Maßnahmen gegen Datenklau
Der Datenklau bei SchülerVZ vor ein paar Tagen hat mal wieder gezeigt, wie leicht man Daten fremder Websites klauen kann. Das kann nicht nur SchülerVZ sondern sehr viele Websites passieren! Aus diesem Grund habe ich jetzt mal einen kleinen Beitrag erstellt, wie man seine Daten gegen solchen Missbrauch besser schützen kann.
Bei der Lücke auf SchülerVZ hat der Benutzer durch das simple automatische Abfragen der Seiten die Daten bekommen. Genauso könnte man es auch bei etlichen Foren und Communities machen.
Wie man das ganze manipuliert ist ganz einfach beschrieben: Man darf solche Daten nicht zu automatischen Anfragen senden.
Das ist leichter gesagt als getan. Denn man muss erst einmal herausfinden, ob eine Abfrage von einer Maschine oder von einem Benutzer bzw. seinem Browser kommt.
Nun, wie können ja mal einfach den Benutzer mit der Maschine vergleichen. So sehen wir verschiedene Verhaltensweisen und könne auf diese Reagieren.
Benutzer | Maschine | |
Seitenaufrufe pro Minute | 0-15 | 0-1000 |
Wahrnehmung über | Grafik, Geräusche | Quelltext |
Nutzung pro Tag in Stunden | 1-12 | 23-24 |
Intelligenz | hoch | niedrig |
Daraus kann man folgendes ziehen:
- Wenn von einem Benutzer ganz viele Anfragen pro Minute kommen sollte man mistrauisch sein.
- Durch Captchas kann man prüfen, ob der Benutzer / die Maschine ihre Wahrnehmung wirklich über die Grafik macht oder nicht.
- Wenn ein und der gleiche Benutzer wirklich 23-24 Stunden pro Tag anfragen senden, könnte er eine Maschine sein.
- Die Maschine merkt nicht, wenn auf einmal eine völlig andere Seite, wie zum Beispiel eine Sicherheitsfrage kommt.
Wenn wir nun vermuten, dass die Anfrage von einer Maschine stammt, müssen wir trotzdem nochmal auf Nummer sichergehen und einfach eine Captcha oder Ähnliches einblenden.
Wenn es wirklich sehr viele Anfragen sind kann man auch einfach gar nichts mehr zurückliefern.
Fazit
Man muss aufmerksam werden, wenn ein User zu sehr aktiv ist. Manchmal reichen auch nur kleine Änderungen um eine Maschine außer gefächt zu schalten. Man sollte jedoch bei der ganzen Sache den Benutzer nicht vergessen. Er darf davon nicht zuviel merken.
Du arbeitest in einer Agentur oder als Freelancer?
Dann wirf doch mal einen Blick auf unsere Software FeatValue.
Kommentare
Simon Strasser schrieb am 21.10.2009:
Dem kann man nur zustimmen :) - Ich persönlich habe bei dem Framework an dem ich zur Zeit arbeite eine Sperre von 20 Aufrufen pro MInute eingebaut, ab dem 21. Aufruf gibt es je nach Einstellung eine weiße Seite oder ein Captcha. Guter Beitrag!
Über uns
Wir entwickeln Webanwendungen mit viel Leidenschaft. Unser Wissen geben wir dabei gerne weiter. Mehr über a coding project