kills Geschrieben 17. März 2006 Teilen Geschrieben 17. März 2006 Hallo zusammen, ich habe hier eine Webseite mit einem Loginbereich. Nun kann man sich dort natürlich anmelden . Nun kann man sich nun im internen Bereich bewegeb und anschließend wieder ausloggen. Wenn man nun seinen PC verlässt, den Browser aber geöffnet lässt, kann sich jemand an den PC setzen, dort im Browser mit dem BACK Button in der History bis zum LoginFom zurückblättern. Jetzt sage der Browser, das er die Seite nur darstellen kann, wenn er die Formular Daten nochmals abschickt. Wenn man dies nun mit Ja bestätigt, ist der vermeindliche Übeltäter in meinem internen Bereich.... Gibt es einen Header o.ä. den ich schicken kann, der den Browser dazu veranlasst, solche Form posts nicht mehr dem User anzubieten? Danke für alle Infos! Gruß, Markus Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
tobias-digital Geschrieben 17. März 2006 Teilen Geschrieben 17. März 2006 Hi! Nur so ne Idee. Du generierst auf der Loginseite nen md5 Zufalls-Hash. Den schreibst Du in ne Datenbank und gibst ihn beim Login über ein hidden Feld mit. Sobald der User seine Daten eingegeben hat und auf "login" klickt prüftst Du nicht nur den Loginnamen und das Passwort, sondern auch ob der md5-Hash in der Datenbank steht. Dann, unabhängig davon ob der Username und das Passwort stimmen löschst Du den Hash oder setzt ihn über ein zweites Feld auf inaktiv. So ist gewährleistet, dass man die Post-Daten nur einmal nutzen kann. Grüße, Tobias Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
baba007 Geschrieben 17. März 2006 Teilen Geschrieben 17. März 2006 ich persönlich würde in die session eine hash var beim ersten mal eintragen und danach nur überprüfen ob die hash var wiederholt eingetragen werden möchte also so : if session hash != deine hash then machen, else echo "nix reload !" danach hash var wieder neu setzen Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
kills Geschrieben 18. März 2006 Autor Teilen Geschrieben 18. März 2006 Hi, danke für die Vorschläge... ich meine mal gelesen zu haben, dass das alles mit einem ganz einfach Header befehl geht. Ich hab auch schon ein paar getestet, leider hats nicht ganz funktioniert. Im IE hatte ich schon teilweise erfolge mit folgendem header: header("Cache-Control: no-cache"); header("Pragma: no-cache"); Gruß, Markus Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
geloescht_JesterDay Geschrieben 20. März 2006 Teilen Geschrieben 20. März 2006 danke für die Vorschläge... ich meine mal gelesen zu haben, dass das alles mit einem ganz einfach Header befehl geht. Ich hab auch schon ein paar getestet, leider hats nicht ganz funktioniert. Ich würde mich darauf aber auch nicht verlassen. Mit solchen Anweisungen im Header sagst du dem Browser zwar, er soll die Daten nicht cachen, ob er sich aber auch daran hält weißt du nicht. "Vertrauen ist gut, Kontrolle ist besser". Ich würde es auch mit einem Hash o.ä. machen, z.B. kannst du beim generieren der Login-Seite einen Hash aus Datum und Uhrzeit erzeugen (als hidden Field). Diesen Hash prüfst du dann beim Login-Vorgang. Wenn die Differenz nicht <= 5min (z.B.) ist, lehnst du den Loginvorgang ab. Ok, ein Hash ist für eine Differenz vielleicht nicht gut geeignet, aber vom Prinzip halt... Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.