Sicheres verlinken aus dem Adminbereich

[rethus]

Hallo Leute,

ich mache mir gerade Gedanken darüber, wie man sicher aus einem Adminbereich heraus verlinken kann.

Wenn man z.B. bei einem der großen Mail-Hoster ne Mail bekommt, in der ein externer Link drin ist, kann man diesen anklicken.
Zuerst erscheint aber eine Seite, mit der Info, dass man auf eine externe seite wechselt.

Sinn und zweck ist, dass die Session-daten (die bei der anzusteuernden Seite ja als "Referer" erscheinen) nicht mit übermittelt werden.

Wie funktioniert so etwas? Reicht es, wenn ich ein PHP-Script erstelle, welches via meta-refresh auf die Seite wechselt, die ich als parameter angebe? (dieses Script müsste natürlich ausserhalb des Adminbereiches liegen, damit der Referer von dort sichtbar wird?!

 

[Sven Mintel]

Das Einfachste wäre es, wenn du deine Session über Cookies aufrecht erhältst, dann steht keine SID im Referer.
Bei einem Admin-Bereich finde ich, dass dies(aktivierte Session-Cookies) eine zumutbare Anforderung an die begrenzte Zahl potentiellen Nutzer ist.

 

[Alien]

Genau. Wie Sven schon gesagt hat, ist die URL die Crux. An den darin enthaltenen Session-Infos ist der Datensammler interressiert.

Du leitest also den User auf eine Seite weiter, die eine unbefängliche URL hat wie etwa http://www.meineseite.de/referer. Auf der Seite printest Du dann den Link dem der User folgen möchte. Damit enthält dann die Zielseite des Users in der HTTP-REFERER-Variable nur "http://www.meineseite.de/referer"