PHP http referer

[Hanni2k]

Mahlzeit.

Ich habe nen kleinen Chat gebaut der nicht auf meinem Webspace liegt, denn ich habe kein webspace der schnell genug wäre für nen chat (hab nur freien webspace)...

Den chat habe ich in nem Forum eingebunden (iframe) und möchte das der chat ausschließlich vom Forum aus erreichbar ist. Das habe ich bisher so gemacht:

if($_SERVER['HTTP_REFERER']!='http://meinforum.de') 
{
	echo 'Sie haben kein Zugang!';
	die();
}

klappt eigentlich auch ganz gut.

Nun meine frage, wie sicher ist das ganze? Gibts ne mögleichkeit den http referer zu faken oderso?

Ist jetz nich so das iwr da über total geheime daten labern. Ich möchte nur das der chat über seine original-adresse nicht aufrufbar ist.

 

[volcem]

Mach doch folgendes:

Nutze die Forum Authifizierung und wenn der Besucher nicht angemeldet ist, kann er die Seite nicht betrachten bzw chatten.
Er wird einfach zum Loginformular geschickt und gut.

So würde "ich" das lösen.

 

[Hanni2k]

is leider net mein forum, das is son forum wo man sich anmelden kann nix eigenes. Sonst hätte ich da nen WBB chat oderso installiert

 

[volcem]

Hmm irgend wie verstehe ich dich nicht wirklich, du bindest ein Chat in einem Forum ein das nicht dein Forum ist?
Oder kommen die User von "diesem" Forum und du prüfst einfach nur ob die Besucher auch wirklich von dieser Seite kommen?

Wenn es wirklich nicht dein Forum ist, und du zum beispiel den Chat auf einen "home" Server hast, würde ich dir raten, such nen free IRC Server und erstelle einfach ein Raum mit Passwortschutz.
So kannst noch Traffic sparen.

 

[Patric_]

Referer kann man schon fälschen, ist nur ein Feld im HTTP-Paket.
Viele senden keine Referer mit, da Firewall oder Browseraddon das einfach entfernen

Volcems Idee wäre besser.
Am besten du sagst mal genau was du momentan hast (also welchen Service, etc.)

mfg

 

[carom]

Den Referer zu verändern ist das einfachste überhaupt, da gibt es sogar Plugins für Firefox und Co. Also kurz gesagt, unsicherer gehts nicht.

 

[Eagle-PsyX-]

Ich fälsche dir ein Refer in ca. 30 Sekunden ohne irgendwelchen besonderen Vorbereitungen sondern nur Firefox...

 

[claW.]

about:config -> network.http.sendRefererHeader auf 0 setzen und schon is der referer futsch und das script überflüssig.

 

[Hanni2k]

Hm schwer zu erklären.

ich hab nen Chat das liegt unter www.meinchat.de
Ich wollte in dem Forum www.meinforum.de diesen chat per Iframe einbinden, soweit so gut.

Ich möchte nun, das mein chat einfach nich unter www.meinchat.de erreibar ist, sondern nur von der seite www.meinforum.de aus erreichbar ist. Hab das zurzeit halt über den referer geprüft.