cgicorner.ch ¦ Download ¦ jsStyle Information ¦ unterdrückter Referer    
   http://www.cgicorner.ch

Main Download CGI Hilfe Knowledge Base Links Gaestebuch Witze-Bereich Sitemap Impressum

unterdrückter Referer

Was ist der Referer und wie hängt das mit jsStyle-Produkten zusammen?

Beim Referer handelt es sich um eine Zusatzinformation des Browsers, die dem Webserver mitteilt, welche URL zuletzt besucht wurde. Diese Information wird nur bei einem Klick auf einen Link und nicht bei direkter Eingabe der URL in der Adresszeile übergeben. Dadurch ist es Seitenbetreibern möglich, zu erkennen, von welchen internen oder auch externen Seiten die Besucher auf eine Webseite gelangen. Ebenfalls können die gesuchten Wörter in Suchmaschinen abgefragt werden, da diese in der Regel in der Ergebnis-URL der Suchmaschine noch vorhanden sind.

Der Referer stellt kein Sicherheitsrisiko dar, ermöglicht es Seitenbetreiber jedoch, zusätzliche Informationen über den Benutzer zu erfahren. So könnte z.B. bei einem Besucher von einer Suchmaschine ein bestimmter, zum Suchbegriff passender, Text angezeigt werden, währenddem andere Surfer einen Standard-Text sehen. Ein Script, welches den Referer zur Ermittlung von Herkunfsseite und gesuchten Wörten in Suchmaschinen verwendet ist jsStat. Es gibt nun einige Tools, welche Referer-Informationen löschen oder fälschen. Ob es ein Benutzer wirklich stört, wenn die Seitenbetreiber diese Information besitzen, sei jedem selber überlassen...

Der Zusammenhang des Referers mit den jsStyle-Produkten ist nun auch schnell erklärt: die Skripte sind so aufgebaut, dass sich der Benutzer an der Loginseite mit Benutzernamen und Passwort anmeldet, Nach erfolgreicher Anmeldung wird eine eindeutige ASID (Administrator Session ID) erzeugt, mit der der Benutzer erkannt wird. Benutzernamen und Passwort werden ab diesem Zeitpunkt weder in verschlüsselter noch unverschlüsselter Form übertragen. Alle jsStyle-Produkte funktionieren auch ohne Cookies (lediglich der Benutzername wird aus Komfort-Gründen in einem Cookie gespeichert, hat aber keinen Einfluss auf die Funktionalität, sondern nur darauf, dass dieser bei erneutem Login bereits in das Eingabefeld eingetragen wird). Mittels einer gültigen ASID könnte man also auch ohne Kenntnis von Benutzername und Kennwort auf den Administrationsbereich zugreifen (die ASID verliert beim Logout automatisch ihre Gültigkeit). Um Missbrauch einzuschränken, wird deshalb immer noch der Referer überprüft. Das heisst, der Benutzer muss als Referer zwingend das Script selber eingetragen haben (also auf einen Link geklickt haben). Die manuelle Eingabe der URL inkl. ASID in der Adressleiste endet mit der Fehlermeldung:
Was erwarten Sie jetzt? Ich beglückwünsche Sie zu Ihrer Freizeit. Haben Sie nichts besseres zu tun, als hier Versuche zu starten?
Wenn Sie diesen Dienst nutzen wollen, so verwenden Sie ihn bitte wie vorgesehen...
Blockierte oder gefälschte Referer verunmöglichen also eine Administration von jsStyle-Produkten.

Blockierten Referer unterbinden

Nachfolgend nun eine detailierte Anleitung der bekanntesten Produkte, welche den Referer fälschen oder unterbinden. Bei Teils Programmen ist dies die Standard-Einstellung (Norton Internet Security, Kerio Firewall), bei anderen (Webwasher und Opera) muss sie explizit aktiviert werden.

Norton Internet Secuity 2003

Die Norton Internet Security blockiert in den Standard-Einstellungen die Referer-Informationen. Gleiches gilt für die Norton Personal Firewall. Bei diesen Produkten kann pro Domain definiert werden, ob die Informationen zugelassen sein sollen oder nicht. Es reicht deshalb aus, die eigene URL (wo man ja schliesslich der Einzige wäre, der das ausnützen könnte) freizuschalten. Dazu ist folgendes Vorgehen notwendig:

Taskleiste mit NIS Symbol Klicken Sie doppelt auf das "Norton Internet Security"-Symbol (Weltkugel) in der Trayleiste neben der Uhr.
NIS Hauptfenster Im daraufhin erscheinenden Informationsfenster von "Norton Internet Security" wählen Sie in der oberen Menüleiste den Button "Optionen"
Optionen - Webinhalt Wählen Sie in den Optionen das Register "Webinhalt". Suchen Sie in der Liste Ihre Domain oder erfassen Sie mittels "Site hinzufügen" einen neuen Eintrag.

Dort müssen Sie nur noch bei "Informationen über besuchte Sites" zulassen auswählen. Der Rest kann bei den Standard-Einstellungen belassen werden.

Ab sofort sollten die jsStyle-Produkte problemlos funktionieren.

Norton Internet Secuity 2006

Die Norton Internet Security überträgt in den Standard-Einstellungen die Referer-Informationen innerhalb der Domain. Mit diesen Einstellungen müssten die jsStyle-Produkte bereits funktionieren. Um den Referer auch über Domaingrenzen hinweg zu übertragen muss die im nachfolgenden beschriebene Option aktiviert werden. Hierbei kann pro Domain definiert werden, ob die Informationen zugelassen sein sollen oder nicht. Es reicht deshalb aus, die eigene URL (wo man ja schliesslich der Einzige wäre, der das ausnützen könnte) freizuschalten. Dazu ist folgendes Vorgehen notwendig:

Taskleiste mit NIS Symbol Klicken Sie doppelt auf das "Norton Internet Security"-Symbol (Weltkugel) in der Trayleiste neben der Uhr.
NIS Hauptfenster Im daraufhin erscheinenden Informationsfenster wählen Sie links "Norton Internet Security", klicken dann auf "Datenschutz" und wählen "Konfigurieren".
Datenschutz - Konfigurieren Danach öffnet sich ein neues Fenster. Klicken Sie auf den Button "Erweitert".
Erweitert Nun erscheint wieder ein neues Fenster. Suchen Sie in der Liste Ihre Domain oder erfassen Sie mittels "Site hinzufügen" einen neuen Eintrag.

Dort müssen Sie nur noch bei "Informationen über besuchte Sites" den Menüpunkt "Zulassen" auswählen ("Gleiche Seite zulassen" müsste auch bereits funktionieren). Der Rest kann bei den Standard-Einstellungen belassen werden.

Ab sofort sollten die jsStyle-Produkte problemlos funktionieren.

Opera

Mit dem Internetbrowser Opera lassen sich die Referer-Informationen ebenfalls unterdrücken. Diese Option ist in den Standard-Einstellungen nicht aktiviert, lässt sich aber ganz einfach aktivieren und deaktivieren. Das Beispiel bezieht sich auf Opera 7.23.

Opera-Optionen mit F12 Drücken Sie die Taste F12. Danach erscheint ein Optionsfeld. Dort muss ein Häckchen bei "Protokollierung der URL-Referenzen aktivieren" vorhanden sein. In anderen Versionen habe ich diese Funktion schon als "Mitloggen des Referer zulassen" oder "Herkunft (Referer) übertragen" gesehen.

Mit dieser Einstellung sollten die jsStyle-Produkte einwandfrei funktionieren.

WebWasher

In den Standard-Einstellungen von WebWasher wird der Referer nicht veränder, so dass jsStyle-Produkte funktionieren sollten. Aber auch hier noch die Anleitung, wie sich die Funktion aktivieren oder deaktivieren lässt. Das Beispiel bezieht sich auf die Freeware-Version 3.3 von Webwasher:

Taskleiste mit WebWasher Symbol Klicken Sie doppelt auf das "Webwasher"-Symbol ("W") in der Trayleiste neben der Uhr.
Optionen von Webwasher In den Optionen unter "Privatsphäre" gibt es eine Option "Referrer-Filter". Diese Einstellung muss entweder komplett deaktiviert, oder die Option "bei unterschiedlicher Domain" ausgewählt werden.

Mit diesen Einstellungen sollten die jsStyle-Produkte problemlos funktionieren.

Kerio Personal Firewall

Die Kerio Personal Firewall blockiert in den Standard-Einstellungen die Referer-Informationen. Das Referer-Logging kann entweder für alle Domains oder nur für bestimmte Domains freigegeben werden. Es reicht natürlich aus, die eigene URL (wo man ja schliesslich der Einzige wäre, der das ausnützen könnte) freizuschalten.

Taskleiste mit Kerio Symbol Klicken Sie doppelt auf das "Kerio Personal Firewall"-Symbol (Schild) in der Trayleiste neben der Uhr.
Kerio Menue Im daraufhin erscheinenden Informationsfenster von "Kerio Personal Firewall" wählen Sie in der linken Menüleiste den Button "Web"
Web - Privatsphaere Um den Referer fü alle Domains freizugeben, wählen Sie "Privatsphäre" und entfernen Sie dann das Häckchen bei "Server zur Surfverfolgung ablehnen".
Web - Privatsphaere - Site-Ausnahmen Um den Referer nur für die eigene Domain freizugeben, wählen Sie "Site-Ausnahmen" und klicken Sie dort auf "Hinzufügen".

Im darauf erscheinenden Dialogfenster geben Sie dann die URL Ihrer Domain ein.
Privatsphaere Wählen Sie dann das Register "Privatsphäre" und überprüfen Sie, dass das Feld "Server zur Suchverfolgung ablehnen" nicht aktiviert ist.

Mit diesen Einstellungen sollten die jsStyle-Produkte problemlos funktionieren.


 
Druckfreundliche Version zum Anfang der Seite
Copyright (c) 2008 by cgicorner.ch
Diese Seite ist ein Teil von http://www.cgicorner.ch		 URL dieser Seite: http://www.cgicorner.ch/download/jsstyle-referer.shtml
Letzte Änderung: 12. April 2006