Domino 9 und frühere Versionen > Entwicklung

DB sperren über TCPIP

<< < (2/4) > >>

jofa:
Hi,


schaue mal unter:

http://www.atnotes.de/index.php?board=7;action=display;threadid=2059;start=0

Gruss JoFa

wflamme:
Leute,
ich rate, auf solche Tricks zu verzichten.
Redirects taugen als Sicherheitsmaßnahme nicht!

Rob Green:
jep, aber auch diese Lösung erscheint mir (in diesem Link meine ich zu dem alten Beitrag) nicht ganz koscher, da ich so ziemlich  bei jedem Browser ein autom. Redirect über Meta Refresh ausknippsen kann. Hm..irgendwie sind alle Lösungen doof.

Wie wär denn das, wenn man den User dazu zwingt JavaScript zu verwenden. Ist JavaScript ausgeschaltet, wird die Page erst garnicht angezeigt. Ist JS an, kann man damit die Überprüfung machen und dazu die aufgerufenen Seite mit Inhalt anzeigen.

Aber dolle finde ich alle Lösungen wirklich nicht, da man immer die IP spoofen kann.

wflamme:

--- Zitat von: Rob Green am 13.11.02 - 16:09:40 ---jep, aber auch diese Lösung erscheint mir (in diesem Link meine ich zu dem alten Beitrag) nicht ganz koscher, da ich so ziemlich  bei jedem Browser ein autom. Redirect über Meta Refresh ausknippsen kann. Hm..irgendwie sind alle Lösungen doof.

Wie wär denn das, wenn man den User dazu zwingt JavaScript zu verwenden. Ist JavaScript ausgeschaltet, wird die Page erst garnicht angezeigt. Ist JS an, kann man damit die Überprüfung machen und dazu die aufgerufenen Seite mit Inhalt anzeigen.

Aber dolle finde ich alle Lösungen wirklich nicht, da man immer die IP spoofen kann.

--- Ende Zitat ---

Das Problem ist, daß das JS erst auf den Browser muß. Damit breitet man die ganze Prüfungszeremonie einschl. der neuen Targets vor einem potentiellen Angreifer aus - einschl. des Links, wie's nun im Erfolgsfall mit aktiviertem JS weitergeht. Das ist das Problem mit HTTP: sessionless, stateless..
Und nun denk' mal an eine Suchmaschine, die schert sich einen Dreck um JS - genauso wie jeder WebRetriever...

IP spoofen macht in diesem Fall allerdings keinen Sinn, denn dann verschwinden die Antwortpakete im Nirvana an die simulierte IP. Es sei natürlich, ein Angreifer hat die Router in der Hand und schafft es, daß er die Pakete zu sich geroutet bekommt. Aber wer das so gut kann, der ist wohl auch fähig, gleich das BeSy des Servers zu hacken.

Rob Green:
Vorschlag zur Lösung wenn man es unbedingt mit IP machen möchte? Ausser eine solche DB so webfähig zu machen, daß JSP Tags die HTML Pages erstellen, fällt mir echt nix mehr Besseres ein.

flamme?

Navigation

[0] Themen-Index

[#] Nächste Seite

[*] Vorherige Sete

Zur normalen Ansicht wechseln