unterschiedliche Darstellung von Fehlerseite 404

[Adromir]

Das einzige, was ich normalerweise bei Frames noch denke ist "Wech damit"
Nachteil der Variante kann aber sein, daß die Seite noch schlechter von SuMas durchsucht wird.

[Adromir]

@kami: Nicht ganz.

Du machst eine Datei namens redirect.php. Die hat in etwa folgenden Inhalt (Achtung, nicht einfach so übernehmen, die ist nicht gesichert gegen Angriffe):

[php]
if(is_file($_GET['url'])) header("Location: ".$_GET['url'].");
else header("Location: http://kami.de/missing.html");
[/url]

Und auf diese verlinkst du dann immer a la "redirect.php?url=meine_seite.html".

[kami]

Hallo Adomier,

Du sprichst mir aus der Seele. Würde ich gerne machen. Ist für mich aber sehr kompliziert da meine PHP-Kenntnisse wahrscheinlich nicht ausreichen.

[kami]

Hallo Dieter Nuhr,

genau diese Sicherheits-Probleme sind es an denen ich mich immer wieder reibe.

[Adromir]

Na, dann wollen wir dir doch nicht einfach was vor die Nase setzen, sondern schauen, wie wir dir beim lernen helfen können.

Also
Schritt 1: Identifizierung der Sicherheitslücke
So wie das Script jetzt noch ist, könnten dort fremde Seiten untergejubelt werden, und der Surfer auf eine unsichere Seite weiter geleitet werden.

Schritt 2: Bewertung der Sicherheitslücke
Auf den ersten Blick würde man sagen: Nicht so dramatisch, die direkte Manipulation des Parameters in der Adresszeile führt nur dazu, daß der User selbst weiter geleitet wird. Und wenn der Hacker erstmal so weit ist, die Verlinkung in einem anderen Dokument zu ändern, dann braucht er diese Datei nicht.
Aber: So ist es möglich, deine URL auf anderen Seiten zu mißbrauchen (z.B. für Suchmaschinenoptimierungen), oder um das wahre Ziel zu verschleiern.

Schritt 3: Wie kann ich die Sicherheitslücke schließen?
Indem ich sicherstelle, daß in der Datei keine weiterleitungen auf fremde Seiten erfolgen.


So, und wie du das Konkret machst, kannst du mal überlegen. Vieleicht hast du dabei den ein oder anderen Aha- Moment, der dich bei der Programmierung weiter hilft.

[kami]

Hallo Dieter Nuhr,

mit welchem Befehl kann ich den Aufruf der Page kenntlichmachen.

Der Client hat z.b. die page "http://john/test.html" aufgerufen.

wie kann ich es abfragen? Um es zu kontrollieren wollte ich den Aufruf erst in einer Variable ablegen.

[Adromir]

Da gibt es verschiedene Wege:

1. Du übergibst an das Script keine URL, sondern nur z.B. einen Numerischen Wert. Mithilfe einer Kontrollstruktur (switch oder if.. elseif..else) ordnest du dieser eine URL zu, auf die weiter geleitet werden soll.

2. Du siehst die URL erstmal als den Datentyp, der sie ist: Ein String. Diesen kannst du dann mit Hilfe von Funktionen überprüfen, ob die URL auf deinen Server verweist, oder auf einen fremden.

[kami]

Hallo Dieter Nuhr,

das bedeutet, daß allen Buttons eine Zahl zugeordnet werden muss. Wenn ich also dann auf den Button drücke dann wird eine Nummer weitergegeben.

Home = 1
xxxx = 2
yyyy = 3
zzzz = 4
usw.
Nach der Abfrage, daß es eine Zahl ist wird anhand der Nummer der name der Page gebildet und die Page aufgerufen, und wenn diese Zahl dann nicht da ist wird home.php ausgegeben. Somit würde damit eine Fehlerpage überflüssig?

So etwas würde damit erst recht ausgeschlossen: http://john/\x1fWb\x17\xafO\x8cwfnu\xda\x11\x03w\xd2\x usw. ???

Sehe ich das bisher richtig? Mit der Vergabe der Index-Nummer werde ich wohl viel Schwierigkeiten haben. Es sind alles .swf.

[Adromir]

Das Konzept hast du richtig verstanden. Aber ich verstehe gerade nicht, welches Problem die .swf machen..

[kami]

wie bekomme ich dem swf die zahl [id] beigebracht.
bisher hatte ich folgendes:[code]
<script type="text/javascript">
AC_FL_RunContent( 'codebase','http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=7,0,19,0',
'width','592','height','29','title','Laufband','src','/pichome/Laufband','quality','high','pluginspage',
'http://www.macromedia.com/go/getflashplayer','movie','/pichome/Laufband' ); //end AC code
</script>
<noscript>
<object classid="clsid27CDB6E-AE6D-11cf-96B8-444553540000" codebase="http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#
version=7,0,19,0" width="592" height="29" title="Laufband">
<param name="movie" value="/pichome/Laufband.swf">
<param name="quality" value="high">
<embed src="/pichome/Laufband.swf" quality="high" pluginspage="http://www.macromedia.com/go/getflashplayer" type="application/x-shockwave-flash" width="592" height="29"></embed>
</object>
</noscript>
</div>
/CODE]
wie kann ich diesem Code die Nr. zuordnen??

[Adromir]

Welche Flashs meinst du denn? Die Navigation? Die musst du doch erstellt haben, und dann solltest du doch innerhalb der Buttons die Linkziele ändern.

Oder meinst du Flashinhalte auf der aufzurufenden Seite? Die brauchen diese ID nicht, da ja direkt das HTML- Dokument aufgerufen wird.

[kami]

... es sind die Buttons in der Navileiste. Das Buttons sind erstellt in Dreamweaver. Da habe ich den Buttons jeweils die Page angegeben für den Aufruf in mainframe.
Bei dem Beispiel wird die Home.php aufgerufen. Kommt hier dann die ID-Nr herein? Ganz schön kompliziert. Wie frage ich dann das ab, was ich dann gedrückt habe?

[Adromir]

Den Button verlinkst du nun auf redirect.php?id=X, wobei X für eine Zahl, sprich die ID steht, die du deinen Seiten intern zugeordnet hast.

die redirect.php sieht in dem Beispiel so aus:

PHP-Code:

<?php
switch($_GET['id']) {

case 1:
header("location: http://www.kami.de/home.php");
break;

case 2:
header("location: http://www.kami.de/seite2.html");
break;

case 3:
header("location: http://www.kami.de/seite3.html");
break;

[...]

default: 
header("location: http://www.kami.de/missing.php");
}
?>

Die Zahl hinter case steht für die Zahl, die du für die Seite vergeben hast, auf die dann jeweils weiter geleitet werden soll.
Du musst natürlich für jede Seite so einen Block

PHP-Code:

case x:
header("location: Zielseite");
break; 


Einfügen (angedeutet durch das [...] im Script.
In dem Block mit "default" gibst du die Seite an, die aufgerufen werden soll, wenn keiner der anderen Cases zutrifft (Fehlerseite oder sonstiges), also wenn z.B. die ID nicht existiert, oder der User irgendwas anderes in den Parameter geschrieben hat.
Ich hoffe, daß ist nun konkret genug, daß du das weiter verwenden kannst.

[kami]

... ich versuche es zu verstehen.
1. als erstes startet doch meine index.php.
In dieser sind die Frames drin. Unter anderem auch die Navi und Mainframe.
Startpage ist in Mainframe die Home.php. Wenn ich Button (seite2.php) drücke und in die Datei redirect.php aufrufe wie bekomme ich dann das Ergebnis wieder in die Index.php damit im Mainfram die entsprechende Page eingefügt wird. Z.B. seite2.php
2. Muss im

Code:

header("location: http://www.kami.de/seite3.html");

die komplette URL drin sein oder geht es auch mit

Code:

header("location: /seite3.html");

wenn ich es von Root aus sehe.

[Adromir]

Ich meine bei location muss die komplette URL drinstehen..