Refer vom Server manipulierbar?

[Alpinist]

Hallo,

ist es möglich das der Server den Refer manipuliert bevor man auf eine weitere Seite geht / weitergeleitet wird?

Zur Verdeutlichung:
- Man hate eine geschützte Seite 'meineWebsite.tld/geschütztesVerz/links.html'
- Man klickt dort auf einen Link 'andereWebsite.tld'
- Es soll dort NICHT 'meineWebsite.tld/geschütztesVerz/links.html' erscheinen sondern irgendwas anderes z.B. nur 'meineWebsite.tld'

Oder falls es nicht geht, kann man den Refer löschen?

Es geht mir hierbei nicht um eine Lösung wie 'outbound.pl' etc., sondern rein um die Refer-Manipulation.

Grüsse

[Hasso]

Ja sicherlich ist der Referer manipulierbar, jedoch geschieht es bei dem Client, auf der Seite des Client ist es möglich Referer beliebig verändern oder gänzlich "leeren" Es ist also mehr die Aufgabe des Rechners, der anfragt...

Ansonsten müsstest Du den Besucher woanders (eine Zwischenstation so zu sagen) hinleiten und von dort aus zum Endziel...

Grüsse
Hasso

[magadoo]

Genauer gesagt, kann der Referer durch Konfiguration des entsprechenden Browsers abgeschalten oder eben auch manipuliert werden.

[Alpinist]

Es geht aber eben NICHT um die Manipulation des User sondern die des Servers.

Ich hab schon öfters Refers in meinen Logs gesehen die ohne weiteres zum Sessionriding genutzt werden konnten (und ich dann ohne es zu wissen auf einmal in geschützten Bereichen gelandet bin).

Nochmal die Frage: kann ich
(a) den Refer ohne Zwischenseite manipulieren oder
(b) den Refer leeren/löschen?

[Anonymous]

Wenn eine andere Seite in der URL eine sessionid oder username und passwort weitergibt, so dass man direkt in einen loginbereich kommen kann, ist das ein Problem der anderen Seiten... solange deine scripte dies nicht so machen und du die referer nicht veröffentlichst, sehe ich da nicht wirklich ein Problem...

[Alpinist]

Wenn eine andere Seite in der URL eine sessionid oder username und passwort weitergibt, so dass man direkt in einen loginbereich komamen kann, ist das ein Problem der anderen Seiten...

Logisch

solange deine scripte dies nicht so machen

machen sie nicht

und du die referer nicht veröffentlichst, sehe ich da nicht wirklich ein Problem...

Das ist aber genau das Problem. Ich kann das bei mir als User schon manipulieren aber ich weiss a nicht wie das bei jeden x-beliebigen anderen User ist...

[magadoo]

Wie du erzwingen kannst, dass bei allen Usern der Referer nicht 'meineWebsite.tld/geschütztesVerz/links.html' enthält:

Rufe von dieser Seite eine zweite (unbedeutende) Seite auf, die eine clientseitige Weiterleitung an das gewünschte Ziel auslöst.

[SloMo]

Nochmal die Frage: kann ich
(a) den Refer ohne Zwischenseite manipulieren oder
(b) den Refer leeren/löschen?

Nein.

[Anonymous]

und du die referer nicht veröffentlichst, sehe ich da nicht wirklich ein Problem...

Das ist aber genau das Problem. Ich kann das bei mir als User schon manipulieren aber ich weiss a nicht wie das bei jeden x-beliebigen anderen User ist...

ich verstehe dein Problem nicht....

es ist doch egal, ob im referer 'meineWebsite.tld/geschütztesVerz/links.html' steht, nur mit dem Pfad kommt keiner in den geschützten Bereich rein.... es sei denn dein script schützt den Bereich nicht wirklich... solange nur der Pfad und keine gültige sessionid oder Userdaten bekannt sind ist es doch egal...

[Alpinist]

@magadoo: danke

@net(t)worker: es ging mir nicht um das Schützen einer Seite oder Verz. sondern um das Verschleiern eben dieser. Das hat einfach den gleichen Hintergrund wieso man auch den Refer in seinem Browser abstellt: es geht halt niemanden an welchen Webmailer ich benutze, wo meine Bookmarks liegen oder was auch immer. Wenn man das aus der Perspektive eines Betreibers sieht, denke ich schon das es interessant ist (auch wenn es kein wirkliches Problem ist).

Schade das es nicht 'richtig' bzw. 'einfach' geht.
Dank + Gruss

[soultcer]

--