Vorsicht, Referer

Wer aus privaten/persönlichen Webseiten heraus einen Link anklickt, dessen private Webseitenadresse landet in der Regel als „Referer“ im Serverlogfile des zum angeklickten Links gehörenden Webserver. Zudem kann auch jede auf dem Zielserver installierte Webanwendung den Referer bei Aufruf einer Seite durch Klick auf einen Link unmittelbar abfragen und für den Betreiber auswerten/darstellen. Es empfiehlt sich daher, z.B. privat angelegte und auf dem Webspace hinterlegte Linklisten usw. grundsätzlich mit einem Passwort vor unerwünschtem Abruf zu schützen. Denn selbst wenn keine auf den ersten Blick vertraulichen/sensiblen Inhalte dort enthalten sind, offenbart man damit Webseitenbetreibern persönliche Dinge und geht unnötige Risiken ein.

So ist es einem Leser passiert: Die Blogsoftware hat einen interessant klingenden Link als Referer angezeigt, der sich bei Aufruf als private Linksammelung eines Besuchers offenbart hat. Nun war dort nichts Wichtiges enthalten. Dennoch konnten wir sehen, für welche Webseiten sich der Domaininhaber interessiert oder bei welcher Bank er sein Onlinebanking betreibt. Und es hätten ja auch andere, persönlichere Links enthalten gewesen sein können.

Der Kunde wurde daher auch sofort per E-Mail kontaktiert und über den Umstand informiert, damit er seine private Linksammlung mit einem Passwort schützen kann. Dies war verbunden mit  Lösungsvorschlägen und der Bitte, über das Ereignis im Blog berichten zu dürfen (für die Zustimmung an dieser Stelle vielen Dank). Somit erklärt sich nun auch dieser Beitrag. Denn auch anderen Leserinnen und Lesern könnte es passieren, dass aus Unkenntnis oder Unbedachtheit an sich geheime/nirgends zugänglich gemachte Adressen privater Webseiten als Referer bei angesurften Seiten auftauchen und damit Fremden Zugriff auf diese Seiten gewährt wird. Nicht immer muss das unangenehme Folgen haben. Aber: Einerseits sind unbewusst zugänglich gemachte, persönliche Daten immer unschön und andererseits gibt es ja häufig doch oft die dümmsten Zufälle…

Daher: Schützen Sie interne Webseiten immer per .htaccess mit einem Passwort. Vertrauen Sie nicht darauf, dass doch niemand die Webseitenadresse kennt und somit ihre persönlichen Links/Notizen/Fotoalben/… sicher sind.

Und: Wer die Kontrolle über den Referer erhalten möchte, kann – zumindest im Firefox-Browser – nützliche Tools nutzen. Tipp: RefControl (direkt über die Addonverwaltung installierbar). Damit lässt sich der Referer global ändern/unterbinden und für Einzelfälle (bestimmte Webseiten) erlauben.

(Ein Programm zur Erstellung von passwortgeschützten Webseiten gibt es u.a. auch im Downloadbereich bei domainfactory unter http://www.df.eu/de/service/downloads/.)

End of article

Sara Marburg

Über den Autor

Sara Marburg

Geschäftsführung (bis 11/13)

6 Kommentare

Die von Ihnen hier erhobenen Daten werden von der domainfactory GmbH zur Veröffentlichung Ihres Beitrags in diesem Blog verarbeitet. Weitere Informationen entnehmen Sie bitte folgendem Link: www.df.eu/datenschutz


  • Florian König-Heidinger
    Florian König-Heidinger - 8. Februar 2010 um 08:52 Uhr

    Einige Anbieter bitten ja auch Links an, mit denen man direkt in bestimmten Diensten eingeloggt ist. Solche Links in einer offen zugänglichen Bookmark-Liste ermöglicht es anderen, sich direkt da einzuloggen. Die Diskussion zu diesem Problem war interessant anzusehen, weil dieses Feature (der Direkt-Link) als Sicherheitsloch gesehen wurde.

    Zu dem .htaccess-Schutz: Das Programm ist gut und habe es früher auch schon öfters verwendet. Nur habe ich dann irgendwann angefangen, register_globals bei mir zu deaktivieren und mußte deswegen auf eine andere Lösung umsteigen… Eventuell könnte man doch so eine Funktion direkt in den genialen Dateimanager oder in das Web-FTP im Kundenmenü integrieren? Ein zusätzlicher Knopf mit „Ausgewähltes Verzeichnis schützen“ oder ähnlich wäre ein sehr schönes Feature.

  • ad1601com
    ad1601com - 8. Februar 2010 um 08:59 Uhr

    Wir haben diese Problematik Bsp. in unserem Intranet über anonym.to gelöst. Ein recht einfacher Weg die Referer zu verschleiern.

  • Moritz
    Moritz - 8. Februar 2010 um 11:55 Uhr

    Aber wer garantiert, dass anonym.to oder ähnliche Dienste den Referer nicht auswertet?

  • naturkost.com
    naturkost.com - 8. Februar 2010 um 14:22 Uhr

    Private Daten dieser Art kann man doch einfach privat halten, indem man das entsprechende Verzeichnis via .htaccess vor fremdem Zugriff schützt – folgt dann jemand dem Referrer, so erhält er lediglich eine Eingabemaske des Webservers, welche Username und Password abfragt.

  • secure-timestamp.org
    secure-timestamp.org - 9. Februar 2010 um 06:36 Uhr

    Referrer nicht mitsenden wäre auch noch eine Möglichkeit 😉