CBE: Wie Datenklau verhindern?

**xip** · 30.08.2008 14:29

Hallo,

ich nutze Joomla 1.0.x und den CBE. Und weil man vom CBE so genial Userdaten klauen kann wollte ich euch fragen ob ihr irgendeine Methode kennt damit ich meine Webpage vor böswilligen Angriffen schützen kann.

Hier das Problem:

...index.php?option=com_comprofiler&Itemid=29&task =userProfile&user=62

Eine Simples 10 Zeilen Programm was die letzte Nummer in einer Schleife hochzählt ließt mal ganz locker meine Datenbank aus. Na geil.

Wie kann ich das verhindern. Gibs das irgendwelche Möglichkeiten???

Vielen Dank
-xip

**shadow3010** · 02.09.2008 11:23

verstehe nicht so ganz dein Problem. Die Profile sind doch in der Regel für die Öffentlichkeit gedacht, also wenn sie jemand auslesen will, dann soll er es doch machen?!?!

andernfalls kannst du beim CBE bestimmt einstellen, dass nur Registrierte Zugriff haben.

Zumindest beim CB geht das. Mit zwei drei Zeilen Quellcode, kannste das sogar vom Nutzer selbst wählen lassen

**xip** · 02.09.2008 12:17

ja, aber es macht für mich einen Unterschied, ob User die den anderen mal sehen wollen, oder ein bösartiger Bot der nur Daten klauen will die jeweiligen Profile aufmacht.

Ich will verhindern jemand auf meiner Website, registriert oder auch nicht, mir die ganzen Userdaten klaut.

Gibs da nicht eine Methoden, wenn mehr als 10 Profile in der Minuten angeschaut worden sind, dann warte.......

**videoandfun** · 02.09.2008 12:49

Zitat von xip

ja, aber es macht für mich einen Unterschied, ob User die den anderen mal sehen wollen, oder ein bösartiger Bot der nur Daten klauen will die jeweiligen Profile aufmacht.

Ich will verhindern jemand auf meiner Website, registriert oder auch nicht, mir die ganzen Userdaten klaut.

Gibs da nicht eine Methoden, wenn mehr als 10 Profile in der Minuten angeschaut worden sind, dann warte.......

ja du bist ja gut

für was hat man denn ein profil, wenns dann keiner ansehen darf.

wie sowas mit einer Zeitsperre zu regeln ist, weiß ich nicht. Aber ich würde es so machen, dass der User selbst entscheiden darf, wer sein profil ansehen darf (Alle, Registrierte oder nur Freunde)... und dann brauchst dir auch keine Sorgen wegen dem "Auslesen der Daten" machen

**xip** · 03.09.2008 07:19

ok, ich glaube ich habe mich da unverständlich ausgedrückt.

Natürlich will ich das jeder alle Profile sehen kann. Das sollen auch meiner User nicht einschränken.

Mir gehts darum das ich Datenklau verhindere.

Die momentane Situation vom CBE sieht so aus:

...index.php?option=com_comprofiler&Itemid=29&task =userProfile&user=62

So werden die Userprofile geöffnet. Die letzte Zahl der Addresse ist die UserID mit der ich direkt ins Profil komme. Das kann jeder in einer billigen Schleife einfach durchzählen und dann die Userdaten klauen.

Wenn allerdings z.B. sowas möglich wäre:

...index.php?option=com_comprofiler&Itemid=29&task =userProfile&user=fbh49dfg0345dfg9

wenn so die UserID's aussehen würden, wäre das ohne weiteres nicht möglich. Die User könnten weiterhin jedes Profil anklicken und ich wäre (etwas mehr) safe was der Datenklau angeht.

Das ist eine Möglichkeit. Ich suche nach weiteren.

Gruß

**holmi** · 03.09.2008 07:47

Dann nimmt man eben ein Programm das den Links auf der Seite folgt.
Was öffentlich im Internet ist kann man auch auslesen.

Björn

**videoandfun** · 03.09.2008 11:48

Zitat von xip

Wenn allerdings z.B. sowas möglich wäre:

...index.php?option=com_comprofiler&Itemid=29&task =userProfile&user=fbh49dfg0345dfg9

wenn so die UserID's aussehen würden, wäre das ohne weiteres nicht möglich. Die User könnten weiterhin jedes Profil anklicken und ich wäre (etwas mehr) safe was der Datenklau angeht.

also du meinst dann wohl folgendes wie bei studiVZ oder was auch immer.
Ist natürlich schon i.wie möglich, gibt es aber für Joomla noch nicht.

Du könntest ja die UserID und ein bestimmtes Wort md5 verschlüsseln, dass dann in der Datenbank speicern, und dem CB/e schreibst du dann um, dass die Profilseite über den md5-Hash aufegerufen wird und nicht über die User-ID.

**xip** · 05.09.2008 07:28

ja, die Idee mit den MD5 Checksummen ist nicht schlecht. Das wäre schon mal ein sehr guter Anfang.

Ich wollte nur nicht den CBE umprogrammieren. Ich dachte da vielmehr an ein Patch oder sowas. Wenns sowas gibt!

Aber du hast Recht, genauso wie bei Studie. Die sind gegen Bots damit sehr gut geschützt.

**xip** · 18.09.2008 12:43

hat sich um diese Sache noch keiner einen Kopf gemacht??????

**Spider** · 18.09.2008 13:06

Hi,

scheinbar nicht, da hierfür - wie Du ja selber lesen kannst - kein allgemeine Notwendigkeit besteht.
Wenn man nicht möchte das ein Bot die Benutzerdaten ausliest, muss man sie eben auf "nur registrierte Benuzter dürfen sie sehen" stellen. Und die Benutzer sollten schon selber wissen was sie wo von ihren persönlichen Daten online stellen.

Wenn Du damit ein Problem hast, musst Du Dich wohl selber darum kümmern

Edit: Und einen md5-Hash würde ich dafür auch nicht empfehlen. Dann kann ein Bot das genauso gut in einer Schleife hochzählen, den Hash generieren und die Anfrage senden.

Cu

Thema: CBE: Wie Datenklau verhindern?

LinkBack

Themen-Optionen

Thema durchsuchen

Anzeige

CBE: Wie Datenklau verhindern?

Erhielt Danksagungen von:

Lesezeichen

Lesezeichen

Berechtigungen