Ich bin auf eine mögliche Sicherheitslücke im Chat aufmerksam geworden. Wenn mann bei Google nach einigen Begriffen wie chatname, Profil, Chatuser suchen lässt, werden diverse Treffer aufgelistet.
Wenn mann dann sich die 'im cache' gespeicherten Seiten ansieht, wird die gesamte Profilseite des Users angezeigt.

Ist dies auch schon einmal jemandem aufgefallen? gibt es evtl. eine Möglichkeit das crawlen und speichern von chatseiten global zu unterbinden?

Hoffe auf eure Hilfe


Gruß
CADwiesel

ist bekannt und wer sich damit ein wenig auskennt, weiß ja sicher auch, dass html-templates separat extern aufrufbar sind.
für suchmaschinen kannst du das mit einer im root angelegten robots.txt unterbinden oder aber auch den metatag robots benutzen.
nur: was google mal gefunden hat, bleibt dort auch noch monate danach erhalten und aufrufbar bleiben die dateien deswegen immer noch und ein eregi mit headerlocation geht ja nun mal nicht

man könnte aber hergehen und in die chat.pl einen referrercheck einbauen, so dass ein externer zugriff auf die chat.pl mit den templates nicht mehr funktioniert - ansatz:


@referers = ('meinehomepage.de');
&check_url;
sub check_url {
local($check_referer) = 0;
if ($ENV{'HTTP_REFERER'}) {
foreach $referer (@referers) {
if ($ENV{'HTTP_REFERER'} =~ m|https?://([^/]*)$referer|i) {

.... abfrage und ausgaben basteln und ende der subroutine
}

werde ich bei gelegenheit ausprobieren