Forum

Also ich muss mich da mal einmischen, da mich das Thema auch interessiert.

Und zwar gibt es ja nun verschiedene div. AVS-Anbieter. Unter anderem das Über18. Mit dem haben sich schon einige Gerichte herumgeschlagen und es wird anerkannt. Das ist aber Nebensache.

Es funktioniert ähnlich wie X-Check. Nur mit einem kleinen Unterschied. Deren Backdoorschutz ist so gestaltet das er mit mehreren anderen AVS-Systemen funktioniert.

Wie das im Detail aussieht entzieht sich meinem Verständiss da da mein Weissen einfach zu begrenzt ist *fg*

Sollte aber Interesse zum Test bestehen geb ich meinen Account gerne fürs Entwicklerteam frei.

Grüße andré

Hallo!

jetzt versteht er es aber hat ein problem

Ja und nein. Ja, ich habs verstanden, und nein, vielleicht gibt es doch ne Lösung (ich schreibe Dir dazu eine Mail).

---

Über18 usw. alles schön und gut. Das was mich am meisten an der Sache stört ist, daß es für den User immer Geld kostet. Nicht nur einmalig, sondern laufende Kosten (jährlich bei anderen monatlich).

Deswegen bin ich mehr für X-Check.
Wäre natürlich schön, wenn man noch andere Anbieter zusätzlich mit ins Boot nehmen könnte, für die User, die schon bei ueber18.de und co. Mitglied sind.

Im Prinzip ist OPN ja schon ein guter Backdoor-schutz. Mit den benutzergruppen kann man ja wunderbar steuern, welcher User was sehen darf und was nicht, es sei denn ein User bekommt einen Direktlink zu einem FSK18 Medium aus der MG. Aber vielleicht gibt es dafür auch eine Lösung, die ich noch nicht kenne. Dann braucht man keinen Backdoorschutz von Drittanbietern mehr. Dann kann OPN das alleine. Es geht dann nur noch um die zuverlässige Altersverifizierung des einzelnen Users. Da gilt es dann die besten/sichersten Anbieter/AVS-Tore heraus zu finden.


Gruß Luke

Luke auch wenn die mail recht kurz (inhaltlich ist) ich she da nicht ganz das problem opn an sich zu schützen sondern eher eben auch sicherzustellen das der wirklich über 18 ist.

der weg bei x-check wäre nicht sicher man könnte (ohne das jetzt getest zu haben) zwar sicherstellen das eben user a user a ist aber nicht!!! das dieser über x-check kamm. hier wird nur mit einem cookie gearbeitet und der ist nicht mal codiert von daher ist das nicht sicher das er wirklich über x-check kamm.

Hmm. Hab mal wie in der Email angeraten den accessManager vom Server gelöscht.
Eine Anypage-Seite (sichtbar nur für user) mit dem Tor.
Bei X-Check eine 2. Anypage-Seite (ebenfalls nur für User) als Ziel url angegeben.

So, wenn ich jetzt durch das Tor gehe (also "seite betreten" anklicke) dann geht es über X-Check zur 2. Anypage Seite.

Wenn ich mir die Formdetails der 1. Anypage Seite (mit dem Tor) ansehe:


     formid488041182     post     http://testwiese.ist-crazy.de/system/search/index.php

Elements
Index     Id     Name     Type     Value     Label     Size     Maximum Length     State
0     text-id-1113028022     query     text               14          
1          s     submit                         
2               image                         
3               image                         
Form
Id     Name     Method     Action
     xcGoThrough     post     http://security.personalid.de/loginCheck.php?PID_projectID=452&PID_SESSION=f5bb1fb0e94ac34eb5830f9cf4084d85&PHPSESSID=18b7d5ac5c610a759f4319109987245b008050016172&newPersonalID=1

Elements
Index     Id     Name     Type     Value     Label     Size     Maximum Length     State
0               image                         
1               image                         
Form
Id     Name     Method     Action
     smartGoThrough     post     http://www.x-check.de/goThroughSmartPay.php?PHPSESSID=18b7d5ac5c610a759f4319109987245b008050016172

     

und dann die 1. anypage seite aktualisiere und noch einmal die Formdetails ansehe, stelle ich fest, daß sich die PHPSESSID ändert:



xcGoThrough     post     http://security.personalid.de/loginCheck.php?PID_projectID=452&PID_SESSION=324c09ef4bc5747f3e217a5a63f25c4d&PHPSESSID=4959006d406d791d2188880e3f0ea2fe008050016172&newPersonalID=1

Weiß nicht ob das von relevanz ist, aber erwähnen wollte ich es auf jedenfall einmal.

Also nun "seite betreten" angeklickt. Werde nun weitergeleitet zur 2. Anypage-Seite.
Oben in der Adresszeile des Browsers steht:

http://testwiese.ist-crazy.de/system/anypage/index.php?opnparams=CGgPO1BoAWM&xcKey=d7c2c5aff2e1e94a18fdede92c1a03c4&p1=1&p2=2

Die Parameter p1=1 und p2=2 habe ich (wie von dem Herrn von X-Check beschrieben) in das script der Torseite (1. Anypage Seite) mit angefügt.

Wenn man nun anstatt p1=1 usw . die opn userid und einen zufällig von OPN erzeugten code anfügt, diese Daten mit durch das X-Check Tor schickt. Nach dem Tor landet der User auf der 2. Anypage Seite, wo dann die Userid und der zufällig erzeugte Code gegengeprüft werden.

Das müßte doch sicher sein, oder?

1.
Die User können auf die beiden Anypage Seiten nur zugreifen, wenn sie eingeloggt sind.

2.
Eingeloggte User, die die Ziel url (2. Anypage Seite) kennen sollten, können damit ja auch nichts anfangen, da sie
a.) ihre eigene userid von opn kennen müßten
b.) den zufallscode nicht kennen

3.
bei Ankunft an aypage seite 2 wird der vorher erzeugte zufallscode mit dem übertragenen zufallscode verglichen

4.
man kann die gesendete userid mit der userid des eingeloggten users nochmals vergleichen

5.
vielleicht kann man ja auch mit dem übertragenen xckey (xcKey=d7c2c5aff2e1e94a18fdede92c1a03c4) auch noch was anfangen.



Gruß Luke

Das große Problem ist ja meiner Meinung nach das jeder Webmaster ein anderes AVS-System bevorzugt bzw. mehrere anbieten möchte.

Es geht ja im Prinzip nur darum Medien (Bilder oder Videos) vor einem Direktverlinken zu schützen.

Jeder Webmaster müsste also beim Anlegen einer Benutzergruppe z. B. *ab18* die Option haben *Backdoorschutz* oder nennt es wie ihr wollt.

Nun müsste es nur noch einen Automatismus geben mit der ein User die Benutzergruppe erlangen kann. Entweder per Hand (bei kleinen Communitys). Oder eben durch ein AVS-Tor. Welchen Anbieter der Webmaster dann wählt ist sein Problem, er haftet ja auch dafür.

Man könnte das AVS-Tor auch bereits bei der Registrierung einbinden. Würde bedeuten, man schaltet nach dem Registrierungsformular noch eine Seite für ein x-beliebiges AVS-Tor.

Dies könnte man ja als Option bei der Registrierung einbauen. Entweder normal oder Registrierung + Jugendschutz.

Die geschützte Benutzergruppe ist aber Voraussetzung.

Keine Ahnung ob das sinnvoll ist, sind nur meine Gedanken.

[ Diese Nachricht wurde bearbeitet von: darksweetys am 16.01.2008 21:15 (Originaldatum 16.01.2008 19:10) ]

Servus!

Stefan, ich brauche noch mal Deine Hilfe:

Ich bastele gerade ein Modul, welches den Tordurchgang überprüft.
Bis jetzt bin ich soweit gekommen:

User klickt auf "Seite betreten"
-> User wird von XC (x-check) überprüft und bekommt dabei 2 Parameter (uname und uid) mit auf den Weg
-> nach erfolgreicher Überprüfung durch xc kommt wird der User zurückgeleitet, mit 3 Parametern: xckey, uname (opn) und uid (opn)
-> OPN prüft, ob uname und uid mit uname und uid des bei opn eingeloggten users übereinstimmen.
Bis hier funzt das schon mal.

Wenn ich nun eine bestimmte url von xc aufrufe, mit den Parametern webmasterid und xckey, gibt xc einen Plaintext OK, oder nicht OK. Damit wird überprüft, ob der User auch wirklich durch das Tor gegangen ist.

Wie kann ich praktisch im Hintergrund abfragen, was als Plaintext auf der Seite steht (OK, oder nicht OK)?

Wenn Du möchtest, kann ich Dir das Modul auch per Email zukommen lassen.

Danke im Voraus!
Gruß Luke

soll das ein richtiges modul werden (install usw.) ? willst das mit anbieten?

zu deiner frage

dafür könntest du folgenden code nutzen (opn code also die mainfile muss include sein)

     include_once (_OPN_ROOT_PATH . _OPN_CLASS_SOURCE_PATH . 'class.opn_http.php');
     $http = & new http ();
     $status = $http->get ('http://www.openphpnuke.info');
     if ($status == HTTP_STATUS_OK) {
          $get = $http->get_response_body ();
     } else {
          $get = 'received status ' . $status;
     }
     $http->disconnect ();

     echo $get;


in $get steht dann der inhalt der seite. das echo ist nur zur verdeutlichung

Hallo Stefan!

soll das ein richtiges modul werden (install usw.) ? willst das mit anbieten?

Ja klar, warum nicht? Vielleicht kann der ein oder andere das Modul auch gebrauchen.

dafür könntest du folgenden code nutzen (opn code also die mainfile muss include sein)

include_once (_OPN_ROOT_PATH . _OPN_CLASS_SOURCE_PATH . 'class.opn_http.php');
$http = & new http ();
$status = $http->get ('http://www.openphpnuke.info');
if ($status == HTTP_STATUS_OK) {
$get = $http->get_response_body ();
} else {
$get = 'received status ' . $status;
}
$http->disconnect ();

echo $get;


in $get steht dann der inhalt der seite. das echo ist nur zur verdeutlichung

Habe schon was im Netz bezüglich des Auslesens der Webseite gefunden:

$site = implode('', file('http://www.x-check.de/api/backdoor/verifyBackdoorKey.php?websiteID=' . $websiteid . '&xcKey=' . $xckey ));



Zumindest funktioniert es.

Wenn Du möchtest kann ich Dir das Modul mal mailen.
Bestimmt muß da so einiges noch verfeinert werden. Aber das Prinzip funktioniert schon mal

Gruß Luke

soll ich das modul in den experimental zweig einfliessen lassen? willst du es dort pflegen?

Hi Stefan!

Das lohnt sich jetzt noch nicht, da ist noch zu viel dran zu machen.
Das Problem ist nur, daß ich kein PHP-Profi bin und deswegen wird es schwierig.
Ich schaue mir die ein oder andere Sache immer aus anderen Modulen ab und versuche es so umzusetzen wie ich es brauche.

Was mir noch fehlt:

Tabelle beim Installieren des Moduls anlegen, in dem der WM die webmasterid und Tor-Type angeben kann.
Achja, und dann noch in welche Benutzergruppe gewechselt werden soll.

Evtl. könnte man noch weitere Daten wie:

- Datum/Uhrzeit der Überprüfung bzw. des Wechsels in die andere Benutzergruppe

usw mit speichern, weiß aber nicht ob das unbedingt notwendig ist.

Mal sehen ob ich das hin bekomme

Wenn es dann soweit funktioniert wäre es nicht verkehrt, wenn sich einer von der Profis den Code mal anguckt

Gruß Luke