iframe datensicherheit

This site uses cookies. By continuing to browse this site, you are agreeing to our Cookie Policy.

  • iframe datensicherheit

    Hallo liebes Forum

    ich lese schon seit einiger Zeit hier im Forum mit, da hier meiner Meinung nach sehr gute Antworten geliefert werden. Deswegen möchte ich mich mit meinem Problem auch euch wenden und hoffe ihr könnt mir helfen.
    Ich bin "Entwickler" in einem kleinen Online-Projekt, bei dem wir Nutzern kleinere Homepage-Tools anbieten. Dabei wird jedem Benutzer ein Ordner zugeteilt, über diesen dann die entsprechenden Apps abgerufen werden können. Leider können auf den meisten Seiten, die unsere Kunden betreiben, keine PHP-Scripte eingebaut werden, weswegen alles über iframes gelöst wird/werden muss.
    lange Rede, kurzer Sinn: wie schaffe ich die Website möglichst sicher zu identifizieren? Im Moment lasse ich einfach die URL auslesen, den Ordnernamen auslesen über den das Script eingefügt wird und nehme diese Werte dann um die Einträge zuzuordnen. Wie kann ich das noch verbessern, dass Manipulation möglichst unmöglich ist und die Einträge nicht auf den falschen Websiten angezeigt wird?

    mfG,
    freeek

    The post was edited 1 time, last by freeek ().

  • Du kannst den Referer auswerten. Das hilft dir zwar nicht gänzlich gegen Manipulation (weil man den Referer manipulieren kann)
    Damit kann man zumindest nicht clientseitig von anderen URLs dein Widget aufrufen.

    Damit man nicht serverseitig mit manipuliertem Referer-Header dein Widget aufruft (vermutlich ohne Mehrwert) kannst du noch zusätzlich ein IP Counter einbauen, der maximal n Requests pro Client und Zeiteinheit erlaubt.
  • Der "Hash" wäre ja, denke ich, für alle sichtbar, könnte also im Fall der Fälle auch einfach kopiert werden.

    Ich denke das prüfen der URL reicht, mehr kann ich dazu leider nicht sagen ...
    Alles was im Browser ankommt ist ja für jeden sichtbar, also sicherlich auch manipulierbar, ich weiß nicht, einerseits ist die URL als Wert ja schon "sicher genug", anderseits soll man das was $_SERVER überträgt ja auch faken können.
    Eventuell kann man da ja was mit Handshakes oder so machen kann ...