Re: @Christoph, @all: ACHTUNG googlbot kann Datenbanken zerschießen! - baseportal Forum - Web-Anwendungen einfach, schnell, leistungsfähig!
baseportal
English - Deutsch "Es gibt keine dummen Fragen - jeder hat einmal angefangen"

 baseportal-ForumDie aktuellsten 10, 30, 50, 100 Einträge anzeigen.  

 
 Ausgewählter Eintrag: Zur Liste 
    Beitrag von Jurenda (305 Beiträge) am Dienstag, 13.Januar.2004, 17:31.
    Re: @Christoph, @all: ACHTUNG googlbot kann Datenbanken zerschießen!

      So fies es auch ist, da wird absolut ALLES ausgehebelt, das NUR über die URL läuft!

      * Also FORMULARDATEN sind NICHT betroffen.
      * Es ist nur BASEPORTAL.DE - der freeservice - betroffen.
      * theoretische SSL-Verbindungen sind wahrscheinlich nicht betroffen.
      * verschlüsselte Informationen in der UR sind BETROFFEN.
      * jägliche Information, die mit einem Einmalticket versehen sind, sind NICHT betroffen.

      Mehr dazu im nächsten Posting (bin wie blöd am Tippseln) ;)


    Antworten

 Alle Einträge zum Thema: Zur Liste 
    Beitrag von Jurenda (305 Beiträge) am Dienstag, 13.Januar.2004, 14:35.
    @Christoph, @all: ACHTUNG googlbot kann Datenbanken zerschießen!

      Habe gerade folgenden unangenehmen Umstand feststellen müssen:

      In einer meiner Datenbanken waren plötzlich Datensätze vollständig leer (also nicht gelöscht, sondern mit leerem Inhalt gefüllt).

      Nachdem ich dann eine Protokolldatenbank eingebaut habe, die alle Anfragen mit den gesamten Umgebungsvariablen mitschreibt habe ich folgendes entdeckt:

      Der folgende Absender wiederholt meine Zugriffe (und auch die meiner User) auf die baseportal-Datenbanken:

      $_REMOTE_ADDR: 64.68.87.41
      $_REMOTE_PORT: 57659
      $_HTTP_USER_AGENT: Mediapartners-Google/2.1 (+http://www.googlebot.com/bot.html)
      $_HTTP_REFERER: 
      

      Dabei haben die IP-Adressen die Bereiche 64.68.86.255 und 64.68.87.255

      Dabei wiederholt der Bot von Google nur die Url-Aufrufe.
      ABER: auch jene, die Formulardaten enthalten!!!!
      Dabei ist er aber so nett, die Formulardaten nicht mitzuschicken!
      baseportal ist in diesem Fall so nett, bei einem do_all nix zu verändern (hoffentlich :(

      Trotzdem baseportal brav ist, kann es auf folgende Weise zu Problemen führen:

      Nach dem Eintritt ins Template ist bei einer Google-Anfrage der Hash %_get leer!
      Trotz enthaltenem $_get{cmd}="mod" führt ein do_all; zu keinen Veränderungen an der baseportal-Datenbank!

      Sollte jedoch jemand von Euch (so wie ich) bei einem Änderungsaufruf mit "mod" direkt in %_get reinschreiben und Änderungen durchführen, so führt das do_all; die Änderungen am entsprechenden Datensatz durch, wodurch die vor ca. 1 Minute durchgeführten Dateneingaben des Users mit leeren Daten überschrieben werden.

      Workaround: Momentan kann ich das Ganze dadurch abfangen, indem ich die Umgebungsvariable $_get{_amount} auf Existenz überprüfe. Wenn diese Variable existiert, dann hat baseportal eingangsseitig echte Formulardaten verarbeitet.

      Genaueres kann nur eine Systemanalyse durch Christoph ans Tageslicht bingen.

      Beunruhigend:

      Wieso kann googlebot meine mit Usernamen, Passworten, SID und Ähnlichem versehenen URL-Aufrufe wiederholen? Das sind für mich entsprechende Informationen die verhindern sollen, daß Unbefugte Daten auslesen oder gar manipulieren können! In erster Linie denke ich ja sofort an einen Trojaner auf meiner Maschine, aber wieso findet den mein Antivirus nicht, warum haben ihn auch meine User,...

      Oder liegt das an dem eingeblendet ADS von Google?
      CHRISTOPH, was lauft da?

      Grüße Jurenda :-})

     Antworten

    Beitrag von Claus (4645 Beiträge) am Dienstag, 13.Januar.2004, 16:37.
    Re: @Christoph, @all: ACHTUNG googlbot kann Datenbanken zerschießen!

      Hallo Andreas,

      habe im Forum viel von Deinen (und vielen anderen) Beispielen gelernt, aber bin wahrscheinlich nicht der kompetenteste Ansprechpartner in Bezug auf BP und perl. Habe mich aber nach meinen ersten Fragen im Forum ein wenig mit Sicherheit und darum herum beschäftigt. Daher gibt es auf meiner Homepage für Bezahl-DB's nur eine Ausgabeseite mit Leserechten, der Bereich für Bearbeitung liegt jedoch außerhalb der eigentlichen Website in einem Frameset(Pfadangabe dahin ist nur den Kunden bekannt) und entzieht sich wahrscheinlich schon dadurch einem Zugriff von googlebot. Darüber hinaus habe ich über den Metatag "robots" das folgen eines Links unterbunden. Hier ein Auszug von googlebot (Dein Link verweist bereits darauf)
      <META NAME="robots" CONTENT="noarchive,nofollow">   -- or --
              <META NAME="googlebot" CONTENT="noarchive,nofollow">
      
      Vielleicht sollte man aber die entsprechende Seite in einen htaccess-Bereich legen und nochmals mit einem entsprechenden Passwort schützen.
      Ich denke, da weißt Du besser Bescheid als ich.
      Vielleicht hilft Dir diese kleine Anregung etwas.

      Gruß
      Claus-Dieter Jürgens

     Antworten

    Beitrag von Jurenda (305 Beiträge) am Dienstag, 13.Januar.2004, 16:45.
    Re: @Christoph, @all: ACHTUNG googlbot kann Datenbanken zerschießen!

      Danke für Deine Hilfe, aber da gehts um VIEL mehr!

      Versuche Dir mal den Ablauf (Datenfluß) vorzustellen und überlege Dir, wann diese Metaausdrücke ausgewertet werden (nämlich erst NACH dem Aufruf).

      Jedoch: wiese erfolgt überhaupt dieser Aufruf?????

      Grüße Jurenda :-})

     Antworten

    Beitrag von Jurenda (305 Beiträge) am Dienstag, 13.Januar.2004, 17:00.
    Re: @Christoph, @all: ACHTUNG googlbot kann Datenbanken zerschießen!

      Ich möchte das etwas präzisieren:

      googlebot greift genau auf dieses hinterste, verstecktest Elemente zu, von dem Du sprichst, und benutzt genau die Passworte und Zugriffskennungen, die meine User benutzen!

      Oder anders formuliert: Alles, was meine User an baseportal.de schicken (also auch die Passworte, Userkennungen, SID's, Tickets,...) werden von googlebot wiederholt!

      Und genau deshalb, weil ich mich so genau mit der Sicherheit von baseportal.de auskenne, bin ich so TOTAL VON DEN SOCKEN!

      Da passiert etwas, was nicht zu passieren hat 8(((((((

      Grüße Jurenda :-})

     Antworten

    Beitrag von Claus (4645 Beiträge) am Dienstag, 13.Januar.2004, 17:19.
    Re: @Christoph, @all: ACHTUNG googlbot kann Datenbanken zerschießen!

      Hallo Andreas,
      wie sieht es mit doppeltem Passwortschutz durch htaccess und BP aus? Wird das auch ausgehebelt?

      Gruß
      Claus

     Antworten

    Beitrag von Jurenda (305 Beiträge) am Dienstag, 13.Januar.2004, 17:31.
    Re: @Christoph, @all: ACHTUNG googlbot kann Datenbanken zerschießen!

      So fies es auch ist, da wird absolut ALLES ausgehebelt, das NUR über die URL läuft!

      * Also FORMULARDATEN sind NICHT betroffen.
      * Es ist nur BASEPORTAL.DE - der freeservice - betroffen.
      * theoretische SSL-Verbindungen sind wahrscheinlich nicht betroffen.
      * verschlüsselte Informationen in der UR sind BETROFFEN.
      * jägliche Information, die mit einem Einmalticket versehen sind, sind NICHT betroffen.

      Mehr dazu im nächsten Posting (bin wie blöd am Tippseln) ;)

     Antworten

    Beitrag von Christoph Bergmann (8110 Beiträge) am Dienstag, 13.Januar.2004, 19:59.
    Re: @Christoph, @all: ACHTUNG googlbot kann Datenbanken zerschießen!

      Hui, da haste wieder was entdeckt ;-)

      Also, wie Du ja schon rausgefunden hast ist die google-Werbung schuld (gibts seit 4.1.04)... Das Ganze funktioniert so: Die Werbung wird über ein <iframe>-Tag eingeblendet, wodurch google die URL der Seite mitbekommt und an den googlebot übergibt, der diese dann in nächster Zeit durchsucht, um die Seite zuordnen zu können...

      Wenn in der URL Passwörter oder Session IDs enthalten sind, so gehen diese auch an google - die URL wird nich analysiert, sondern einfach genauso wieder abgerufen. Dass es dazu zu Problemen kommen kann, ist mir leider auch jetzt erst, durch Deine Beiträge klar geworden...

      Die Lösung ist aber eigentlich recht einfach, wie Claus schon geschrieben hat. Einfach ein

      <META NAME="robots" CONTENT="noarchive,nofollow">
      

      in die Seite und google sollte die Seite nicht durchsuchen und nicht in den Index aufnehmen.

      Nun ist das an sich natürlich ein heikler Punkt: Die URL wird an "jemand draussen" übermittelt und das gibt natürlich ein ungutes Gefühl. Allerdings ist das eine Sache des Vertrauens (Meine Bank hat auch vollen Zugriff auf mein Konto) - und ich denke google kann man soweit vertrauen, dass sie mit den URLs keinen Unsinn anstellen und auch dass sie sich an den obigen Meta-Tag halten (Alles andere wäre extrem rufschädigend und abgesehen davon: Was würde google mit diesen Daten anfangen wollen?).

      Wer dieses Vertrauen nicht hat und höhere Sicherheit will, muss eben ein Mietangebot ohne Werbung nehmen oder sich ein Einmal-Ticket-System schreiben (oder warten bis Andreas Jurenda seins in die Bib stellt ;-) ), denn die Werbung finanziert das kostenlose baseportal nunmal...

      Ok, ich werd jetzt noch schauen, ob noch was zu Automatisieren geht, also das URLs mit Passwörtern oder DB-Befehlen erkannt werden und google die nicht zu Gesicht bekommt, allerdings hat das Grenzen, da man ja beliebige Parameter verwenden kann.......

     Antworten

    Beitrag von Jurenda (305 Beiträge) am Dienstag, 13.Januar.2004, 20:17.
    Re: @Christoph, @all: ACHTUNG googlbot kann Datenbanken zerschießen!

      Na ja, das Ganze hat im Moment mal 2 Haken:

      1)

      Mehr als 72000-baseportal.de-User haben folgendes Problem: Plötzlich werden Ihre Seiten IMMER 2 mal aufgerufen!

      Das heißt: MIT allen SEITENFFEKTEN läuft alles doppelt ab!
      Also meine kühnste Fantasie kann sich da nicht ausmalen, was da so alles in den verschiedensten Datenbanken so abläuft :(((

      1000, 2000, ne ich schätze mal, da wirds bei mindestens 5000 Usern irgend welche Daten zerschießen :(

      2)

      Alle jene der 72000-baseportal.de-User, die vielleicht sogar seit mehreren Jahren dabei sind, haben plötzlich SÄMTLICHE Daten im Google.

      Denn mal ehrlich, glaubst Du wirklich, daß die jetzt innerhalb der nächsten paar Tage ein <META NAME=...> einbauen können?

      3)

      Das mit dem Einmalticket ist gar nicht so trivial, damit Google kein Passwort (das muß ja mal übertragen werden) mitbekommt!

      Grüße Jurenda :-})

     Antworten

    Beitrag von Christoph Bergmann (8110 Beiträge) am Dienstag, 13.Januar.2004, 20:44.
    Re: @Christoph, @all: ACHTUNG googlbot kann Datenbanken zerschießen!

      Naaa, ganz so wild ist das alles nicht - ich sehe ja in den Logfiles was so abläuft... Die allerallermeisten haben ganz normale DBs laufen, ohne grossen Prg.Schnickschnack, die auch öffentlich sein dürfen bzw. sein sollen... Die Leute die was Komplizierteres anstellen nehmen sich sowieso einen Mietaccount - liegt in der Natur der Sache (alles andere wäre ja auch fahrlässig - die Deutsche Bank hostet Ihre Seiten ja auch nich bei geocities, weils da nix kostet ;-) ).

      Also ich glaube es betrifft nicht sonderlich viele, aber mal sehen...

      Abgesehen davon bau ich gerade was, das google automatisch abweist wenn upw,pwrein,password,sid,session etc. in der URL auftaucht, ebenso bei POST übergaben... Wer dann noch durchs Raster fällt, muss halt das Tag einbauen oder mieten...

      wg. einmalticket: wieso, ein einmalticket funktioniert eben nur einmal, d.h. beim folgenden aufruf durch google wird die anfrage abgewiesen. im prinzip isses dasselbe wie mit der SID nur dass die SID bei jedem aufruf neu generiert wird... hab ich schonmal gemacht, is easy... ;-)

      aber: du wirst das nich brauchen, wenn ich obiges google-abweis-teil gleich fertig habe ;-)

     Antworten


     
 Liste der Einträge von 32701 bis 32851:Einklappen Zur Eingabe 
Neueste Einträge << 10 | 9 | 8 | 7 | 6 | 5 | 4 | 3 | 2 | Neuere Einträge < Zur Eingabe  > Ältere Einträge | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 >> Älteste Einträge


Zurück zur Homepage

© baseportal.de. Alle Rechte vorbehalten. Nutzungsbedingungen



powered in 0.07s by baseportal.de
Erstellen Sie Ihre eigene Web-Datenbank - kostenlos!