Kurz erklärt: Zugriffschutz durch Referrer-Prüfung mit PHP

Posted by GSL-Team - 12. April 2013 - Browser, Kurz erklärt, Sicherheit - No Comments

Wer Internetseiten erstellt, kennt das Problem: Eine interaktive Funktion (Gästebuch, Produktangebote, Fotogalerie) braucht einen Zugangsschutz, der den unberechtigten Aufruf der Funktion oder der Pflegeseite dazu verhindert.

Häufig wird gerade bei kleineren Präsenzen nur ein Passwort abgefragt und dann beispielsweise per Header-Redirect auf die Pflegeseite weitergeleitet. Das Problem bei diesem einfachen Zugriffsschutz ist aber in der URL-Zeile offensichtlich, denn da sieht man die URL der Pflegeseite und könnte sie auch durch Direkteingabe am Zugriffsschutz vorbei aufrufen.

Hier hilft eine Überprüfung des Referrers in der aufgerufenen Pflegeseite. Kommt der Aufruf der Pflegeseite von der Seite, auf der das Passwort abgefragt wird (im Beispiel „login.php“), wird er durchgeführt, klebt ein anderer oder gar kein Referrer an dem Aufruf, wird er nicht durchgeführt, sondern auf eine Fehlerseite umgeleitet:

$pos = strrpos($_SERVER[‘HTTP_REFERER’], “meinserver.de/login.php”);
if ($pos === false) {
    header(‘Location: http://meinserver.de/ fehler.php’);
}

 

No comments

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Kommentarlinks könnten nofollow frei sein.