Unterdrückter Referer

Was ist der Referer und wie hängt das mit Produkten zusammen?

Beim Referer handelt es sich um eine Zusatzinformation des Browsers, die dem Webserver mitteilt, welche URL zuletzt besucht wurde. Diese Information wird nur bei einem Klick auf einen Link und nicht bei direkter Eingabe der URL in der Adresszeile übergeben. Dadurch ist es Seitenbetreibern möglich, zu erkennen, von welchen internen oder auch externen Seiten die Besucher auf eine Webseite gelangen. Ebenfalls können die gesuchten Wörter in Suchmaschinen abgefragt werden, da diese in der Regel in der Ergebnis-URL der Suchmaschine noch vorhanden sind.

Ein Referer ist die Internetadresse einer Webseite, die den Benutzer zu der aktuellen Seite gebracht hat. Der Referer ist ein Teil der an den Server geschickten HTTP-Anfrage. Durch einen Fehler der Schnittstellenbeschreibung eines der ersten Webserver wurde das Wort "Referrer" in der obigen Schreibweise zur Norm bei allen Browsern und Web-Anwendungen.

Einige Websites loggen z. B. für Werbezwecke Referer. Einige Browser erlauben es, die Übertragung des Referers auszuschalten.

Referer-Spam ist eine besondere Form des aggressiven Marketings und wird vor allem von pornografischen Internetangeboten genutzt.

Hierbei hinterlässt ein Spambot einen Referer mit der URL des Angebots auf möglichst vielen Websites. Wenn eine dieser betroffenen Websites ihre Referer veröffentlicht, so befinden sich darunter die Spam-Links zu den Pornografie-Seiten.

Das RFC 2616 (Hypertext Transfer Protocol HTTP/1.1) erklärt den technischen Hintergrund.

Die korrekte englische Schreibweise lautet Referrer. Der ursprüngliche RFC (2068) enthielt jedoch versehentlich die falsche Schreibweise Referer und erhebt diesen Wortlaut damit zum Standard.

Der Referer stellt kein Sicherheitsrisiko dar

...ermöglicht es Seitenbetreiber jedoch, zusätzliche Informationen über den Benutzer zu erfahren. So könnte z.B. bei einem Besucher von einer Suchmaschine ein bestimmter, zum Suchbegriff passender, Text angezeigt werden, währenddem andere Surfer einen Standard-Text sehen. Ein Script, welches den Referer zur Ermittlung von Herkunfsseite und gesuchten Wörten in Suchmaschinen verwendet ist jsStat. Es gibt nun einige Tools, welche Referer-Informationen löschen oder fälschen. Ob es ein Benutzer wirklich stört, wenn die Seitenbetreiber diese Information besitzen, sei jedem selber überlassen...

When the Spam Hits the Blogs

Referral logs, intended to collect information on who visited a website and how they happened to arrive there, are being stuffed with bogus links. Curious bloggers who click on a logged link to see who visited their site are instead led to pornography or advertising sites.

Der Zusammenhang des Referers mit den Produkten ist nun auch schnell erklärt:

Die Skripte sind so aufgebaut, dass sich der Benutzer an der Loginseite mit Benutzernamen und Passwort anmeldet, Nach erfolgreicher Anmeldung wird eine eindeutige ASID (Administrator Session ID) erzeugt, mit der der Benutzer erkannt wird. Benutzernamen und Passwort werden ab diesem Zeitpunkt weder in verschlüsselter noch unverschlüsselter Form übertragen. Alle Produkte funktionieren auch ohne Cookies (jediglich der Benutzername wird aus Komfort-Gründen in einem Cookie gespeichert, hat aber keinen Einfluss auf die Funktionalität, sondern nur darauf, dass dieser bei erneutem Login bereits in das Eingabefeld eingetragen wird). Mittels einer gültigen ASID könnte man also auch ohne Kenntnis von Benutzername und Kennwort auf den Administrationsbereich zugreifen (die ASID verliert beim Logout automatisch ihre Gültigkeit). Um Missbrauch einzuschränken, wird deshalb immer noch der Referer überprüft. Das heisst, der Benutzer muss als Referer zwingend das Script selber eingetragen haben (also auf einen Link geklickt haben). Die manuelle Eingabe der URL inkl. ASID in der Adressleiste endet mit der Fehlermeldung:

Blockierten Referer unterbinden

Blockierte oder gefälschte Referer verunmöglichen also eine Administration von Produkten.



Deine URL:



Hier ist die sichere URL:


Hier ist die URL als HTML-Link:



Schlaue Blogger nutzen diesen Button!


© 2004-2014 trendymedia™ creative crossmedia - Anbieterkennzeichnung nach § 6 Teledienstgesetz
Sedo - Domains kaufen und verkaufen etracker® Web-Controlling statt Logfile-Analyse