Startseite
  • » Home
  • » Handbuch & FAQ
  • » Forum
  • » Übersetzungsserver
  • » Suche
Startseite › Forum › Drupalcenter.de › Allgemeines zu Drupal ›

Webform confirmation - Sicherheit

Eingetragen von bullseye (5)
am 26.10.2009 - 11:56 Uhr in
  • Allgemeines zu Drupal
  • Drupal 6.x

Hi,

ich habe folgende Frage, und zwar eine Bestätigungs-Seite für ein Formular gemacht. Bei dieser Seite werden Userdaten ausgegeben, welche natürlich nicht für jeden Sichtbar sein sollen.
Der Script holt sich die Userdaten über die URL, Bsp: [www.beispiel.de/node/141/done?sid=932].

Jetzt kann man fremde Daten sich anzeigen lassen wenn man eine andere existierende sid eingibt. Momentan habe ich einen einfachen IP-Check gebastelt, welcher die Ip vergleicht.
Da ich bei dieser Variante kein gutes Gewissen habe, möchte ich euch Fragen, welche Möglichkeiten es gibt und welche am Sichersten sind.

Grüße

‹ Bestseller aus XT-Commerce Shop in Drupalblock einbinden Newsletter landet im Spam (Mimemail) ›
  • Anmelden oder Registrieren um Kommentare zu schreiben

Hi, wenn du nicht willst,

Eingetragen von Kars-T (1473)
am 30.10.2009 - 00:25 Uhr

Hi,

wenn du nicht willst, das eine beliebige URL der Form /node/141/done?sid=932 von angemeldeten Usern erreicht werden darf, hast du doch nur zwei Möglichkeiten. Schreib in die Session / DB, das dieser User gerade ein Formular erfolgreich durchlaufen hat und nur genau diese eine ID sehen darf. Oder erstelle ein Regelsystem, wer welche ID sehen darf. So wie ich deinen Text verstehe, kann jeder jede ID aufrufen, solange er die URL kennt. Das Vorgehen leuchtet mir so nicht ein.

---

Viele Grüße,

Kars-T XING

  • Anmelden oder Registrieren um Kommentare zu schreiben

Danke Kars-T!, ich vergas

Eingetragen von bullseye (5)
am 30.10.2009 - 10:43 Uhr

Danke Kars-T!,

ich vergas leider zu erwähnen, dass die User welche das Formular ausfüllen, unregistrierte Gäste sind.

  • Anmelden oder Registrieren um Kommentare zu schreiben

Okay ;) Das mit der IP ist

Eingetragen von Kars-T (1473)
am 30.10.2009 - 11:45 Uhr

Okay ;)

Das mit der IP ist schon ganz gut, bloß wenn die hinter einem Proxy sitzen, dann wird es schwierig, da die IP bei jedem Aufruf wechseln könnte. AOL soll das machen. Allerdings sollten alle User, die das Formualr betätigen eine Session haben. An die kannst du auch einen Token binden, der erlaubt, sich das anzuschauen. Ober temporäre URLs für X Minuten. Diese könnten aber gesnifft werden. Im Zweifel bleib bei der IP, das wird in 99% der Fälle wohl gehen.

---

Viele Grüße,

Kars-T XING

  • Anmelden oder Registrieren um Kommentare zu schreiben

Okay, danke dir, dass hat

Eingetragen von bullseye (5)
am 30.10.2009 - 13:55 Uhr

Okay, danke dir, dass hat mir weitergeholfen :-)

  • Anmelden oder Registrieren um Kommentare zu schreiben

Benutzeranmeldung

  • Registrieren
  • Neues Passwort anfordern

Aktive Forenthemen

  • Dynamische Ansicht von Seiteninhalt (als Tabelle?)
  • Vergabe von Berechtigungen für bestimmte Rollen; mir fehlt der Haken bzw. das „Veröffentlicht“
  • Ich brauche dringen Hilfe zu Updates oder ggf. wwie geht Composer?
  • Medien und andere Daten mit Feeds von Drupal 7 auf Drupal 10 migrieren
  • Rolle erstellen nicht zu finden
  • für drupal11 ein Slider Modul
  • [gelöst] W3CSS Paragraphs Views
  • Drupal 11 neu aufsetzen und Bereiche aus 10 importieren
  • Wie erlaubt man neuen Benutzern auf die Resetseite zugreifen zu dürfen.
  • [gelöst] Anzeigeformat Text mit Bild in einem Artikel, Drupal 11
  • Social Media Buttons um Insteragram erweitern
  • Nach Installation der neuesten D10-Version kein Zugriff auf Website
Weiter

Neue Kommentare

  • Arrrrg. Nix Tabelle :-D /*
    vor 2 Wochen 4 Tagen
  • Textboxen mit Tabelle
    vor 2 Wochen 4 Tagen
  • Du sollst ja auch keine
    vor 2 Wochen 4 Tagen
  • Theme
    vor 2 Wochen 4 Tagen
  • Welches Theme benutzt du
    vor 2 Wochen 4 Tagen
  • Mit Responsive Raster hatte
    vor 2 Wochen 5 Tagen
  • Hallo Alex,um das Häkchen
    vor 2 Wochen 5 Tagen
  • Modul view_unpublished
    vor 2 Wochen 6 Tagen
  • Modul "override node options"
    vor 3 Wochen 12 Stunden
  • Im Grunde ist dass ein
    vor 3 Wochen 2 Tagen

Statistik

Beiträge im Forum: 250270
Registrierte User: 20479

Neue User:

  • Stevebok
  • Robertnobia
  • AltonRaf

» Alle User anzeigen

User nach Punkten sortiert:
wla9463
stBorchert6003
quiptime4972
Tobias Bähr4019
bv3924
ronald3857
md3717
Thoor3678
Alexander Langer3416
Exterior2903
» User nach Punkten
Zur Zeit sind 0 User und 64 Gäste online.

Hauptmenü

  • » Home
  • » Handbuch & FAQ
  • » Forum
  • » Übersetzungsserver
  • » Suche

Quicklinks I

  • Infos
  • Drupal Showcase
  • Installation
  • Update
  • Forum
  • Team
  • Verhaltensregeln

Quicklinks II

  • Drupal Jobs
  • FAQ
  • Drupal-Kochbuch
  • Best Practice - Drupal Sites - Guidelines
  • Drupal How To's

Quicklinks III

  • Tipps & Tricks
  • Drupal Theme System
  • Theme Handbuch
  • Leitfaden zur Entwicklung von Modulen

RSS & Twitter

  • Drupal Planet deutsch
  • RSS Feed News
  • RSS Feed Planet
  • Twitter Drupalcenter
Drupalcenter Team | Impressum & Datenschutz | Kontakt
Angetrieben von Drupal | Drupal is a registered trademark of Dries Buytaert.
Drupal Initiative - Drupal Association