicht. Somit sollte diese Datei > sicher sein. Ja. Entscheidend ist, ob es eine URL gibt, über die man an die Datei herankommt. Wenn etwas außerhalb des Web-Root liegt, ist das aber ausgeschlossen - außer man hat ein Script, was indirekt doch Zugriff erlaubt, weil es die Datei ausliest und dann den Inhalt zurückschickt. > "Die Übertragung der Daten bei einem Formularaufruf gegen Mitlesen und > Veränderung durch Dritte" wäre noch eine ernsthafte Frage? > Wie würde so etwas gehen und wie könnte ich mich davor schützen? HTTPS benutzen. -- Arno Welzel https://arnowelzel.de
[toc] | [prev] | [standalone]
Back to top | Article view | de.comp.lang.php
csiph-web