Re: Das böse google :) sid ist nur ein Anfang... - baseportal Forum - Web-Anwendungen einfach, schnell, leistungsfähig!
baseportal
English - Deutsch "Es gibt keine dummen Fragen - jeder hat einmal angefangen"

 baseportal-ForumDie aktuellsten 10, 30, 50, 100 Einträge anzeigen.  

 
 Ausgewählter Eintrag: Zur Liste 
    Beitrag von Jurenda (305 Beiträge) am Sonntag, 25.April.2004, 08:14.
    Re: Das böse google :) sid ist nur ein Anfang...

      Grrrrr GoogleToolbar :( und vergleichbare andere Toolbars :(((

      > Aber was sagt uns das alles? 
> Passwörter und ähnliches nur mit post übergeben, und sessions im get in angemessener Zeit verfallen lassen. Dann macht das eigentlich kein Problem. ;)

      Hmmm, die angemessen Zeit ist da ein Problem!
      Nach meinen Logs (bezüglich der GoogleWerbung) ruft Google die jeweilige Seite in einem Abstand von 1 bis 10 Minuten auf.
      Dabei habe ich beobachtet, daß je öfters auf das Template zugegriffen wird, desto länger wird der Abstand. Außerdem wird jede Parameterkombination nur 1 Mal abgefragt! Erst bei Besuchen am nächsten Tag werden schon bekannte Parameterkombinationen neuerdings untersucht.

      Ich denke mir, daß neben der SID auch eine Kontrolle der Sender-IP notwendig ist. Auch mit TAN's oder Tickets denke ich mir gibts bei einem Abstand von 1 Minute sicher Schwierigkeiten.

      Na ich werde mal meine Arbeit umstellen und vielleicht doch vorerst mal die Infos über Security zusammenstellen.

      Vielleicht hilft eine entsprechende umfangreiche Aufklärung einige Unsicherheiten der User zu beseitigen.

      http://baseportal.de/baseportal/_workshop/structure?frame=on&ws=security

      Grüße Andreas :-})


    Antworten

 Alle Einträge zum Thema: Zur Liste 
    Beitrag von Ralf (143 Beiträge) am Samstag, 24.April.2004, 01:21.
    @CB

      Hallo CB,

      eins bitte vornweg, ich möchte nicht alten angebrannten Pudding aufkochen...

      Ich bin zufriedener Nutzer der Freeversion, möchte aber demnächst wechseln.
      Bei Recherchen im Forum ist mir ein Beitrag vom 13.Januar ins Auge gefallen, in dem es um den Googlebot ging. (http://baseportal.de/cgi-bin/baseportal.pl?htx=/baseportal/forum&wcheck=1&Pos=9307)

      Da ich in den letzten 4 Wochen eine Klickstatistik führe ist mir auch schon einiges aufgefallen, deren Ursachen ich mir nicht erklären konnte. Aber nach lesen der Auseinandersetzung wurde mir dann doch einiges klarer.

      Da ich nicht das Forum ständig beobachten kann und da bin ich mit Sicherheit nicht der Einzigste, ist mir der Beitrag damals entgangen. Sicher meine Daten sind nicht die vom Pentacon, aber auch ich sichere meinen Usern Diskretion zu. Desweiteren probieren doch viele einfach mal etwas aus, um z.b. ihre Projekte zu erweitern. Auch mir zeigte Google eine Seite an, auf welche kein Link meinerseits führt. Sie dient nur zu Testzwecken!

      Warum aber, wenn man weiß wie Google arbeitet, gebt ihr diese Informationen nicht im Newsletter weiter?? Es gibt sicher viele Nutzer von Baseportal, die nicht unbedingt erfreut sind, wenn ihre unfertigen Seiten indiziert werden, eventuell im Ranking auch noch weit oben erscheinen und im nächsten Augenblick garnicht mehr aktuell sind. Egal ob Lizenz-, Miet- oder Freeversion. Soviel Informationspflicht muss doch einfach sein.

     Antworten

    Beitrag von Christoph Bergmann (8110 Beiträge) am Samstag, 24.April.2004, 19:20.
    Re: @CB

      1. Wichtig: Die Seiten werden NICHT automatisch indiziert, sondern lediglich vom google-"Mediabot" durchsucht, der die Seiten bzgl. der Werbung analyisert - es ist ein ANDERER bot, als derjenige der das Internet für die google-Suche durchsucht!! Da ich mir diesbzgl. auch unsicher war, habe ich diese Frage per Mail an google gestellt und sie haben mir geantwortet, dass das zwei völlig getrennte Sachen (die Suche und die Werbe-Analyse) sind und die vom Mediabot besuchten Seiten NICHT an den Suchindex übergeben werden.

      2. Wenn eine Seite von Dir im Suchindex von google auftaucht, kann das viele Gründe haben, steht so auch in der Doku: "Bitte beachten: Es ist ein Trugschluss zu glauben, wenn Sie keinen Link auf Ihre Seite veröffentlichen, kann diese auch nicht gefunden werden. Wenn Sie z.B. auf andere Webseiten verweisen, können deren Webmaster den Aufruf (die URL) Ihrer Seite herausfinden. Wenn Sie Seiten und Daten geheimhalten wollen, dann nützen Sie einen Passwortschutz, z.B. aus der baseportal-Bibliothek."

      3. Die Informationen über die google-Werbung stehen in der Dokumentation, in den Nutzungsbedingungen, in den AGBs (denen man bei der Registrierung explizit zustimmt) und sie wurden im letzten Newsletter vom 25.2.2004 als allererster Punkt beschrieben, s. http://baseportal.de/baseportal/baseportal/newsletter#a7

     Antworten

    Beitrag von Jurenda (305 Beiträge) am Samstag, 24.April.2004, 20:52.
    Re: @CB und @Ralf

      Hallo Ralf, hallo Christoph:

      Ähh, ich bin der Verfasser des oben genannten Artikels ;)

      Und zum Punkt 2) von Christoph muß ich kurz etwas schreiben.

      Ja Christoph, es ist wahrlich ein Trugschluß, wenn Du schreibst:

      > Wenn Sie Seiten und Daten geheimhalten wollen, dann nützen Sie einen Passwortschutz, z.B. aus der baseportal-Bibliothek.

      Denn genau das gesamte Kapitel "Passwort-Schutz/Nutzerverwaltung" aus der Bibliothek kann gelöscht werden! KEINES der dort angegebenen Beispiele schützt vor Googles Suchmaschine! Seit Jänner 2004 ist dieser Abschnitt vollkommen wirkungslos, denn die vom User eingegebenen Passworte, Userkennungen und SID's (in der URL übertragen) werden durch die eingeblendete Googlewerbung freihaus an Google geliefert.

      Und ganz speziell für den Mist, den ich auch andernorts immer wieder höhre bezüglich nicht veröffentlicher Links: Wenn ein Web-Server ordentlich konfiguriert ist, dann ist es NICHT möglich, einen geheim gehaltenen Link ausfindig zu machen! Unter 'nicht möglich', verstehe ich 'legal'. Sollte ein nicht veröffentlicher Link bekannt werden, dann ist dies ausschließlich durch ein Verbrechen möglich!!!! Und das Auslesen von HTTP_REFERER und entsprechendes Auswerten in Suchmaschinen u.s.f. gehört dazu!

      Ich habe vollstes Verständnis für die Werbung (nur dadurch ist baseportal.de möglich!).

      Trotzdem habe ich ein Problem damit, wenn dieses sehr ernste Thema derart beschwichtigende behandelt wird. Es gibt derzeit KEIN Beispiel, wie ich mich vor dieser Spionage schützen kann! Und es mangelt hier vollkommen am Problembewußtsein, denn die wenigsten verstehen, warum es sich hier um Spionage handelt und wieso es gefährlich ist.

      Und die Sache mit dem Vertrauen.... Hmmmm, wenns um Security geht vertraue ich nicht einmal mir selber! Die Bekundungen von Google sind ja recht nett, erfordern jedoch, daß ich dies auch glaube! Und bei dem überhand nehmen des Missbrauches vom Internet ist es, Google muß ja auch Geld verdienen, vielleicht nur eine Frage der Zeit, daß Google meine illegal erworbenen Daten mißbräuchlich verwendet.

      Zukunftsperspektiven:

      Spätestens ab 22. Mai beim BOM gibt's zu diesem Thema einge Infos von mir.
      Mal schaun, ob ich das dort so rüberbringe, daß das dann auch einige verstehen :)))

      Diese Infos gibt's dann auch zum Nachlesen auf http://baseportal.de/baseportal/_workshop/main

      Grüße Andreas :-})

     Antworten

    Beitrag von Christoph Bergmann (8110 Beiträge) am Samstag, 24.April.2004, 22:22.
    Re: @Andreas - das ist FALSCH !

      Andreas, ich wunder mich über Deinen Beitrag sehr, wir hatten das doch alles schon ausdiskutiert, eben genau hier: http://baseportal.de/baseportal/baseportal/forum&wcheck=1&Pos=9306.5

      Trotzdem schreibst Du:

      > Denn genau das gesamte Kapitel "Passwort-Schutz/Nutzerverwaltung" aus der Bibliothek kann gelöscht werden! KEINES der dort angegebenen Beispiele schützt vor Googles Suchmaschine. Seit Jänner 2004 ist dieser Abschnitt vollkommen wirkungslos, denn die vom User eingegebenen Passworte, Userkennungen und SID's (in der URL übertragen) werden durch die eingeblendete Googlewerbung freihaus an Google geliefert.


      Das ist FALSCH !!

      Wenn eine baseportal-Seite in der URL einen der angegebenen Parameter, wie "namerein=", "pwrein=", "sid=" etc. drin hat, dann wird von baseportal ÜBERHAUPT KEINE google-Werbung geschaltet !!!!!!!!!!!!!!!! Folglich geht auch überhaupt KEINE Information an google raus, folglich besucht daraufhin auch kein wie auch immer gearteter Roboter diese Seite. google kommt seitens baseportal bei einer solchen Seite ÜBERHAUPT NICHT INS SPIEL !!!!! Eine solche Seite ist genauso geschützt wie jede andere Passwort-geschützte Seite da draussen im Internet...

      Das hast Du doch bereits ausprobiert und wenn nicht, dann tu es einfach, z.b. hier:

      http://baseportal.de/cgi-bin/baseportal.pl?htx=/testa/googletest&namerein=ich&pwrein=bla

      Schau Dir den Quellcode der Seite an: Dort wirst Du NICHTS finden, was irgendwie mit google zu tun hat !!!!!!


      So, und falls auf irgendeinem anderen Weg die URL an irgendjemand rausgeht (z.b. durch einen Link auf der Seite auf einen fremden Server und damit eben z.b. durch den HTTP_REFERER), dann hat das NICHTS mit baseportal zu tun !!!!!!!

      Wenn Du das anders siehst, dann erklär mir das bitte !!!!!


      Sorry für die vielen !!!!!! aber immerhin wirfst Du mir vor, ich würde hier falsche Aussagen bzgl. der Sicherheit von baseportal machen und das ist NICHT WAHR !


      PS: Falls Du mir Recht gibst, dann drück das bitte klar und deutlich aus, ich möchte nicht, dass noch mehr User verwirrt werden...

     Antworten

    Beitrag von Jurenda (305 Beiträge) am Samstag, 24.April.2004, 22:37.
    Re: @Andreas - das ist FALSCH !

      Hallo Christoph, ich wollte grade schreiben, daß ich da wieder mal daneben liege :( Hmmm, bin vielleicht doch überarbeitet!

      Ähmm, Du warst da etwas schneller.

      Ich habe schon wieder vergessen, daß Du da einige Parameter abfragst, und wenn diese vorhanden sind, dann wird keine Goggle-Werbung geschaltet.

      Für alle der Vollständigkeit halber sind es:

      pwrein=
      upw=
      pass=
      password=
      passwort=
      pw=
      sid=
      session=
      sessionid=

      Grüße Jurenda

     Antworten

    Beitrag von Jurenda (305 Beiträge) am Samstag, 24.April.2004, 23:08.
    Re: @Andreas - das ist FALSCH ! Ähhh, JA!

      Ich hab mir jetzt nochmal die Beispiele in der Bib angesehen.

      Ja, da ist eigentlich in allen ein pwrein= und ein sid= drinnen. Das bedeutet natürlich, daß bei diesen Beispielen KEINE Google-Werbung eingeblendet wird.

      Ich habe bei einer meinen Anwendungen ein eigenes Log mitlaufen, und da sind zwar einige Google-Hits enthalten, aber da haben 'meine' User Mist gebaut und falsche Daten in die URL gestellt. Und eine spezielle Routine fängt hier die Google-Zugriffe ab und liefert keine Ausgabe.
      Überall dort, wo das session= drinnen war, hat Google nichst davon mitgekriegt!

      Tschuldigung, war das klar genug?

      Vielleicht wäre es besser, wenn Du meinen Beitrag löscht :(

      Grüße Andreas :-})

     Antworten

    Beitrag von Christoph Bergmann (8110 Beiträge) am Samstag, 24.April.2004, 23:19.
    Re: @Andreas - das ist FALSCH ! Ähhh, JA!

      ;-)

      Nein, bin schon zufrieden, wenn das klar gestellt ist... ;-)

      Wobei das vielleicht so ein bisschen wie eine Schmutzkampgagne inner Boulevard-Presse is: Irgendwas bleibt hängen... :-((

      Aber is schon ok, jeder macht mal Fehler ;-)

     Antworten

    Beitrag von Pouraga (1396 Beiträge) am Samstag, 24.April.2004, 23:10.
    Re: @Andreas - das ist FALSCH !

      Ob die jetzt irgendwas "böses" damit in schilde führen hin oder her, Google bekommt so oder so Wind von Seite und den Parameter über get. Es braucht nur irgendein Besucher der Seite die GoogleToolbar installiert haben. Schon wird der gesamte URL für die PageRank Anzeige an google geschickt.

     Antworten

    Beitrag von Christoph Bergmann (8110 Beiträge) am Samstag, 24.April.2004, 23:21.
    Re: @Andreas - das ist FALSCH !

      Oops, das wusste ich z.b. nich... Und finde ich nun wiederum krass...

     Antworten

    Beitrag von Pouraga (1396 Beiträge) am Sonntag, 25.April.2004, 00:03.
    Re: Das böse google :)

      So wirklich erstaunlich finde ich das nicht.
      Die google Toolbar zeigt ja das PageRanking für die aktuelle Seite an.

      und z.B. /forum&wcheck=1&Pos=9929.005 hat vieleicht nen anderes Ranking als /forum&wcheck=1&Pos=10.0 und das muss jedesmal bei Server angefragt werden.

      Ob da jetzt ne an sich geheime session bei ist kann google wenn überhaupt erst auf dem Server erkennen. Weil wenn die diese Daten auch für den Index benutzen (was ich nicht weiss) dann filten sie anscheinend eindeutige Namen raus. Hab zumindest noch nie ein Sucheintrag mit irgendwie session= gesehen.


      Aber was sagt uns das alles?
      Passwörter und ähnliches nur mit post übergeben, und sessions im get in angemessener Zeit verfallen lassen. Dann macht das eigentlich kein Problem. ;)

     Antworten

    Beitrag von Pouraga (1396 Beiträge) am Sonntag, 25.April.2004, 00:08.
    Re: Das böse google :)

     Antworten

    Beitrag von Jurenda (305 Beiträge) am Sonntag, 25.April.2004, 08:14.
    Re: Das böse google :) sid ist nur ein Anfang...

      Grrrrr GoogleToolbar :( und vergleichbare andere Toolbars :(((

      > Aber was sagt uns das alles? 
> Passwörter und ähnliches nur mit post übergeben, und sessions im get in angemessener Zeit verfallen lassen. Dann macht das eigentlich kein Problem. ;)

      Hmmm, die angemessen Zeit ist da ein Problem!
      Nach meinen Logs (bezüglich der GoogleWerbung) ruft Google die jeweilige Seite in einem Abstand von 1 bis 10 Minuten auf.
      Dabei habe ich beobachtet, daß je öfters auf das Template zugegriffen wird, desto länger wird der Abstand. Außerdem wird jede Parameterkombination nur 1 Mal abgefragt! Erst bei Besuchen am nächsten Tag werden schon bekannte Parameterkombinationen neuerdings untersucht.

      Ich denke mir, daß neben der SID auch eine Kontrolle der Sender-IP notwendig ist. Auch mit TAN's oder Tickets denke ich mir gibts bei einem Abstand von 1 Minute sicher Schwierigkeiten.

      Na ich werde mal meine Arbeit umstellen und vielleicht doch vorerst mal die Infos über Security zusammenstellen.

      Vielleicht hilft eine entsprechende umfangreiche Aufklärung einige Unsicherheiten der User zu beseitigen.

      http://baseportal.de/baseportal/_workshop/structure?frame=on&ws=security

      Grüße Andreas :-})

     Antworten

    Beitrag von Ralf (143 Beiträge) am Sonntag, 25.April.2004, 05:49.
    Re: @CB

      Danke CB,

      irgendwie ist dieser Newsletter an mir vorbei gegangen. Habe ihn nicht erhalten, warum auch immer. Der Letzte war für mich vor Weihnachten und der mit der BOM. Asche auf mein Haupt.

     Antworten


     
 Liste der Einträge von 30601 bis 30751:Einklappen Zur Eingabe 
Neueste Einträge << 10 | 9 | 8 | 7 | 6 | 5 | 4 | 3 | 2 | Neuere Einträge < Zur Eingabe  > Ältere Einträge | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 >> Älteste Einträge

Zurück zur Homepage

© baseportal.de. Alle Rechte vorbehalten. Nutzungsbedingungen



powered in 0.11s by baseportal.de
Erstellen Sie Ihre eigene Web-Datenbank - kostenlos!