Anwendungen auf eigener Seite verwenden, aber auf anderem Server gespeichert - wie?

[ap1]

Hi leute

ich weiß nicht ganz wie ich zu später Stunde mein Problem ausdrücken soll aber es ist folgendes:

-- Gedankenmodell :: Was passiert ? --
Server A: http://www.example.com/funktion/10051-wuerfeln/zeigeWuerfel.php?throwid=5192509
Die obige URL wird auf Server A aufgerufen und leitet die Anfrage auf Server B, wobei 10051-wuerfeln die ID der Anwendung sein soll.

Server B: http://www.das-erfundene-wuerfel-spiel.de/zeigeWuerfel.php?throwid=5192509


-- Gedankenmodell :: Was soll passieren ? --
Nun soll die auf SA aufgerufene URL auf SB "umgeleitet" werden, aber der Inhalt der Datei auf SB soll auf SA angezeigt werden - wenn möglich ohne IFrame, denn eventuelle Seitenvariablen wie die SpielerID und SpielerRanking etc. sollen weiterhin global auf SA bleiben. (Javascripts, Stylesheet etc. all das ebenfalls)

-- Gedankenmodell :: Und wie soll es gehen ? --
Ich dachte mir es per file_get_contents( spielurl ) zu lösen, doch denke ich kann es ohne Validierung der URL ( -> wie sollte ich das lösen?) zu Problemen mit XSS (Cross Site Scripting) kommen... Hilf eine API Engine dabei weiter?

Sry Leute dass ich seit längerem nun absolut keine Idee habe, wie ich das lösen soll und ich hoffe dass ich es verständlich beschrieben habe wenn nicht fragt bitte... Vielen dank

Vielen vielen Dank jetzt schonmal für eure Antworten!

(EDIT: Die URL's sind erfunden und fiktiv)

 

[pluspiano]

AW: Anwendungen auf eigener Seite verwenden, aber auf anderem Server gespeichert - wi

Vorausgesetzt, du hast auf BEIDE Server Zugriff, läuft es meines Wissens nur auf eine API Lösung hinaus. Kann aber kompliziert sein und birgt, falls schlecht programmiert, erhebliche Sicherheitsrisiken.

Es ginge bei dir vllt. etwas einfacher, und XSS lässt sich so auch vermeiden. EINEN Webspace mit mehreren MySQL-Datenbanken einrichten und für den User ein bisschen mit modrewrite "schummeln".

 

[Duddle]

AW: Anwendungen auf eigener Seite verwenden, aber auf anderem Server gespeichert - wi

Ich verstehe dein Problem nicht. Was spricht gegen file_get_contents("http://www.example.com/funktion/10051-wuerfeln/zeigeWuerfel.php?throwid=5192509")? Wenn du die Parameter auf ein richtiges Format prüfst, kann ein Aussenstehender doch nichts anderes holen als die eigentlichen Antwort-Daten.

Oder möchtest du vermeiden, dass niemand ausser das Script von auf die obigen Daten zugreifen darf?


Duddle

 

[ap1]

AW: Anwendungen auf eigener Seite verwenden, aber auf anderem Server gespeichert - wi

Vorausgesetzt, du hast auf BEIDE Server Zugriff, läuft es meines Wissens nur auf eine API Lösung hinaus. Kann aber kompliziert sein und birgt, falls schlecht programmiert, erhebliche Sicherheitsrisiken.

Letztlich werde ich wohl bei keinem der Anwendungen auf beide Server zugriff haben ;-). Deshalb brauch ich die Funktion der Anwendungsintegration von anderen Servern ja

Es ginge bei dir vllt. etwas einfacher, und XSS lässt sich so auch vermeiden. EINEN Webspace mit mehreren MySQL-Datenbanken einrichten und für den User ein bisschen mit modrewrite "schummeln".

das wäre dann die Lösung für beide Dateien sind auf meinem Server richtig?

Ich verstehe dein Problem nicht. Was spricht gegen file_get_contents("http://www.example.com/funktion/10051-wuerfeln/zeigeWuerfel.php?throwid=5192509")?

Im Prinzip wusste ich nicht ob es zu lasten der Performance geht, wenn ich mit PHP den Inhalt einer fremden Datei aufrufe (auch Traffic etc.?), jedoch ist mir klar geworden, dass ich dann die Möglichkeit auf gezieltes durchsuchen der Dateien auf beispielsweise beleidigende Wörter oder gar Links auf nicht erwünschte Seiteninhalte besteht und ich wenn nötig zensieren kann. Auch kann ich Javascript deaktivieren oder das komplette Umfeld (wohin darf die Seite verlinken? nur intern? auch extern?) einschränken kann.

Wenn du die Parameter auf ein richtiges Format prüfst, kann ein Aussenstehender doch nichts anderes holen als die eigentlichen Antwort-Daten.

Und genau darum geht es mir! Im Prinzip kann ich zur Eröffnung der Seite noch locker überprüfen, wer ein Spiel veröffentlicht und wer nicht! Das müsste ich - da ich noch keine Idee habe - manuell erledigen.
Das Problem des XSS liegt hierbei aber noch lange nicht beim Enduser der das Spiel dann spielt sondern wohl vielmehr beim Programmierer, denn dieser hat die Möglichkeit als ZIEL den Ordner des Spieles auf seinem Server zu wählen. Tut er das ordnungsgemäß, so können keine Komplikationen auftreten. Will er böshaft handeln, so kann ich mir vorstellen dass das geringste Problem auf das ich stoßen kann, dass er etwa auf verweißt, ihm die Seite aber nicht gehört... verständlich? Ich weiß nicht wie ich es erklären soll... hoffe ich habe es verständlich rüber gebracht :uhm:

PS: eine "einfache" Formvalidierung der URL, ob sie ins Schema passt reicht bei weitem nicht aus. Wie soll ich das besser bewerkstelligen?

 

[pluspiano]

AW: Anwendungen auf eigener Seite verwenden, aber auf anderem Server gespeichert - wi

Gewinnspielmodell. Datenbank A zählt die Punkte. Der Spieler wird zum Schluss gebeten, seine email-Adresse anzugeben. Nach Spielende wird alleine das Ergebnis mitsamt Email adresse auf Datenbank B (intern) übermittelt. Trick: nun bekommt der Spieler eine Email-Benachrichtigung. Er loggt sich damit auf den externen Server (Webspace) mit der Datenbank C ein. Datenbank C holt sich derweil die Ergebnisse + Spieler-Email+Verifikationscode von Datenbank B meinetwegen mit file_get_contents.

Passt das?

 

[ap1]

AW: Anwendungen auf eigener Seite verwenden, aber auf anderem Server gespeichert - wi

Gewinnspielmodell. Datenbank A zählt die Punkte. Nach Spielende wird das Ergebnis auf Datenbank B (intern) übermittelt. Trick: nun bekommt der Spieler eine Email-Benachrichtigung. Er loggt sich damit auf den externen Server (Webspace) mit der Datenbank C ein.

Passt das?

Fast ;-)

Die Datenbank A zählt die Punkte stimmt so, die Datenbank B kann die Spielfortschritte selbst auch speichern, hauptsächlich soll aber der Spielstand auf B liegen und die neuen Punkte auf A addiert werden.
Eine Datenbank C gibt es meiner Meinung nach nicht, es sei denn ein neues Spiel kommt hinzu:

Spiel 1 = Würfelspiel ; Server A
Spiel 2 = Kartenspiel ; Server C
Punktezählsystem ; Server B

war das das was du meintest?

 

[pluspiano]

AW: Anwendungen auf eigener Seite verwenden, aber auf anderem Server gespeichert - wi

Es geht um die Absicherung gg. XSS per Behelf Email-Benachrichtigung und der redundanten Absicherung des Punktestands auf "meinem" eigenen Server. Also, eine Brücke gewissermassen

 

[ap1]

AW: Anwendungen auf eigener Seite verwenden, aber auf anderem Server gespeichert - wi

Es geht um die Absicherung gg. XSS per Behelf Email-Benachrichtigung und der redundanten Absicherung des Punktestands auf "meinem" eigenen Server. Also, eine Brücke gewissermassen

Die Idee mit der Email ist dann quasi wie die Idee die ich gerade hatte? Eine Art Verifizierung wie du es dargestellt hast?

Ich hatte mir überlegt, dass eine Datei mit Namen des API Keys der Anwendung auf dem Zielserver von B liegen muss, etwa:
e879a766540098a97e8.txt ,damit Server A überhaupt auf B zugreifen möchte... Bringt das was?

 

[pluspiano]

AW: Anwendungen auf eigener Seite verwenden, aber auf anderem Server gespeichert - wi

Exakt. Damit werden als zusätzliches Schmakerl auch SPAMs und die nervtötenden Versuche von Scriptkiddies, irgendwas knacken zu wollen, mit recht simplen Mitteln verhindert.

DB A und DB B sind in diesem Modell auf demselben Server, DB C liegt auf dem externen Server.

Frage: Wird der externe Server mit DB C überhaupt noch (von Dir) benötigt? Helf mir auf die Sprünge. Muss sonst raten.

 

[ap1]

AW: Anwendungen auf eigener Seite verwenden, aber auf anderem Server gespeichert - wi

Exakt. Damit werden als zusätzliches Schmakerl auch SPAMs und die nervtötenden Versuche von Scriptkiddies, irgendwas knacken zu wollen, mit recht simplen Mitteln verhindert.

DB A und DB B sind in diesem Modell auf demselben Server, DB C liegt auf dem externen Server.

Frage: Wird der externe Server mit DB C überhaupt noch (von Dir) benötigt? Helf mir auf die Sprünge. Muss sonst raten.

Ich stelle Server B zur Verfügung, der Rest geht mir nichts an, das heißt es besteht immer nur eine 1:1 verbindung, hier zwischen A:B
Heißt C kann man wegstreichen... War das (hoffentlich) deine Frage ?

Viiiielen Dank übrigens für die mithilfe bis hierhin echt klasse ;-)

 

[pluspiano]

AW: Anwendungen auf eigener Seite verwenden, aber auf anderem Server gespeichert - wi

Ich weiss ja nicht, ob der Spieler mit dem Jackpot dann später auf einer externen Seite mit der DB C weiterspielen darf. Wenn nicht, streiche C. Ja. Ist auch mir ein Vergnügen, hab ebenfalls etwas gelernt.

 

[ap1]

AW: Anwendungen auf eigener Seite verwenden, aber auf anderem Server gespeichert - wi

Ich weiss ja nicht, ob der Spieler mit dem Jackpot dann später auf einer externen Seite mit der DB C weiterspielen darf. Wenn nicht, streiche C. Ja. Ist auch mir ein Vergnügen, hab ebenfalls etwas gelernt.

sollten die Spiele B und C vom gleichen Hersteller sein, und er erlaubt es mit dem Gewinn aus B auf C weiter zu spielen, ja dann ist das seine sache und nicht meine . Das muss er dann intern regeln und die Gewinne von B auf C schieben! Mein Server A greift jeweils nur auf das Spiel zu, was angefordert wird und das ist entweder B oder C je nach dem
(viel zu viel B C A in dem Thread hier )

Und die validierung klappt mit file_get_contents.. das reicht oder?
Mehr muss ich wirklich nicht beachten ? Das ist dann schon einigermaßen sicher?
PS: soll ich Javascript Tags aus der geladenen Inhaltsdatei löschen? Und Bilder nur im eigenen Lokalen bereich erlauben?

Alles klar!

 

[pluspiano]

AW: Anwendungen auf eigener Seite verwenden, aber auf anderem Server gespeichert - wi

JavaScript taugt nur was für den IDENTISCHEN Server. Also DB A mit DB B. Von A und/oder B zu C geht JS definitiv NICHT.

Je kryptischer die Email-Verifikation ist, umso sicherer müsste es sein. So könnten Username+email+Punktestand als MD5 an die Verifikation angeheftet werden. Bin aber kein Spezi in diesen Sachen.

 

[ap1]

AW: Anwendungen auf eigener Seite verwenden, aber auf anderem Server gespeichert - wi

JavaScript taugt nur was für den IDENTISCHEN Server. Also DB A mit DB B. Von A und/oder B zu C geht JS definitiv NICHT.

Je kryptischer die Email-Verifikation ist, umso sicherer müsste es sein. So könnten Username+email+Punktestand als MD5 an die Verifikation angeheftet werden. Bin aber kein Spezi in diesen Sachen.

Ich habe ein kleines Problem nebenher... Wie überprüfe ich ob eine Datei auf einem fremden Server verfügbar ist o0?
file_exists geht irgendwie nur auf dem Eigenen Server..

 

[pluspiano]

AW: Anwendungen auf eigener Seite verwenden, aber auf anderem Server gespeichert - wi

Datensätze oder Dateien, das ist die Gretchen-Frage? Dateien wie HTML etc. kannst DU händisch mit XENU checken.
Find broken links on your site with Xenu's Link Sleuth (TM)

Daten in einer fremden DB, wohl keine Chance ohne genehmigten Benutzerzugang. Aber mache doch einfach ein Protokoll über Deine gesendeten Datensätze...

 

[ap1]

AW: Anwendungen auf eigener Seite verwenden, aber auf anderem Server gespeichert - wi

Datensätze oder Dateien, das ist die Gretchen-Frage? Dateien wie HTML etc. kannst DU händisch mit XENU checken.
Find broken links on your site with Xenu's Link Sleuth (TM)

Daten in einer fremden DB, wohl keine Chance ohne genehmigten Benutzerzugang. Aber mache doch einfach ein Protokoll über Deine gesendeten Datensätze...

Ich möchte Dateien feststellen, allerdings nicht auf meiner Seite sondern auf einer externen mittels PHP! Ist das möglich?
(Beispielsweise: existiert der vom Entwickler angegebene Ordner überhaupt? Gibts die Check Datei mit API als Dateinamen da drauf? etc)

 

[pluspiano]

AW: Anwendungen auf eigener Seite verwenden, aber auf anderem Server gespeichert - wi

Schau mal:


Die verwendeten vier ways helfen vllt. bei der Suche. Alternativ bei Taaaaaaaante weitersuchen "php fopen reading host files". :uhm: