*rofl* Ja, genau! Und dann noch nen biometrischen Leser, den jeder User braucht :-)
Aber ich will jetzt Deine Antwort nicht l�cherlich machen! Danke f�r die Info. Ist ziemlich aufschlu�reich und interessant. Aber ich glaub, das Risiko, da� jemand die Umfrage f�lscht, nehme ich in diesem Fall in kauf. Hast Du die L�sung schon mal irgendwo eingesetzt? Danke Stefan > -----Urspr�ngliche Nachricht----- > Von: Christoph Wille [mailto:[EMAIL PROTECTED]] > Gesendet: Montag, 04. Februar 2002 20:59 > An: AspGerman Kaffeehaus > Betreff: [aspdecoffeehouse] Re: AW: Re: AW: Hitparade > > > Ich habe wegen Referer mit Absicht nachgefragt - den kann man n�mlich > elegant f�lschen (=keine sichere L�sung). > > Perfekt hinbekommen wird man es nicht, eine Umfrage kann man immer > beeinflussen (auch Deine jetzige L�sung heble ich Dir in ca 10 > Minuten aus, > und spamme Dir die Umfrage zu). Man kann es nur sinnlos hart machen. > > Eine sehr harte L�sung: die Umfrage ist nur per speziellem Link > erreichbar, > wobei das in etwa so aussieht: > > umfrage.asp?<Entry>=<hashvalue> > > Es gibt eine Tabelle, wo <Entry> und geh�ssigerweise <salt> (und <salt2>) > drinnen sind. <Entry> wird random erzeugt, <salt> ebenso. Aus > <Entry> wird > plus <salt> der <hashvalue> erzeugt. Eine andere Variante w�re, > da� <Entry> > die aktuelle Uhrzeit ist (automatischer Ablauf...), trotzdem mu�t Du Dir > den <salt> merken. > > Jedes Mal, wenn der Umfragelink angezeigt wird, generierst Du > eine Zeile in > der Tabelle, und den Link mit diesen Daten. Auf der Umfrageseite > kannst Du > das dann verifizieren. > > Und damit keiner mehrfach votet: nun, hier hilft nur ein permanenter > Cookie, der <Entry> und <hashvalue2> beinhaltet (dieser wird mit <salt2> > generiert). Ist der nicht da, gibt's auf der Umfrageseite auch > eine auf die > Finger. Vorteil: der Attacker mu� neben dem Formular auch die > Cookies faken. > > Richtig sicher wird's aber erst mit signierten Hashes - da ist > dann schlu�-aus. > > Chris > > At 08:17 PM 2/4/2002 +0100, you wrote: > >*grummel* Mu� ich meine Pfusch-L�sung jetzt echt kundtun? Habe > gehofft, sie > >bleibt unendeckt :-) > > > >N�, ich erstell in der default.asp ne Session. Und dann frage ich in der > >vote.asp einfach ab, ob die Session vorhanden ist. > >Wenn nat�rlich der User zuerst auf der default.asp kann er danach machen, > >was er will. > > > > > > > -----Urspr�ngliche Nachricht----- > > > Von: Christoph Wille [mailto:[EMAIL PROTECTED]] > > > Gesendet: Montag, 04. Februar 2002 20:13 > > > An: AspGerman Kaffeehaus > > > Betreff: [aspdecoffeehouse] Re: AW: Hitparade > > > > > > > > > At 07:37 PM 2/4/2002 +0100, you wrote: > > > >Soda, von ner anderen Seite linken geht nicht mehr und die > Query.Strings > > > >beim Voten sind auch weg. > > > > > > wie �berpr�fst Du denn das? Mit Referer? > > > > > > Chris > > > | [aspdecoffeehouse] als [EMAIL PROTECTED] subscribed > | http://www.aspgerman.com/archiv/aspdecoffeehouse/ = Listenarchiv > | Sie k�nnen sich unter folgender URL an- und abmelden: > | http://www.aspgerman.com/aspgerman/listen/anmelden/aspdecoffeehouse.asp > > | [aspdecoffeehouse] als [email protected] subscribed | http://www.aspgerman.com/archiv/aspdecoffeehouse/ = Listenarchiv | Sie k�nnen sich unter folgender URL an- und abmelden: | http://www.aspgerman.com/aspgerman/listen/anmelden/aspdecoffeehouse.asp
