rdombach
Themenersteller
Security-Admin
Content Halbgott (608 Beiträge)
Links "verschleiern" (Seite 2)
romacron
JDev Xer
Content Gott (1224 Beiträge)
So langsam geht der Threat ins Absurde.
Es kann technisch keine Möglichkeit geben das Ziel eines Verweises zu ergründen.
Je nach dem an welchem Punkt man einen Link überprüft kann man nur Vermutungen anstellen.
Eines der obersten/zuerst erfolgenden Analyse wird eben die Browser-Adresszeile sein.
Ich hoffe das ist Indiskutable.
Gehts ein Stück weiter in der langen Kette der Verlinkung kann am javascript, dann ein Proxy, dann der Apache, dann ein Server-Script eine Verschleierung stattfinden.
JS mit Ajax...verwenden viele
Proxy, viele großen Firmen haben so Sachen Squid-Proxies am laufen.
mod_rewrite oder andere Verschaltungen nutzt jeder Webmaster.
Server-Scripte, ja ... ich glaube das macht man manchmal so.
Wer kann mir nun sagen wo er rauskommt? ...wird schwierig.
Schicke ich erst den kleinen Bruder vom Desktoprechner durch die Welt, wird er mir ne andere Seite liefern wie besagter großer Bruder. Hier noch ein Hinweis: hin und wieder wird hier auf Seitenreport über mobile Webseiten und deren Auslieferung berichtet.
Also fallen "Kundschafter" als Möglichkeit seine Ankunft zu überprüfen schlichtweg aus.
Die erneuerte Faustregel, schau in der Browser Adresszeile nach was dort steht.
"Da steht doch paypaul, freecenet und dhael"...
"Du musst den das letzte Wort vor dem ersten Slash und Fragezeichen nach links lesen. Zuerst kommt das \'Land\' dann die Domain dann die Subdomain".
Kaum praktikabel. Viele dt. ban-ken geben hierfür eine einigermaßen leserlich und verständlich Erklärung in Sachen Browser-Adresszeile und dem Zertifikat ab. Ich glaube das ist normalen Leute auch vermittelbar.
Aber Aber und kein Ende.
Klemm ich dir die Namensauflösung an deiner Netzwerkarte oder Router um und simuliere dir das komplette Internet samt IP\'s, nutzt die BA-Zeile auch nichts mehr.
Was bleibt am Ende übrig? Das falsche Vorgehen erkennen.
1. Niemand kann mir außerhalb meines Systems sagen was da passiert.
Also warum nicht gleich die eigene Bude auf Sicherheit trimmen? So ist es völlig egal welcher Spass-Vogel im Netz unterwegs. Davon mal ganz abgesehen gilt diese Regel auch für das Programmieren. "Traue keiner Eingabe".
Wenn ich mir sicher sein kann, dass ich viren und trojaner auf meinem Rechner gefahrlos öffne und damit spiele ist alles in Butter oder eben auch nicht.
rdombach
Security-Admin
Content Halbgott (608 Beiträge)
Hallo Roman,
tja, da kann ich nur sagen: Treffer, Schiff versenkt!
Genau das ist das Kernproblem, was Du technisch so vielfältig betrachtet hast. Links sind manipulierbar und für den "Otto-Normaluser" nicht zuverlässig verifizierbar.
Letztendlich muss man abwarten, was nach dem Klick auf den Link zurück kommt und hoffen, falls es was gefährliches ist, das es der lokale Virenschutz oder andere Sicherheitsmaßnahmen abfangen bzw. entschärfen.
Daraus folgt (grins) nur ein toter Link, ist ein sichere Link.
Danke an ALLE für die Kommentare, Hinweise und Meinungen. Jetzt muss man nur noch eine Methode finden, diese Erkenntnis an den User zu transportieren, damit dieser "seine Bude auf Sicherheit" trimmt.
Beste Grüße
Ralph
Bitte nicht vergessen, Virenscanner und Co. zu aktualisieren!
SecuTipp: GRATIS Security-Informationen für die eigene Webseite und [url="http://twitter.com/secuteach"][img]http://w
Das Seitenreport Forum hat aktuell 5276 Themen und 36111 Beiträge.
Insgesamt sind 48364 Mitglieder registriert.
Beitrag erstellen
EinloggenKostenlos registrieren