Bildklau verhindern, aber wie?

[kummer]

Das mit dem Referer kann man eigentlich komplett abhaken, denn der Referer wird immer deine Website sein (und das ist auch sehr einfach zu faken).

wieso? wenn er versucht, das bildscript bei sich in die seite zu integrieren, wird eben der refferer seine seite sein und nicht die site von garfieldt. und genau das will er ja herausfinden. das nützt wohl, wenn er versucht, einfach das bild zu referenzieren.

will er das bild automatisch kopieren, dass muss eben sein ip ausgeschlossen werden.

@garfieldt: das funktioniert genau gleich wie die refferer-prüfung. du hast als server-variable die ip-adresse des client-requests. da du ja weisst, welcher server den klau vornimmt, musst du einfach dessen ip-adresse ermitteln und die bildausgabe verhindern, wenn ein request von ebendieser ip-adresse kommt. du kannst alternativ auch die request-domäne verwenden. am besten du schaust dir mal in phpinfo() an. da siehst du dann die verschiedenen server- und apache-umgebungs-variablen, die dir zur verfügung stehen.

[timo]

wieso? wenn er versucht, das bildscript bei sich in die seite zu integrieren, wird eben der refferer seine seite sein und nicht die site von garfieldt. und genau das will er ja herausfinden. das nützt wohl, wenn er versucht, einfach das bild zu referenzieren.

Wenn er es direkt referenziert, wovon ich nicht ausgegangen bin. Denn ein einfaches PHP-Script auf der "Dieb-Seite" ermöglicht das faken des Referers. Vom direkten einbinden in die Seite habe ich nicht gesprochen.

[Garfieldt]

Guckt euch doch die beiden Seiten nochmal an, er macht sich gar nicht die Mühe den Referrer zu faken o.ä.. Irgendwie bekommt er es hin, das Bild von meiner Seite auf seine zu kopieren, dann verlinkt er dieses Bild einfach als jpg auf seiner Webseite. Ich frage mich nur, wie er das macht, da das Bild alle 5 Minuten geändert wird, bei ihm auf der Seite ist das Bild aber auch fast immer aktuell. Kann man das dann überhaupt verhindern? Bin langsam echt richtig sauer, ich muss immer auf dem tierisch hohen mast rumturnen wenn das ding nicht funzt, und der benutzt das einfach mit!

[kummer]

hast du denn den ausschluss seiner ip-adresse auch schon vorgenommen?

ps: ich würde übrigens in jedem fall ein bild zurück geben. wenn es seine ip-adresse ist, würde ich einfach ein bild verwenden, dass er nicht auf seiner seite haben möchte. irgendein ulk-bild.

wie gesagt, wenn er es manuell macht, dann kannst du es nicht verhindern. aber der ausschluss seiner ip-adresse sollte eigentlich helfen.

folgende variable gibt dir die ip-adresse des request-clients:

Code: Alles auswählen

$SERVER["REMOTE_ADDR"]

du musst dann einfach prüfen (analog wie auf den http-refferer) ob es sich um die ip-adresse des diebes handelt und ggf. ein anderes bild (ein unverwünschtes) zurück geben.

@timo: da hast du allerdings recht. aber die ip-adresse sollte er eigentlich nicht faken können, oder? sonst weiss ja der server gar nicht, wohin er das bild zurück geben soll. oder sehe ich das falsch?

[timo]

@timo: da hast du allerdings recht. aber die ip-adresse sollte er eigentlich nicht faken können, oder? sonst weiss ja der server gar nicht, wohin er das bild zurück geben soll. oder sehe ich das falsch?

Naja, es ist zumindest besser als mit dem Referer Trotzdem würde ich ihn eher ermahnen, daß er das zu unterlassen hat...

[Arno Simon]

Nun, vielleicht hat sich das Problem mittlerweile erledigt

Auf der "Dieb"-Seite ist, nachdem ab kurz nach 8 nur noch fehlerhafte Bildverknüpfungen hoch kamen, nur noch ein Standbild von gestern Abend zu sehen und der Spruch:

Aus technischen Gründen wird die Übertragung der Webcam vorübergehend eingestellt.

Wir hoffen jedoch, dass wie mit Herrn Sühs besprochen eine Lösung gefunden wird.

vG

Arno

[alpi]

hätte vielleicht ne kleine idee, weiß aber nicht ob das so möglich ist.

Also wenn das Bild über <img src="ShowImage.php"> eingebunden wird, könnte man vielleicht nach jedem Aufruf durch einen Besucher einfach die ShowImage.php umbenennen, sodass man die ShowImage.php nicht so einfach einbinden kann. Ungefähr so:

1. Besucher geht auf Website, wo das hier steht: ....<img src="ShowImage.php">.....

2. Das Script ShowImage.php benennt sich selbst um in ShowImage_Zufallszahl.php und benennt auch gleichzeitig den Link im Bild um. Also auch ....<img src="ShowImage_Zufallszahl.php">....

3. Wenn jetzt jede Minute ein neuer Besucher auf die Website geht, ist damit auch die PHP-Datei jede Minute umbenannt.
Der "böse" Server kann ja dann schlecht jede Minute gucken, wie die ShowImage_Zufallszahl.php heißt, oder? Somit könnte er dann auch nicht die ShowImage_Zufallszahl.php einbinden.

[timo]

aber der Remote-Server kann auch die ShowImage.php aufrufen...sprich:

Der Remote-Server ruft niemals das Bild direkt auf, sondern die HTML-Seite, in der das Bild eingebunden wird. Ergo ist er dann (wie dein Browser auch) in der Lage, das entsprechende Bild zu ziehen.

[kummer]

aber die ip ist dann trotzdem noch seine und die kann man ja ohne weiteres aussschliessen. von mir aus gesehen sollte ein zugriff des servers unterbunden sein. und die direkte einbindung scheitert am refferer.

[timo]

ja, das mit der IP ist eine gute Lösung

es sei denn, er kommt auf die Idee, daheim auf seinem Rechner ein Script zu bauen, welches die Bilder dann auf seinen Server lädt - möglich ist (leider) vieles...

[kummer]

nun ja, ich gebe mich geschlagen. dann hilft wohl nur noch, dem mal ne tracht prügel zu verpassen.

[timo]

nun ja, ich gebe mich geschlagen. dann hilft wohl nur noch, dem mal ne tracht prügel zu verpassen.

Ich bin dabei