Ich habe wegen Referer mit Absicht nachgefragt - den kann man n�mlich elegant f�lschen (=keine sichere L�sung).
Perfekt hinbekommen wird man es nicht, eine Umfrage kann man immer beeinflussen (auch Deine jetzige L�sung heble ich Dir in ca 10 Minuten aus, und spamme Dir die Umfrage zu). Man kann es nur sinnlos hart machen. Eine sehr harte L�sung: die Umfrage ist nur per speziellem Link erreichbar, wobei das in etwa so aussieht: umfrage.asp?<Entry>=<hashvalue> Es gibt eine Tabelle, wo <Entry> und geh�ssigerweise <salt> (und <salt2>) drinnen sind. <Entry> wird random erzeugt, <salt> ebenso. Aus <Entry> wird plus <salt> der <hashvalue> erzeugt. Eine andere Variante w�re, da� <Entry> die aktuelle Uhrzeit ist (automatischer Ablauf...), trotzdem mu�t Du Dir den <salt> merken. Jedes Mal, wenn der Umfragelink angezeigt wird, generierst Du eine Zeile in der Tabelle, und den Link mit diesen Daten. Auf der Umfrageseite kannst Du das dann verifizieren. Und damit keiner mehrfach votet: nun, hier hilft nur ein permanenter Cookie, der <Entry> und <hashvalue2> beinhaltet (dieser wird mit <salt2> generiert). Ist der nicht da, gibt's auf der Umfrageseite auch eine auf die Finger. Vorteil: der Attacker mu� neben dem Formular auch die Cookies faken. Richtig sicher wird's aber erst mit signierten Hashes - da ist dann schlu�-aus. Chris At 08:17 PM 2/4/2002 +0100, you wrote: >*grummel* Mu� ich meine Pfusch-L�sung jetzt echt kundtun? Habe gehofft, sie >bleibt unendeckt :-) > >N�, ich erstell in der default.asp ne Session. Und dann frage ich in der >vote.asp einfach ab, ob die Session vorhanden ist. >Wenn nat�rlich der User zuerst auf der default.asp kann er danach machen, >was er will. > > > > -----Urspr�ngliche Nachricht----- > > Von: Christoph Wille [mailto:[EMAIL PROTECTED]] > > Gesendet: Montag, 04. Februar 2002 20:13 > > An: AspGerman Kaffeehaus > > Betreff: [aspdecoffeehouse] Re: AW: Hitparade > > > > > > At 07:37 PM 2/4/2002 +0100, you wrote: > > >Soda, von ner anderen Seite linken geht nicht mehr und die Query.Strings > > >beim Voten sind auch weg. > > > > wie �berpr�fst Du denn das? Mit Referer? > > > > Chris | [aspdecoffeehouse] als [email protected] subscribed | http://www.aspgerman.com/archiv/aspdecoffeehouse/ = Listenarchiv | Sie k�nnen sich unter folgender URL an- und abmelden: | http://www.aspgerman.com/aspgerman/listen/anmelden/aspdecoffeehouse.asp
