*.js darf nicht gesaugt werden, muss aber angewandt werden...

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • *.js darf nicht gesaugt werden, muss aber angewandt werden...

    Ich habe ein grosses Problem !
    Ich will auf meiner Site eine Art Gewinnspiel machen und dazu habe ich eine *.js Datei, die eine Variable bestimmt und es gibt 2000 Möglichkeiten, wenn die Variable dann einen bestimmten Wert hat, kann man auf die Gewinner-Seite kommen, meistens hat man allerdings eine Niete. Allerdings darf man natürlich nicht so leicht an die URL der Gewinner Seite kommen.
    Ich habe jetzt das Problem, dass ich zwar alles zum laufen bringen kann, aber dann kann man im Quelltext die URL der *.js Datei sehen, könnte sie sich saugen und hätte dann spielend leicht die URL der Gewinnerseite !
    Das darf aber nicht sein, darum habe ich den CHMod der Scriptdatei so geändert, dass die Gruppen sie nicht lesen können, soweit sogut, man kann sie nicht downloaden, aber der Button der durch sie erzeugt wird ( Verlierer/Gewinnerbutton + Link ), der ist dann auch nicht zu sehen, was soll ich denn da machen ? :'-(

  • #2
    wenn du ner kleinen Verschlüsselung das ganze Serverseitig machen läßt ?? dann hast du die Daten vom PC des Nutzers weg ?

    gruss

    Kommentar


    • #3
      Tut mir Leid, ich verstehe nicht ganz was du meinst, aber ich will auf jeden Fall, dass man die Datei nicht downloaden kann, daher habe ich im CHMod das "Read" bei allen Gruppen weggestrichen, dann kann man es nicht downloaden, allerdings wird die Datei auch irgendwie überhaupt nicht angewand, weil der Zufallsbutton wird nicht angezeigt, wenn ich den CHMod "normal" mache, dann klappt das mit dem Zufallsbutton, aber man kann sich die Datei wieder downloaden und so ganz leicht an die URL der geheimen Seite kommen

      Kommentar


      • #4
        Der Browser *muss* den Javascript-Code downloaden können, wie sonst soll er ihn nachher ausführen????

        Auf diese Art und Weise kannst Du kein Gewinnspiel schützen. Du solltest das ganze auf Session-Basis absichern.

        Kommentar


        • #5
          Mhh, das ist jetzt aber schlecht, da ich es jetzt schon so gemacht habe und ich weiss auch nicht wie es sonst gehen soll, die Begriffe von euch wie "Session-Basis" sagen mir nicht viel bis gar nichts

          Kommentar


          • #6
            Hmm dann kann ich dir leider nicht weiterhelfen... Eine URL ist grundsätzlich unmöglich geheimzuhalten. Spätestens der Gewinner kann sie allen seinen Freunden zusenden. .js-Dateien kannst Du nicht wirklich gegen Lesezugriffe schützen, da der Browser sie ja einlesen muss und sie daher immer im Browsercache landet.

            Kommentar


            • #7
              Wie Du nun weisst, lässt sich mit einer clientseitigen Scriptsprache Dein Problem nicht lösen.
              Wenn es für Dich in Frage kommt, Deine Anwendung nach PHP umzustellen, dann verschieb diesen thread doch ins Forum PHP.

              Dort werden Sie geholfen !

              taratus

              Kommentar


              • #8
                mit php geht´s besser

                1.
                <script language="javascript" src="javascript.php"></script>
                in javascript.php dann den $HTTP_REFERER überprüfen.
                Wenn der Referer deine Seite ist, dann JavaScript echoen, sonst die();
                Ist aber nicht der Weisheit letzter Schluß, denn im Browser-Cache läßt sich der Source immer noch lesen.

                2.
                In gewinn.php kannst du ebenfalls den $HTTP_REFERER überprüfen ...
                mein Sport: mein Frühstück: meine Arbeit:

                Sämtliche Code-Schnipsel sind im Allgemeinen nicht getestet und werden ohne Gewähr auf Fehlerfreiheit und Korrektheit gepostet.

                Kommentar


                • #9
                  Hmm, mit der neuen Mozilla-Spoofbar kann man inzwischen bequem den Referer manipulieren (mit Toolbar im Browser)... Ist also nicht allzu sicher.

                  Kommentar


                  • #10
                    rehmm ... dann eben über Sessions:

                    auf der Quiz-Seite wird beim Abschicken des Formulars eine Session geöffnet
                    Die richtig/falsch-Seite überprüft, ob die Session existiert (wenn nicht --> falsch) und beendet sie wieder.

                    *grübel* das kann man ja immer noch umgehen ... Session öffnen, Seite wechseln, Referer & URL eingeben (Session existiert noch) --> gefaketes richtig
                    mein Sport: mein Frühstück: meine Arbeit:

                    Sämtliche Code-Schnipsel sind im Allgemeinen nicht getestet und werden ohne Gewähr auf Fehlerfreiheit und Korrektheit gepostet.

                    Kommentar


                    • #11
                      Also die Prüfung der Eingaben gehört generell auf die Serverseite alles andere kann man immer faken ... und sei es indem ich eine HTTP Request via Telnet (Port 80) fake ... !
                      carpe noctem

                      [color=blue]Bitte keine Fragen per EMail ... im Forum haben alle was davon ... und ich beantworte EMail-Fragen von Foren-Mitgliedern in der Regel eh nicht![/color]
                      [color=red]Hinweis: Ich bin weder Mitglied noch Angestellter von ebiz-consult! Alles was ich hier von mir gebe tue ich in eigener Verantwortung![/color]

                      Kommentar

                      Lädt...
                      X