Ich habe bei einem Projekt das Problem, dass ich eine URL im Quelltext nicht anzeigen möchte. Dies hat einen einfachen Grund: Über eine Webseite werden die Steuerung einer Anlage, sowie die Kamera zur Überwachung der Anlage vereint. Beide stellen die Daten auf den eigenen Webservern bereit. Per iFrames werden die Daten zusammengestellt und zur Verfügung gestellt. Es muss sichergestellt werden, dass zu jedem Zeitpunkt jeweils nur eine Person die Anlage bedient. Dies wird über PHP gewährleistet. Man bekommt die Steuerung erst zu sehen, wenn man sich verifiziert hat. Dann stehen jedoch im Quelltext die URLs zu lesen und so könnte die Person in Zukunft durch Eingabe der URLs eine Steuerung vornehmen ohne sich verifiziert zu haben. Dies möchte ich verhindern. Dabei habe ich bereits über mehrere Möglichkeiten nachgedacht, jedoch habe ich kein sinnvolles und funktionierendes Ergebnis gefunden.

Gibt es eine Möglichkeit die URLs z.B. auf dem Server zu speichern und per JS nachzuladen, bzw. lediglich den Server anzufragen was das für URLs sein sollen?

Gibt es die Möglichkeit eine Funktion anzusprechen, die dann eben nicht die URL, sondern den Inhalt streamt oder so?

Gibt es eine Möglichkeit die URL zu verschlüsseln? Entschlüsseln kann sie nur derjenige, der den richtigen Schlüssel hat? Der Schlüssel wird dabei per AJAX vom Server geladen und ändert sich mit jedem Login?

Was für eine Lösung würdet ihr favorisieren? Welche Möglichkeiten gibt es überhaupt?

Du könntest den login in einer session speichern mit nem key
und wenn der nicht stimmt, wird man wieder auf startseite umgeleitet. So kann man nur die url benutzen wenn man sich verifiziert hat.

Du könntest dann in ner DB nen key speichern und nur der, der in der session den gleichen stehen hat darf.

Der key kann sich ja immer ändern

__________________
Meine Spielwiese: http://blog.kanedo.net
Ich bei Flickr? Da: Flickr: Fotostream von kanedo-projekt
Für open Source Liebhaber: open Com

Auch ich Zwitschere als @kanedo

schon richtig, nur kann ich ja die von extern in meine iFrames geholten Seiten nicht verändern. Die liegen auf den Webservern der Anlagen und Kameras. Also kann ich daran nicht viel ändern. Der Zugriff auf diese ist sobald die URL bekannt ist auch ohne Passwort möglich. Deswegen möchte ich das ja verhindern. Meine Frames Seite ist schon per Session geschützt...

du könntest über die php funktion
"file_get_contents()" den inhalt holen.

Wird aber schwierig. Oder wenn du auf der seite was verändern kannst, bau dir ne xml-api über die du das steuern kannst

(oder was weiß ich, welches format du da nehmen willst)

anonsten hab ich leider auch kein plan. Das wird sich denk ich auch nich machen lassen.

__________________
Meine Spielwiese: http://blog.kanedo.net
Ich bei Flickr? Da: Flickr: Fotostream von kanedo-projekt
Für open Source Liebhaber: open Com

Auch ich Zwitschere als @kanedo

Auf jeden Fall ist das ein elendes Gebastel was die eigentliche Sicherheit nicht erhöht, sondern nur den Missbrauch über deine Seite erschwert. Jeder der einmal die URL kennt, kann immer uneingeschränkt darauf zugreifen.

Ich würde sagen, es muss auf jeden Fall eine Authentifizierung bei der Steuerung und der Kamera eingebaut werden, auf alles andere kannst du dich nicht verlassen.

Ich würde einen Prozess die Seiten von den Maschinen abholen lassen, diese
auswerten und dann ein HTML-Seite daraus bauen die an den Client geschickt
wird. Mit den Antworten von dort die Maschinen-Seiten beantworten.

Dann bleiben die URLs verborgen.

__________________
Grüße aus dem Spessart, Joe

{ table-layout: biertischistbesser; }
Der Mausinator

Habe inzwischen alles mögliche versucht. Da die Webserver der Maschinen jedoch Java Applets zur Verfügung stellen und die Kamera eine ActiveX Steuerung wird das ganze nur noch komplizierter. Ich kann es also leider nicht mehr einfach so durchreichen. Langsam komme ich ans Ende meines Wissens und meiner Ideen...

Ich kenn mich mit java nicht aus, aber wie wär's wenn du auch ein java apllet schreibst?!

Das wär jetzt meine letzte idee

__________________
Meine Spielwiese: http://blog.kanedo.net
Ich bei Flickr? Da: Flickr: Fotostream von kanedo-projekt
Für open Source Liebhaber: open Com

Auch ich Zwitschere als @kanedo

sorry für doppelpost.
Aber habe evtl noch ne idee.

Wenn die daten, die du holst auf nem Server liegen, dann kannst du mit dem Apache prüfen ob der Referrer vom ursprungs server kommt. Somit kann kein anderer außer dein Server auf die daten zugreifen!!

Keine Ahnung ob dir das weiterhilft...Weiß nich inwieweit du auf die daten server komsmt

__________________
Meine Spielwiese: http://blog.kanedo.net
Ich bei Flickr? Da: Flickr: Fotostream von kanedo-projekt
Für open Source Liebhaber: open Com

Auch ich Zwitschere als @kanedo

hi lomtas,

ich liebe zwei threads zum selben thema, aber das ist eine andere sache.

ich hatte mal ein ähnliches problem, jedoch mit bildern. das prinzip bleibt dasselbe.

zur ernüchterung: es gibt kein 100% um deinen content zu schützen, wenn du diesen mit html ausgeben möchtest! warum?

darum: da html kein streaming unterstützt. d.h. du wirst nicht umhin kommen eine externe quelle zu integrieren. diese wiederum kann also nur mit einem url eingebunden werden. dieser jedoch kann nicht so verborgen oder verschlüsselt werden, dass er zu 100% sicher wäre, da du es nur mit js entschlüsseln könntest und hier der quellcode mitgeliefert wird.

die einzige möglichkeit ist, es dem angreifer so schwer wie möglich zu machen (session, https, wegwerf-url, ...) oder eine andere technik (rmi, ejb, applets) zu verwenden.