0251 / 590 837 15
info@a-coding-project.de

Maßnahmen gegen Datenklau

Der Datenklau bei SchülerVZ vor ein paar Tagen hat mal wieder gezeigt, wie leicht man Daten fremder Websites klauen kann. Das kann nicht nur SchülerVZ sondern sehr viele Websites passieren! Aus diesem Grund habe ich jetzt mal einen kleinen Beitrag erstellt, wie man seine Daten gegen solchen Missbrauch besser schützen kann.

Bei der Lücke auf SchülerVZ hat der Benutzer durch das simple automatische Abfragen der Seiten die Daten bekommen. Genauso könnte man es auch bei etlichen Foren und Communities machen.

Wie man das ganze manipuliert ist ganz einfach beschrieben: Man darf solche Daten nicht zu automatischen Anfragen senden.

Das ist leichter gesagt als getan. Denn man muss erst einmal herausfinden, ob eine Abfrage von einer Maschine oder von einem Benutzer bzw. seinem Browser kommt.

Nun, wie können ja mal einfach den Benutzer mit der Maschine vergleichen. So sehen wir verschiedene Verhaltensweisen und könne auf diese Reagieren.

Benutzer Maschine
Seitenaufrufe pro Minute 0-15 0-1000
Wahrnehmung über Grafik, Geräusche Quelltext
Nutzung pro Tag in Stunden 1-12 23-24
Intelligenz hoch niedrig

Daraus kann man folgendes ziehen:

  1. Wenn von einem Benutzer ganz viele Anfragen pro Minute kommen sollte man mistrauisch sein.
  2. Durch Captchas kann man prüfen, ob der Benutzer / die Maschine ihre Wahrnehmung wirklich über die Grafik macht oder nicht.
  3. Wenn ein und der gleiche Benutzer wirklich 23-24 Stunden pro Tag anfragen senden, könnte er eine Maschine sein.
  4. Die Maschine merkt nicht, wenn auf einmal eine völlig andere Seite, wie zum Beispiel eine Sicherheitsfrage kommt.

Wenn wir nun vermuten, dass die Anfrage von einer Maschine stammt, müssen wir trotzdem nochmal auf Nummer sichergehen und einfach eine Captcha oder Ähnliches einblenden.

Wenn es wirklich sehr viele Anfragen sind kann man auch einfach gar nichts mehr zurückliefern.

Fazit

Man muss aufmerksam werden, wenn ein User zu sehr aktiv ist. Manchmal reichen auch nur kleine Änderungen um eine Maschine außer gefächt zu schalten. Man sollte jedoch bei der ganzen Sache den Benutzer nicht vergessen. Er darf davon nicht zuviel merken.

Kommentare

Simon Strasser schrieb am 21.10.2009:

Dem kann man nur zustimmen :) - Ich persönlich habe bei dem Framework an dem ich zur Zeit arbeite eine Sperre von 20 Aufrufen pro MInute eingebaut, ab dem 21. Aufruf gibt es je nach Einstellung eine weiße Seite oder ein Captcha. Guter Beitrag!