Formular Absender ip

**3DMax** · 02.08.2006, 22:28

Die Seite A schickt der Seite B ein paar Daten per Formular(GET)
...
Nun wir ich, als Besitzer von der Seite A wissen von wem die Daten kommen.Denn falls die Daten nicht von B Stammen sollten, dann sollten diese nicht beachtet werden.

wer schickt denn nun von wo nach wo?
und warum wird ein formular mit get gesendet (von wem auch immer

)?

**chinku89** · 02.08.2006, 22:35

Original geschrieben von 3DMax
wer schickt denn nun von wo nach wo?
und warum wird ein formular mit get gesendet (von wem auch immer )?

also b schickt am a daten.

aber eben a will überprüfen von wem die daten überhaupt kommen.

**ghostgambler** · 02.08.2006, 22:36

Re: Formular Absender ip

Original geschrieben von chinku89
Wie finde ich jetzt raus, von wem die Daten überhaupt stammen?
Mit $_SERVER['http_referer'] ist es nicht genug sicher. Gibt es auch andere Möglichkeiten?

nein

**3DMax** · 02.08.2006, 22:44

Re: Re: Formular Absender ip

Original geschrieben von ghostgambler
nein

wieso nein?

B requestet also A, somit kommt A über $_SERVER["REMOTE_ADDR"] an die ip von B.

**chinku89** · 02.08.2006, 22:55

Re: Re: Re: Formular Absender ip

Original geschrieben von 3DMax
wieso nein?

B requestet also A, somit kommt A über $_SERVER["REMOTE_ADDR"] an die ip von B.

also mit $_SERVER["REMOTE_ADDR"] erhält a dann die ip von der PERSON die abschickt. Ich will die ip von der seite von dem der formular abgeschickt wurde.

also vielleicht habe ich das etwas schelcht erklärt. a udn b sind nciht personen sondern seiten.

Es ist egal wer den formular abschickt. es muss eifach von der seite b abgeschickt werden.

z.b. auf der seite B steht dann ein link :
<a href="hxxp://a.com/script.php?data=blablbla">click</a>

und jetzt will ich die ip herausfinden(also von der seite von dem es abgeschickt wurde).

**gleiwitz19** · 02.08.2006, 23:06

(1) um die interessante Frage umformulieren, in welcher Formular und GET vorkommen. Ist es folgendermassen gemeint??

auf seite http://a.aa/seite1.html steht:

<form action=http://b.bb/seite2.html method=get>...<..submit>..</form>

(2) die dumme Frage, gibt es in so einem Fall überhaupt einen REFERER, der auf a.aa/seite1.html weist?

**chinku89** · 02.08.2006, 23:11

Original geschrieben von gleiwitz19
(1) um die interessante Frage umformulieren, in welcher Formular und GET vorkommen. Ist es folgendermassen gemeint??

auf seite http://a.aa/seite1.html steht:

<form action=http://b.bb/seite2.html method=get>...<..submit>..</form>

(2) die dumme Frage, gibt es in so einem Fall überhaupt einen REFERER, der auf a.aa/seite1.html weist?

in deinem fall gibt es ein referer der auf der b.bb/seite2.html weist.

Aber ich habe es eigentlich umgekehrt gemeint:

auf bb.b steht:
<form action=http://a.aa/seite2.html method=get>...<..submit>..</form>

dann gibt es ein referer für a. nähmlich b(in diesem fall)

DAS PROBLEM:
dieses code(<form action=http://b.bb/seite2.html ....</form>)
Kann auch auf eine andere seite stehen. z.b. c. aber dann ist der referer nicht mehr b sondern c.

hoffentlich konnte ich mich klar ausdrücken.

**gleiwitz19** · 02.08.2006, 23:33

auf bb.b steht:
<form action=http://a.aa/seite2.html method=get>...<..submit>..</form>

das verträgt sich nicht mit ( bzw. ist umgekehrt)
Die Seite A schickt der Seite B ein paar Daten per Formular(GET)

aber darauf kommt es nicht an.

Folgendes ist aus den Fingern gesogen. Wo müsste man die Authentizität googeln?

Die Site a.aa kann prüfen, ob der Referer tatsächlich b.bb ist. Das kann aber gefälscht werden.
Die Site bb.b, Seite seite1.html kann in das Formular ein Geheimnis einbauen, welches für die Site cc.c nicht möglich ist. Falls Die seite1.html ein php-Formular ist, kann sie zB verschlüsselt das Datum und die Zeit einbauen, und seite2 die Antwort nur akzeptieren, wenn das Geheimnis drinn ist und plausibel. Die Site bb.b kann einen Zufallswert einbauen, der verschlüsselt ist aber mit Redundanz, und nur einmal verwendet werden kann - Schutz gegen c.cc durch die Redundanz, und gegen Replay durch 1x Verwendung. Die Seite aa.a kann das alles prüfen - versteht sich.

[addit: Wenn man das kombiniert: redundanter Zufallswert zur 1x Verwendung und Zeit in site bb.b generieren - dann muss site aa.a die verwendeten Zufallswerte nur während des Zeitfensters aufbewahren.]

**3DMax** · 02.08.2006, 23:54

Re: Re: Re: Re: Formular Absender ip

quote:
--------------------------------------------------------------------------------
Original geschrieben von 3DMax
wieso nein?

B requestet also A, somit kommt A über $_SERVER["REMOTE_ADDR"] an die ip von B.
--------------------------------------------------------------------------------

Original geschrieben von chinku89
also mit $_SERVER["REMOTE_ADDR"] erhält a dann die ip von der PERSON die abschickt. Ich will die ip von der seite von dem der formular abgeschickt wurde.

sorry, da hatte ich einen denkfehler. bin davon ausgegangen, dass die ip des servers übermittelt wird.

wenn du keinen einfluss auf auf B hast, dann sehe ich keine möglichkeit, das zu 100%ig zu validieren.

**ghostgambler** · 03.08.2006, 00:17

Re: Re: Re: Re: Re: Formular Absender ip

Original geschrieben von 3DMax
wenn du keinen einfluss auf auf B hast, dann sehe ich keine möglichkeit, das zu 100%ig zu validieren.

was ich schon vor 2 Stunden gesagt habe, aber auf mich hört ja keiner ^^,

wie gleiwitz19 schon schrieb, kann man mit Sessions und "random"-Werten eine gewisse Sicherheit schaffen, aber mit allem was in $_SERVER drin steht, geht es nicht

**chinku89** · 03.08.2006, 20:13

und geht es vielleicht mit einer anderen Websprache. vielelicht perl oder java oder ... ?

**jahlives** · 04.08.2006, 07:15

und geht es vielleicht mit einer anderen Websprache. vielelicht perl oder java oder ... ?

Ich vermute mal stark, dass auch jede andere Sprache vor dem gleichen Problem stehen wird, nämlich dass du solche Sachen nur prüfen kannst, wenn du dich auf vom Client übertragene Werte verlässt.
Und alles was vom Client kommt kann easy gefaked werden.
Somit um auf deine Frage zurückzukommen: Nein.

Gruss

tobi

Formular Absender ip