|
|||
Zitat:
Zitat:
Wurstbrot |
Sponsored Links |
Sponsored Links |
|
|||
Zitat:
Also nochmals. Ich habe:
Fazit: es war für Spambots kein Problem. Wurstbrot (ich weiß, ich schreib in diesem Forum nicht so viel, aber soviel Intelligenz kannst mir zutrauen |
|
||||
Zitat:
Erklär mir das bitte mal etwas ausführlich! Danke Dir!
__________________
Informationen aus Koblenz-Metternich ----------------------------------- "Wissen heißt, Fragen zu erwerben." |
|
||||
Die von PHP gelieferte Sitzungsverwaltung ist recht simpel und damit auch nur beschränkt einsetzbar. Bis auf die syntaktische Validierung der Sitzungs-ID findet keine weitere Validierung statt. Es könnte also jede beliebige, syntaktisch korrekte Sitzungs-ID genommen werden und sie würde als gültig angesehen.
Einen Schutz vor Session Hijacking, also der Nutzung einer fremden Sitzungs-ID und damit auch der fremden Sitzung selbst, ist also mit den von PHP gelieferten Mitteln allein nicht möglich. Dafür muss der Entwickler selbst sorgen, in dem beispielsweise nur vom System selbst erzeugte Sitzungs-IDs als gültig erachtet werden. Und auch den alten ungültig gemacht, ihn also beispielsweise aus der Sitzung gelöscht?
__________________
Markus Wulftange |
|
|||
Zitat:
Wie gesagt, das ist auch das notwendige Vorgehen zum Schutz vor Cross-Site Request Forgery Angriffen, in denen ein Formular von außen gesteuert werden könnte. Allein deshalb müssen die Spambots in dieser Hinsicht entsprechend flexibel sein. Für uns natürlich ärgerlich, aber die Spam-Bot-Programmierer sind ja auch nicht dumm. Wurstbrot |
|
|||
Zitat:
es gibt viele möglichkeiten zu spammen und teilweise ist dies ja leider auch ohne bots möglich aber jetzt wo ich grade mal gerechnet habe ist es ja extrem leicht zu raten und beim falsch antworten einfach ne neue frage zu nehmen... habt ihr ideen die wirken (könnten) ? vielleicht sollte man mal hier in diesem Forum eine entwicklungsgruppe zusammenstellen die zusammen einen blog oder sowas macht und jede woche sich ein problem rauspickt (per vote oder zufall etc...) und dieses ausführlich behandelt und mögliche (barrierearme) alternativen aufzeigt? mfg, skatelal(szs) |
Sponsored Links |
|
||||
Die Input-Felder werden ja üblicherweise mit recht eindeuitigen Bezeichnungen (name, email, text, etc.) versehen.
Bringt es was, wenn man die Bezeichnungen völlig sachunabhängig (suppenteller, fahrradstaender, holzfassade, etc.) anlegt?
__________________
Informationen aus Koblenz-Metternich ----------------------------------- "Wissen heißt, Fragen zu erwerben." |
Sponsored Links |
Themen-Optionen | |
Ansicht | |
|
|
Ähnliche Themen | ||||
Thema | Autor | Forum | Antworten | Letzter Beitrag |
jQAPI - Alternative jQuery Documentation | zeji | Ressourcen | 2 | 29.09.2010 11:50 |
Sizer unter Vista oder Alternative | emti | Offtopic | 2 | 12.06.2008 09:39 |
Hintergrundbilder skalieren > alternative Lösung? | grischa_sgd | CSS | 10 | 17.10.2007 09:37 |
Tickbox, Lightbox oder eine Alternative? | Mesh | (X)HTML | 5 | 16.08.2007 19:50 |
Barrierefreie Websites mit Content Management System erstellen | chrh | Barrierefreiheit | 8 | 19.09.2006 19:06 |