[HaBo]

Dawen · 21.10.11, 22:24

Hallo !

Der Titel ist etwas komisch gewählt - Entschuldigt.

Ich habe hier eine kleine Internetseite. Ein User muss auf der Seite in einem Div einen Button starten und anschließend wird ein

HTML-Code:

$.post(url,function(data){
  // some code
});

aufgerufen. Nun könnte der User auf die Idee kommen, dass er einfach ( z.B. per wget ) immer die URL aufruft und sich so einen Vorteil verschafft. Ich überlege nun die ganze Zeit, wie man dies verhindern könnte.

Hatte jemand schon einmal ein solches Problem ?

Ich dachte an folgendes :

In einer Tabelle wird für den Benutzer ein salt erstellt. Per Post wird dieser salt übergeben.

PHP-Code:

  if($_POST['salt'] == aValidSalt()){
    // some code
    generateNewSalt();
}
else{
    // error
}

Vielleicht hat jemand einen "schöneren" Vorschlag. Danke

enkore · 21.10.11, 22:32

Öhm ja ne. Du erzeugst für jeden Seitenaufruf der Formularseite nen Token, dass nur ne gewisse Zeit lang gültig ist. Im Grunde das, was du bereits gesagt hast.

Anzeige

- Anzeige -

CraHack · 24.10.11, 06:38

Der effektivste weg währe wohl ein Captcha.

z.B. reCAPTCHA: Stop Spam, Read Books währe da ziemlich gut.

b4ck · 24.10.11, 15:31

aus benutzerfreundlicher sicht kann ich dir nur von captchas abraten.

nimm am besten eine kombination aus einem tokken (wie bereits von enkore) erwähnt.
du könntest weiter ein cookie setzten bzw. den gesendeten user-agent überprüfen.

diese mechanismen lassen sich alle umgehen, doch jemand er sich dafür den aufwand macht hat auch kein problem fertige anti-captcha software zu verwenden.

CraHack · 25.10.11, 07:58

b4ck hat natürlich recht. Die Benutzerfreundlichkeit wird sinken. Für 'recaptcha' giebt es aber momentan afaik keine auch nur halbwegs zuverlässigen Auto-Lösungen. Für einen Menschen ist es aber imho ziemlich leicht zu lösen.

GrafZahl · 25.10.11, 11:51

Zitat:

Zitat von CraHack

Für einen Menschen ist es aber imho ziemlich leicht zu lösen.

und damit lieferst du auch gleich die lösung mit ...

man nehme eine seite mit "interessantem"/"anziehenden"(respektive eher "ausziehenden") inhalt und lasse von den usern jeweils ein captcha lösen bevor sie die inhalte bekommen ... die captchas sind in dem fall die durchgereichten, die man umgehen will ...

das problem ist in diesem fall nicht der turing-test, sondern die tatsache, dass du nicht sicher sein kannst wer ihn gelöst hat. das ist ein problem das sich nicht unter unkontrollierten bedinungen lösten lässt, sprich nicht in "freier wildbahn"

enkore · 25.10.11, 21:17

Außerdem gibts da diverse indische (manchmal auch chinesische) Unternehmen, die dir 10000 Captchas für 5$ lösen. Das läuft dann unter OCR

Anzeige

- Anzeige -

21.10.11, 22:24	#1 (permalink)
Dawen Registriert seit: 19.08.04 Likes: 1	"Direkten" post(url) verhindern Anzeige Hallo ! Der Titel ist etwas komisch gewählt - Entschuldigt. Ich habe hier eine kleine Internetseite. Ein User muss auf der Seite in einem Div einen Button starten und anschließend wird ein HTML-Code: $.post(url,function(data){ // some code }); aufgerufen. Nun könnte der User auf die Idee kommen, dass er einfach ( z.B. per wget ) immer die URL aufruft und sich so einen Vorteil verschafft. Ich überlege nun die ganze Zeit, wie man dies verhindern könnte. Hatte jemand schon einmal ein solches Problem ? Ich dachte an folgendes : In einer Tabelle wird für den Benutzer ein salt erstellt. Per Post wird dieser salt übergeben. PHP-Code: `if($_POST['salt'] == aValidSalt()){ // some code generateNewSalt(); } else{ // error }` Vielleicht hat jemand einen "schöneren" Vorschlag. Danke

21.10.11, 22:32	#2 (permalink)
enkore Senior Member Registriert seit: 13.07.08 Likes: 85	Öhm ja ne. Du erzeugst für jeden Seitenaufruf der Formularseite nen Token, dass nur ne gewisse Zeit lang gültig ist. Im Grunde das, was du bereits gesagt hast. __________________ "It is the human race! The deterioration of the spirit of man. Man undermining himself, causing a self-willed, self-imposed, self-evident self-destruction." +++ BREAKING +++ Troll ertrinkt im Planschbecken +++

25.10.11, 21:17	#7 (permalink)
enkore Senior Member Registriert seit: 13.07.08 Likes: 85	Außerdem gibts da diverse indische (manchmal auch chinesische) Unternehmen, die dir 10000 Captchas für 5$ lösen. Das läuft dann unter OCR __________________ "It is the human race! The deterioration of the spirit of man. Man undermining himself, causing a self-willed, self-imposed, self-evident self-destruction." +++ BREAKING +++ Troll ertrinkt im Planschbecken +++

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
[RegEx] Zeichenketten finden, welche "foo" enthalten, ABER NICHT "bar"	beavisbee	(Web-) Design und webbasierte Sprachen	4	05.09.11 14:44
Can't determine definition of operator ""and"" -- found 0 possible definitions	tanj	Code Kitchen	0	25.05.11 22:39
IE8 Adressleiste nach "Die Seite kann nicht angezeigt werden"	odigo	Die Problemzone	5	03.02.10 09:05
Perl MooseX::Singleton - seltsames Verhalten waehrend "global destruction"	keksinat0r	(Web-) Design und webbasierte Sprachen	0	02.01.10 11:32

24.10.11, 06:38	#3 (permalink)
CraHack Registriert seit: 20.11.05 Likes: 0	Der effektivste weg währe wohl ein Captcha. z.B. reCAPTCHA: Stop Spam, Read Books währe da ziemlich gut.

24.10.11, 15:31	#4 (permalink)
b4ck Registriert seit: 13.02.06 Likes: 1	aus benutzerfreundlicher sicht kann ich dir nur von captchas abraten. nimm am besten eine kombination aus einem tokken (wie bereits von enkore) erwähnt. du könntest weiter ein cookie setzten bzw. den gesendeten user-agent überprüfen. diese mechanismen lassen sich alle umgehen, doch jemand er sich dafür den aufwand macht hat auch kein problem fertige anti-captcha software zu verwenden.

25.10.11, 07:58	#5 (permalink)
CraHack Registriert seit: 20.11.05 Likes: 0	b4ck hat natürlich recht. Die Benutzerfreundlichkeit wird sinken. Für 'recaptcha' giebt es aber momentan afaik keine auch nur halbwegs zuverlässigen Auto-Lösungen. Für einen Menschen ist es aber imho ziemlich leicht zu lösen.

[HaBo]

"Direkten" post(url) verhindern