Hijacking und dadurch DC immer noch ein Problem, oje... ;)

Beitrag von **AnjaK** » 23.10.2005, 12:33

@Artur

Danke für die Korrektur, habs halt schnell "hingeschnuddelt"

@Airport

Jaja, ich weiß, mit Java wäre das viel viel besser und unkomplizierter *schmunzel*

Schreib halt ne Java-Routine, die das gleiche macht und auch die Ausnahmen beinhaltet, da freuen sich sicher viele drüber

von **Anzeige von ABAKUS** »

Beitrag von **Garfield** » 23.10.2005, 13:09

Und was passiert jetzt, wenn man sich diesen Codeschnippsel einbaut ?

Beitrag von **tritop** » 23.10.2005, 13:27

hallo kollegen,
ich bin aber weiterhin wie slomo der meinung dass im request-header keine hinweise auf 301 oder 302 mitgesendet werden. dies ist lediglich im response-header des servers enthalten der die weiterleitung betreibt.
fuer den fall dass ich mich irre: in welcher header-zeile steht denn das?
darueberhinaus hat getallheaders() (uebrigens genauso wie apache_request_headers() ) den grossen fehler dass der befehl nicht die methodenzeile (also z.b. GET) ausgibt. oder ist das nur bei mir so?
sollte ich hier unsinn reden so lasse ich mich sehr gern eines besseren belehren.
lg tri

von **Anzeige von ABAKUS** »

Beitrag von **derHund** » 23.10.2005, 13:31

und welche angaben sollen den dort zu finden sein? die anweisung gibt doch nur den request-header aus? wo soll dort der 302 gesendet werden? und wozu sollte der client dem server das mitteilen? (daß der client vom server grad nen 302 gekriegt hat, weiß der server selbst, interessiert ihn auch nicht).

könnte ihr mal exemplarisch einen solchen header hier posten? in dem ein 302er vorkam? mir würde auch schon ein request-header reichen, in dem irgendwin http-statuscode vorkommt ...

edit: schließe mich also tritop an, wo soll im request-header der http-code gesendet werden, und, viel wichtiger: wozu?

Beitrag von **SloMo** » 23.10.2005, 14:13

ArturO hat geschrieben:header("Location: ".$_SERVER['PHP_SELF']."");

PHP_SELF ist der relative Pfad. Eure Weiterleitung ist also defekt. Im übrigen genau so, wie m.E. das gesamte Konzept.

Wenn z.B. Eure Datei oder der User-Agent oder irgend ein anderer Teil des Headers den String 302 enthält, dann nehmt ihr an, dass es sich um eine Weiterleitung handelt.

@Airport: Jepp, das lässt sich optimieren. Davor ein /* und dahinter ein */

Gruß, SloMo

Beitrag von **Airport1** » 23.10.2005, 14:19

getallheaders() bzw. apache_request_headers() scheint zwar einiges zurueckzugeben, aber nicht mal die Request-Method scheint dabei zu sein. Wahrscheinlich arbeiten diese Funktionen sowieso auf einem hoeheren Layer.

Dazu kommt dass die header Location Geschichte nicht RFC-konform ist, wie SloMo schon sagt, denn da duerfen nur absolute URIs rein. Die Browser tolerieren das zwar, aber es ist genauso ein Fehler wie Leerzeichen oder Unterstriche in Subdomains nicht RFC-konform sind (und leider von Browsern trotzdem toleriert werden, aber HOFFENTLICH nicht von allen Bots..)

Um wirklich den HTTP Code zu erfahren scheint nichts anders uebrig zu bleiben als mit fsock oder curl die Antwort des Servers auf die Anfrage hin auszulesen. In Pseudo-Code:

fsockopen( ... domain von referer_url ... )
... request mit referer_url absetzen ...
... antwort MIT HEADER einlesen ... ggf. komplett fuer pruefung auf meta refresh ...
... nach http code gucken ...
... diesen mit url zusammen in eigener db vermerken ...

Aber mal angenommen es wuerde so funktionieren, wuerde dann nicht das 302 -> 301 und zurueck eine Endlosschleife ergeben?

Beitrag von **SloMo** » 23.10.2005, 14:52

Airport1 hat geschrieben:Aber mal angenommen es wuerde so funktionieren, wuerde dann nicht das 302 -> 301 und zurueck eine Endlosschleife ergeben?

Ja, wenn es zurück ginge. Aber der Code leitet zu der eigenen Seite um. Angenommen ein Bot kann sich bei verketteten Weiterleitungen nur einen einzigen Status merken, dann würde er als letzten Code einen 301 sehen, und das würde möglicherweise den 302 neutralisieren.

Aber es gibt ganz nebenbei ein noch viel "schöneres" Problem:

https://www.example.com/ würde zum Beispiel nach https://www.example.com/index.htm umgeleitet werden. Es wäre also möglich, dass Spider durch diesen Code plötzlich ein und die selbe Startseite an zwei unterschiedlichen Stellen finden. Plötzlich hat man ein DC-Problem.

Gruß, SloMo

PS: @Airport: Der Referer ist nicht das Weiterleitungs-Skript, sondern die Seite, auf der ein Link zum Weiterleitungs-Skript steht. Liefern Spider eigentlich einen Referer?

Beitrag von **D@ve** » 23.10.2005, 14:55

Code: Alles auswählen

Um wirklich den HTTP Code zu erfahren scheint nichts anders uebrig zu bleiben als mit fsock oder curl die Antwort des Servers auf die Anfrage hin auszulesen. In Pseudo-Code&#58;

Das würde zwar funktionieren, die Seite bei eingehenden Links aber u.U. enorm ausbremsen (je nachdem wie schnell die geöffnete Seite ist).

Gruß, Dave

Beitrag von **Airport1** » 23.10.2005, 15:05

Daher loggt man ja erst die Referer URLs in ne DB mit dem Status "bitte untersuchen" und hat nebenher noch z.B. einen Cron Job der die dann untersucht und wenn fertig eintraegt : HTTP Code als Zahl, Meta Refresh als Y oder N, Status besucht.

Bei dem Ansatz gibts natuerlich ein paar Problemchen:
1. 302er Links die z.B. im Google Index auftauchen aber nie mehr aufgesucht/besucht werden wuerden nie geprueft werden. Die muesste man fast schon haendisch zur Pruefung eintragen.
2. Nicht jeder schickt einen Referer mit, es gibt ja sogar "Referer-vermeiden" Services. Die muesste man auch wieder haendisch ausmachen

@SloMo: das liegt leider im Ermessen der Spider. Muessen muessen sie nicht. Ob sie es tun hab ich nie untersucht. Denke mal ein Teil machts, ein Teil nicht. Die prozentuale Verteilung weiss wohl der der sowas untersucht

Beitrag von **Airport1** » 23.10.2005, 16:53

Habs jetzt mal umgesetzt, dabei zeigt sich dass man doch noch mindestens 1 Ebene tiefer gehen sollte beim Auswerten, d.h. nicht nur die Referer-Seite auswerten sondern auch die Links darauf, da wird naemlich unter Umstaenden der Referer der Seite VOR der eigentlich hijackenden Seite geschickt. Alles Gaga, wie immer

Beitrag von **SloMo** » 23.10.2005, 17:05

Airport1 hat geschrieben:Habs jetzt mal umgesetzt, dabei zeigt sich dass man doch noch mindestens 1 Ebene tiefer gehen sollte beim Auswerten, d.h. nicht nur die Referer-Seite auswerten sondern auch die Links darauf, da wird naemlich unter Umstaenden der Referer der Seite VOR der eigentlich hijackenden Seite geschickt. Alles Gaga, wie immer

Hättste mein Posting oben ordentlich gelesen, hättste Dir die Zeit erspart. Ich kann zwar kein Java, aber an der Sprache scheints ja nicht zu liegen

*scnr*

SloMo

Beitrag von **Airport1** » 23.10.2005, 17:15

Jo aber da wirst ja gar nimmer fertig wenn Du alle Links der jeweiligen Seiten auch noch durchpruefen musst. Manche versuchen sich ja noch im Verschleiern und machen dann ein go.php?dsugzdugasusa . Was das Traffic kostet, o herje

Beitrag von **minivip** » 23.10.2005, 17:50

http ist von natur aus erst einmal ein verbindungsloses protokoll. 302er muessten vom browser gemerkt und weitergegeben werden damit sie auf der anderen seite ankommen, aehnlich wie die referrer-info. ich kenne keinen browser der das taete und darum ist das 302 erkennen wohl eher im reich der maerchen anzusiedeln.

die ganze diskussion hier ist doch wohl akademischer natur solange z.b. ein googlebot einem nicht erzaehlt welche seite ihn gerade hergeschickt hat.

Beitrag von **Airport1** » 23.10.2005, 18:13

302er (und sogar Metas) erkennen ist schon moeglich und kein Maerchen (aber man muss auch noch die Links des Referers checken, das ist umstaendlich und (vor allem zeit-)aufwaendig). Das Problem ist der Suchraum. Was nehme ich fuer Kandidaten? Suchergebnisse von Google zu bestimmten Suchen (Bsp. inurl:www.hase.de listet evtl. www.shop.de/go.php?url=www.hase.de ...) oder meine geloggten Referer. Der Aufwand ist gemessen zum Ergebnis fast schon riesig

Beitrag von **AnjaK** » 23.10.2005, 18:49

Hm, ich bin zwar nicht der Ultravollprofi in PHP, aber ich frage mich wieso ihr drauf besteht, dass ein getallheaders() keine Infos über den Status gibt, ob 301, 302 etc,
Denn das TUT er. Möglichweise ist dafür aber ein Modul nötig, dass im Apache installiert sein muss, das wäre denkbar. Aber damit kenn ich mich zu wenig aus um darüber eine Aussage zu machen.

Fakt ist, dass diese Script bei mir auf dem Server (Hosteurope) auf allem Paketen funktioniert und den 302er mir sogar per email mitteilt, damit ich von Hand nachschauen kann, was da woher kommt und damit ich das "anmahnen" kann. Zu glauben braucht ihr mir das ja nicht, sicher könnt ihr besser Programmieren als ich, das ist sicher nicht soooo die große Kunst. Bleibt dennoch die Tatsache, dass es bei mir funktioniert...
Es braucht keine Zeitaufwenigen wasauchimmerfürUmwege mittels teuflich raffinierter Java-Bohnen;)

Und SloMo so nebenbei:

PHP_SELF funktioniert hier selbstverständlich, da es ja eine INTERNE Weiterleitung ist und keine Externe, nur so am Rande