/ Forside / Teknologi / Udvikling / ASP / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
ASP
#NavnPoint
smorch 9259
Harlekin 1866
molokyle 1040
Steffanst.. 758
gandalf 657
smilly 564
gibson 560
cumano 530
MouseKeep.. 480
10  Random 410
Undgå hotlinking
Fra : Thrane


Dato : 02-01-07 15:17

Hej

Kan man via ASP undgå at folk hotlinker til ens filer?

/Thrane



 
 
Jens Gyldenkærne Cla~ (02-01-2007)
Kommentar
Fra : Jens Gyldenkærne Cla~


Dato : 02-01-07 15:38

Thrane skrev:

> Kan man via ASP undgå at folk hotlinker til ens filer?

Ja. Hvis det kun er asp-filer der skal beskyttes, kan du tjekke
referer (Request.ServerVariables("HTTP_REFERER")) og se om det er
dit eget site der linkes fra.

Skal andre filer (fx billeder) beskyttes, skal du bruge en asp-side
til at vise dem, og tjekke referer som før. Teknikken går ud på at
hente filindholdet med FSO (FileSystemObject) og så sende det til
browseren som rå-data (binarywrite for binære filer).

Husk altid at sætte en passende content-type - asp-parseren kan
ikke selv regne ud at du vil lave noget andet end en html-side.

Beskyttelse via referer er ikke 100% sikker - det er muligt at
spoofe refereren så det ser ud som om der linkes fra dit site. Men
det er ikke noget normale webbrugere kan gøre, og da man heller
ikke kan lave et link der spoofer refereren, er problemet ikke
specielt stort. Hvis man kan leve med at nogle få nørder har
mulighed for at omgå beskyttelsen til eget brug, er den helt fin.
--
Bolig søges. Andel eller leje i Emdrup, Nordvest, Nørrebro, Søborg
eller Brønshøj, max 6000 pr. måned.
Kontakt pr. mail - nospam(at)gyros.dk
Jens Gyldenkærne Clausen

Thassman (02-01-2007)
Kommentar
Fra : Thassman


Dato : 02-01-07 22:49


"Jens Gyldenkærne Clausen" <jens@gyros.invalid> wrote in message
news:Xns98AC9EF316351jcdmfdk@gyrosmod.dtext.news.tele.dk...
> Thrane skrev:
>
>> Kan man via ASP undgå at folk hotlinker til ens filer?
>
> Ja. Hvis det kun er asp-filer der skal beskyttes, kan du tjekke
> referer (Request.ServerVariables("HTTP_REFERER")) og se om det er
> dit eget site der linkes fra.
>

Jeg har anvendt omtalte metode, men der er et problem med visse firewalls
(bla. norton) som fjerner HTTP_REFERER.
I mit tilfælde betød det, at disse firewall brugere ikke kunne se billederne
på mit site

/Tommy

--
www.thfoto.dk - event og portræt fotograf



Jens Gyldenkærne Cla~ (02-01-2007)
Kommentar
Fra : Jens Gyldenkærne Cla~


Dato : 02-01-07 23:44

Thassman skrev:

> Jeg har anvendt omtalte metode, men der er et problem med
> visse firewalls (bla. norton) som fjerner HTTP_REFERER.
> I mit tilfælde betød det, at disse firewall brugere ikke kunne
> se billederne på mit site

Synd for dem Spøg til side - jeg har godt hørt om usikkerheden
med referer. Man må så vælge om man vil sænke graden af
beskyttelse eller informere brugerne om at ændre indstillingerne i
deres sikkerhedssoftware (som det fx gøres på siden her:
<http://leg-cast.com/firewall.htm> - eller på dansk her:
<http://www.bif-support.dk/sydsiden/referer_help.php>)

Hvis man ikke vil generere brugerne, kan man tillade tomme referers
samt referers fra ens egne sites. Det vil betyde at der ikke er
nogen sikkerhed mod links fra bogmærker eller mails; at brugere af
diverse restriktive sikkerhedsprogrammer kan benytte ethvert link
til filerne, mens blokeringen stadig vil virke for brugere der ikke
har blokeret for referer.

Jeg synes nu det er reelt nok at tjekke referer-oplysninger - selv
om det kan misbruges, kan informationen i referer-headeren være
væsentlig for opbygningen af den side der skal vises. I stedet for
bare at blokere samtlige referers kunne
internetsikkerhedsprogrammerne benytte zoner eller algoritmer
svarende til de antiphishing-filtre der nu findes i alle de store
browsere til Windows.

Men som webdesigner må man selvfølgelig tage hensyn til de faktiske
forhold for brugerne - og her ser det ud til at ganske mange er
påvirket af refererblokering (bl.a. blokerer TDC's sikkerhedspakke
som standard referer).
--
Jens Gyldenkærne Clausen
Svar venligst under det du citerer, og citer kun det der er
nødvendigt for at forstå dit svar i sammenhængen. Se hvorfor og
hvordan på http://usenet.dk/netikette/citatteknik.html

Thassman (03-01-2007)
Kommentar
Fra : Thassman


Dato : 03-01-07 22:11


----- Original Message -----
From: "Jens Gyldenkærne Clausen" <jens@gyros.invalid>
Newsgroups: dk.edb.internet.webdesign.serverside.asp
Sent: Tuesday, January 02, 2007 11:43 PM
Subject: Re: Undgå hotlinking


> Thassman skrev:
>
>> Jeg har anvendt omtalte metode, men der er et problem med
>> visse firewalls (bla. norton) som fjerner HTTP_REFERER.
>> I mit tilfælde betød det, at disse firewall brugere ikke kunne
>> se billederne på mit site
>
> Synd for dem Spøg til side - jeg har godt hørt om usikkerheden
> med referer. Man må så vælge om man vil sænke graden af
> beskyttelse eller informere brugerne om at ændre indstillingerne i
> deres sikkerhedssoftware (som det fx gøres på siden her:
> <http://leg-cast.com/firewall.htm> - eller på dansk her:
> <http://www.bif-support.dk/sydsiden/referer_help.php>)


en anden metode man kan bruge er at authentikere sine brugere, som ved
login, bare transparant i baggrunden.
I scriptet som streamer objektet, kan man så checke om brugeren har en auth.
session.
Hvis ikke, kan man evt. sende dem en nag screen
Det burde stoppe hotlinking.

Jeg har leget med det, men aldrig sat det i drift. Det så ud til at virke
fint.

mvh
Tommy
--
www.thfoto.dk



Thrane (04-01-2007)
Kommentar
Fra : Thrane


Dato : 04-01-07 08:18


"Thassman" <ThassmanFJERNANDEN@gmailAND.com> wrote in message
news:459c1bed$0$177$157c6196@dreader1.cybercity.dk...
>
>
> en anden metode man kan bruge er at authentikere sine brugere, som ved
> login, bare transparant i baggrunden.
> I scriptet som streamer objektet, kan man så checke om brugeren har en
auth.
> session.
> Hvis ikke, kan man evt. sende dem en nag screen
> Det burde stoppe hotlinking.
>
> Jeg har leget med det, men aldrig sat det i drift. Det så ud til at virke
> fint.
>
> mvh
> Tommy
> --
> www.thfoto.dk
>
>

Kan du uddybe den lidt?

/Thrane



Thassman (07-01-2007)
Kommentar
Fra : Thassman


Dato : 07-01-07 00:16

>
> Kan du uddybe den lidt?
>
> /Thrane
>

En nem måde at prøve det af på, er at sætte en session variabel på din
default side.
I asp siden som streamer dit objekt til klienten, laver du så et check om
session variablen er sat, hvis ikke lader du bare være med at streame noget
som helst

ulempen er så, at man skal ramme din default side, før streaming virker.
Men konceptet virker, og det kan nemt udbygges, eks. ved at sætte variablen
på andre sider.

/Tommy

--
www.thfoto.dk



Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408924
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste