XHTMLforum
Seite 1 von 2 1 2
40 Beiträge dieses Themas auf einer Seite anzeigen

XHTMLforum (http://xhtmlforum.de/index.php)
-   Serveradministration und serverseitige Scripte (http://xhtmlforum.de/forumdisplay.php?f=80)
-   -   URL im quelltext nicht anzeigen (http://xhtmlforum.de/showthread.php?t=49977)

lomtas 21.01.2008 13:17
URL im quelltext nicht anzeigen
 
Ich habe bei einem Projekt das Problem, dass ich eine URL im Quelltext nicht anzeigen möchte. Dies hat einen einfachen Grund: Über eine Webseite werden die Steuerung einer Anlage, sowie die Kamera zur Überwachung der Anlage vereint. Beide stellen die Daten auf den eigenen Webservern bereit. Per iFrames werden die Daten zusammengestellt und zur Verfügung gestellt. Es muss sichergestellt werden, dass zu jedem Zeitpunkt jeweils nur eine Person die Anlage bedient. Dies wird über PHP gewährleistet. Man bekommt die Steuerung erst zu sehen, wenn man sich verifiziert hat. Dann stehen jedoch im Quelltext die URLs zu lesen und so könnte die Person in Zukunft durch Eingabe der URLs eine Steuerung vornehmen ohne sich verifiziert zu haben. Dies möchte ich verhindern. Dabei habe ich bereits über mehrere Möglichkeiten nachgedacht, jedoch habe ich kein sinnvolles und funktionierendes Ergebnis gefunden.

Gibt es eine Möglichkeit die URLs z.B. auf dem Server zu speichern und per JS nachzuladen, bzw. lediglich den Server anzufragen was das für URLs sein sollen?

Gibt es die Möglichkeit eine Funktion anzusprechen, die dann eben nicht die URL, sondern den Inhalt streamt oder so?

Gibt es eine Möglichkeit die URL zu verschlüsseln? Entschlüsseln kann sie nur derjenige, der den richtigen Schlüssel hat? Der Schlüssel wird dabei per AJAX vom Server geladen und ändert sich mit jedem Login?

Was für eine Lösung würdet ihr favorisieren? Welche Möglichkeiten gibt es überhaupt?

kampfgnom 21.01.2008 13:49
Du könntest den login in einer session speichern mit nem key
und wenn der nicht stimmt, wird man wieder auf startseite umgeleitet. So kann man nur die url benutzen wenn man sich verifiziert hat.

Du könntest dann in ner DB nen key speichern und nur der, der in der session den gleichen stehen hat darf.

Der key kann sich ja immer ändern

lomtas 21.01.2008 13:51
schon richtig, nur kann ich ja die von extern in meine iFrames geholten Seiten nicht verändern. Die liegen auf den Webservern der Anlagen und Kameras. Also kann ich daran nicht viel ändern. Der Zugriff auf diese ist sobald die URL bekannt ist auch ohne Passwort möglich. Deswegen möchte ich das ja verhindern. Meine Frames Seite ist schon per Session geschützt...

kampfgnom 21.01.2008 13:54
du könntest über die php funktion
"file_get_contents()" den inhalt holen.

Wird aber schwierig. Oder wenn du auf der seite was verändern kannst, bau dir ne xml-api über die du das steuern kannst

(oder was weiß ich, welches format du da nehmen willst)

anonsten hab ich leider auch kein plan. Das wird sich denk ich auch nich machen lassen.

inta 21.01.2008 14:01
Auf jeden Fall ist das ein elendes Gebastel was die eigentliche Sicherheit nicht erhöht, sondern nur den Missbrauch über deine Seite erschwert. Jeder der einmal die URL kennt, kann immer uneingeschränkt darauf zugreifen.

Ich würde sagen, es muss auf jeden Fall eine Authentifizierung bei der Steuerung und der Kamera eingebaut werden, auf alles andere kannst du dich nicht verlassen.

Scheppertreiber 21.01.2008 15:00
Ich würde einen Prozess die Seiten von den Maschinen abholen lassen, diese
auswerten und dann ein HTML-Seite daraus bauen die an den Client geschickt
wird. Mit den Antworten von dort die Maschinen-Seiten beantworten.

Dann bleiben die URLs verborgen.

lomtas 21.01.2008 17:40
Habe inzwischen alles mögliche versucht. Da die Webserver der Maschinen jedoch Java Applets zur Verfügung stellen und die Kamera eine ActiveX Steuerung wird das ganze nur noch komplizierter. Ich kann es also leider nicht mehr einfach so durchreichen. Langsam komme ich ans Ende meines Wissens und meiner Ideen...

kampfgnom 22.01.2008 09:10
Ich kenn mich mit java nicht aus, aber wie wär's wenn du auch ein java apllet schreibst?!

Das wär jetzt meine letzte idee

kampfgnom 23.01.2008 12:31
sorry für doppelpost.
Aber habe evtl noch ne idee.

Wenn die daten, die du holst auf nem Server liegen, dann kannst du mit dem Apache prüfen ob der Referrer vom ursprungs server kommt. Somit kann kein anderer außer dein Server auf die daten zugreifen!!

Keine Ahnung ob dir das weiterhilft...Weiß nich inwieweit du auf die daten server komsmt

Renner 23.01.2008 16:24
hi lomtas,

ich liebe zwei threads zum selben thema, aber das ist eine andere sache.

ich hatte mal ein ähnliches problem, jedoch mit bildern. das prinzip bleibt dasselbe.

zur ernüchterung: es gibt kein 100% um deinen content zu schützen, wenn du diesen mit html ausgeben möchtest! warum?

darum: da html kein streaming unterstützt. d.h. du wirst nicht umhin kommen eine externe quelle zu integrieren. diese wiederum kann also nur mit einem url eingebunden werden. dieser jedoch kann nicht so verborgen oder verschlüsselt werden, dass er zu 100% sicher wäre, da du es nur mit js entschlüsseln könntest und hier der quellcode mitgeliefert wird.

die einzige möglichkeit ist, es dem angreifer so schwer wie möglich zu machen (session, https, wegwerf-url, ...) oder eine andere technik (rmi, ejb, applets) zu verwenden.


Alle Zeitangaben in WEZ +2. Es ist jetzt 18:00 Uhr.
Seite 1 von 2 1 2
40 Beiträge dieses Themas auf einer Seite anzeigen

Powered by vBulletin® Version 3.8.11 (Deutsch)
Copyright ©2000 - 2024, vBulletin Solutions, Inc.

© Dirk H. 2003 - 2023