Das Flexikon
als App
logo Einloggen
Bearbeiten
NEU: Log dich ein, um Artikel in persönlichen Favoriten-Listen zu speichern.

DocCheck: Parameter-Übergabe

Dr. No
Natascha van den Höfel
DocCheck Team
Dr. No, Natascha van den Höfel + 1

Der folgende Artikel richtet sich an Webseitenentwickler und ITler. Allgemeine Informationen zu unserer Economy-Lizenz finden Sie hier

Warum Parameter?

Parameter wie z.B. Session-IDs können einen direkten Einstieg - beispielsweise durch Eingabe der Ziel-URL im Browser - verhindern und sichern Ihre Website so nahezu hundertprozentig ab. Das Setzen einer Session-ID muss dabei durch Ihre Webseite erfolgen.

Möglichkeiten

Durchschleifen einer Session-ID durch den Login

Eine Session-ID kann als Parameter durch den DocCheck-Login hindurch übergeben werden. Die Parameter-Übergabe und die optionale Verschlüsselung der Session-ID sind Bestandteil der Lizenzen Economy und Business.

Wenn weitere Parameter Ihrer Website übergeben werden sollen, können diese einfach angehängt werden: https://login.doccheck.com/code/12345/de/xl_red/session_id=abcd/ok=1

Es wird dabei empfohlen alle nicht-alphanummerischen Zeichen mit ihren entsprechenden Hex-Codes gemäß RFC abzubilden

https://login.doccheck.com/code/12345/de/xl_red/x=y%20%3Fz%3E

WICHTIG: Die Funktionalität des Zugangs zum geschützten Bereich darf von keinem dieser Parameter abhängig gemacht werden:

  • die URL login.doccheck.com (bei evtl. Referer-Checks)
  • die IP-Adressen der DocCheck-Server
  • die Übergabe nicht dokumentierter Parameter ("dc=1")

Verschlüsselung eines Parameters

Als zusätzliche Sicherungsmaßnahme kann die Session-ID während der Passwortabfrage mit einer Prüfsumme versehen werden. Dies verhindert, dass ein Nutzer durch Abgreifen einer gültigen Session-ID direkt auf den geschützten Bereich zugreifen kann. Mit der Economy- oder Business-Lizenz erhalten Sie von DocCheck einen geheimen Schlüssel (Hashing-Key), z.B. "L337P455". Zu der als Parameter "session_id" übergebenen Session-ID wird beim Login-Vorgang mittels MD5 (session_id . "L337P455") eine Prüfsumme berechnet. Diese Prüfsumme wird zusätzlich zur Session-ID als "session_id_enc" zurückgegeben. Auf der Zielseite kann Ihre Website mit derselben Methode überprüfen, ob die Prüfsumme korrekt ist.

Finden Sie hier ein Beispiel

Setzen einer Session-Variablen im Cookie

Voraussetzung für das Setzen einer Session-Variablen ist ein dynamischer Seitenaufbau, z.B. mit ASP, ColdFusion, PHP etc. Das Setzen der Session-Variablen muss durch Ihre Webseite erfolgen.

Ihre Website setzt vor dem Login (z.B. auf der Login-Seite) eine Session-ID und speichert diese in einem Cookie. Nach dem Login fragt Ihre Website das Cookie im geschützten Bereich wieder ab. Ist es nicht gesetzt oder die betreffende Session bereits abgelaufen, kann Ihre Website den Zugang verweigern. Nachteil: Nutzer, die keine Cookies akzeptieren, können den geschützten Bereich nicht betreten.

Nicht empfohlene Sicherheitsmaßnahmen

Die Abfrage des Referrers empfehlen wir generell nicht, da sie stark browserabhängig ist. Ebenso raten wir von einem .htaccess-Schutz ab, da aktuelle Browser die Umgehung einer solchen durch Aufruf der URL http://login:password@www.webserver.xy nicht mehr unterstützen.

Du musst angemeldet sein,
um diese Funktion zu nutzen.