Sicherheit im Internet: Der HTTP-Referrer

Heute mal wieder ein Beitrag zum Thema Sicherheit. Ein schönes Thema dazu habe ich im DomainFactory-Blog gefunden: Vorsicht, Referer. Erstmal will ich Euch erklären, was ein Referer (bzw. Referrer) ist. Ein Referer gibt an, von welcher Seite ein Besucher kommt.

Also wenn ich jetzt auf https://www.spitzohr.de/ bin und auf einen Link http://www.episodenguide.de/startrek/ klicke, dann kann der Episodenguide sehen, dass ich von Spitzohr.de gekommen bin. Wie das funktioniert? Der Browser ist so lieb und teilt das mit. Kann man – wenn man will – mit verschiedenen Tools und Erweiterungen natürlich verhindern. Aber erstmal will ich etwas zu diesen Referer erklären.

Der Referer kann gefährlich sein. Beispielsweise wenn man seine „geheime“ Bookmark-Liste auf einem Webserver hat. Sobald man einen Link dort anklickt, bekommt die Zielseite auch die Adresse für die Bookmark-Liste. Diese Adresse kann unter umständen in die falschen Hände fallen eventuell sogar in Suchmaschinen erscheinen. Warum das so gefährlich sein kann? Auf diesen Bookmark-Listen sind Links auf Seiten, die man gerne besucht. Eventuell auch auch Online-Banking-Anbieter oder auch Direkt-Links, mit denen man sich in verschiedene Dienste einloggen kann. Wenn man seine „geheime“ Bookmark-Liste im Internet hat, sollte diese zumindest durch ein Passwort geschützt sein. Somit können dann nur Personen darauf zugreifen, die auch das Passwort kennen.

Aber auch einige Online-Portale hatten in der Vergangenheit und teilweise noch heute Sicherheitsprobleme wegen dem Referer. Wenn man sich in eine Website einloggt, muß der Server dem Benutzer bei jedem Seitenaufruf wieder erkennen. Dazu wird eine Session-ID im Server hinterlegt und dem Besucher gegeben. Die Session-ID steht beim Besucher in einem Cookie oder aber auch in der URL (z.B. ?PHPSESSID=xyz). Sobald ich von dieser Seite eine andere Website aufrufe, hat natürlich diese andere Website im Referer auch die Session-ID stehen. Wenn jemand an diesen Referer herankommt, kommt er auch in das Online-Portal rein. Vor langer Zeit hatte ein Webmail-Anbieter ein solches Problem und hatte deswegen eine Funktion gebaut, bei dem externe Links erst über eine zusätzliche Seite verlinkt war. Dadurch stand im Referer nicht mehr die Seite mit der Session-ID, sondern eine unverfängliche Adresse einer Zwischenseite. Inzwischen gibt es natürlich auch Dienste wie anonym.to, die nach dem gleichen Prinzip die Herkunft verschleiern.

Das klingt bisher so, als wäre ein Referer nur was böses und man sollte es lieber abschaffen. Aber es gibt auch jede Menge sinnvolle Einsatzmöglichkeiten.

Sobald man über eine Suchmaschine auf eine Website kommt, kann der Website-Betreiber aus den Logfiles auslesen, über welchen Suchbegriff seine Seite gefunden wurde und die Website entsprechend optimieren. So hatte ich vor langer Zeit mal beim Episodenguide festgestellt, dass viele Besucher auf der Suche nach Bildern von Schauspielern auf meiner Website gelanden sind. Sie hatten z.B. nach „Pictures Patrick Stewart“ gesucht. Wer den Episodenguide kennt, wird sicherlich schon festgestellt haben, dass dort nur wenige Bilder sind. Eigentlich nur jeweils ein kleines Bild pro Episode. Aber ich hatte neben dem Namen des Schauspielers auch immer ein „Copyright bei Paramount Pictures“ auf der Seite stehen. Diese Besucher waren sicherlich nicht erfreut, auf meine Seite zu kommen, wo es eigentlich kaum bis gar keine Bilder zu den Schauspielern gab. Ich habe den Copyright-Vermerk daher in eine Grafik umgewandelt und schon ist das Wort „Pictures“ aus meiner Seite verschwunden. Die Besucherzahlen gingen leicht nach unten, die aufgerufenen Seiten pro Besuch aber deutlich (ca. 10 Seiten pro Besuch) nach oben.

Aber auch intelligente Scripte in den Seiten erkennen schon beim Besuch, mit welchem Suchbegriff die Seite aufgerufen wurde und können diese Daten nutzen, um dem Besucher besser zu unterstützen. Quasi sowas: „Sie haben mit dem Suchbegriffe ‚Schuhe‘ meine Seite gefunden, Schuhe finden Sie im dritten Stock…“. Oder der Suchbegriff wird in der Seite automatisch hervorgehoben. Oftmals – wenn auch nicht immer – ein Mehrwert für den Besucher.

Zudem kann der Referer auch als zusätzliche Sicherheitsfunktion genutzt werden. So werden bei manchen Seiten überprüft, ob der Besucher von einer zugelassen Seite kommt – oder über einen unerlaubten Weg die Seite aufrufen will. Das gleiche trifft auch auf Bilder oder andere Dateien zu. Webserver lassen sich heute so konfigurieren, dass Bilder nur angezeigt werden, wenn sie auch von der richtigen Seite aufgerufen werden. Ein „Entführung“ von Bildern auf andere Seiten wird damit erschwert. Bei meinem Server ist diese Funktion nicht aktiviert. Aber durch den Referer im Logfile kann ich sehen, wo meine Bilder überall Verwendung finden. Meinen Fußabdruck im Schnee wird z.B. von „lisa-maus“ auf ihrer Website eingebunden.

Es werden aber nicht nur Bildern, sondern auch ganze Designs geklaut. Dummerweise hatte der Design-Dieb… Mitnutzer auch Grafiken meiner Website direkt verwendet. Über den Referer haben seine Besucher diese Website verraten. Das Design wurde dort inzwischen geändert ;-)

Fazit: Es gibt bei Referes einige Vor- aber auch Nachteile. Wem die Nachteile überwiegen, kann mit Firefox-Erweiterung (im DomainFactory-Blog wurde RefControl vorgeschlagen, gibt es über den Add-On-Manager) den Referer unterdrücken. Auch einige Sicherheitssuites bitte diese Funktion unter den Punkt „Privatsphäre“ an. Und ich glaube auch, dass der Porno-Privatsphäre-Modus in einigen Browersn ebenfalls den Referer unterdrücken. Für mich als Website-Betreiber ist der Referer aber sehr wichtig. Ich kann sehen, über welche Seiten oder Links Besucher meine Websites aufsuchen. Kann meine Websites anhand dieser Daten für meine Besucher weiterverbessern. Ebenfalls läßt sich so auch die Zweckentfremdung von Inhalten feststellen – was je nach zusätzlich verursachten Traffic sogar richtig teuer werden kann. Die Sicherheitslöcher in den größeren Web-Portalen wurden schon lange behoben. Bei Bookmark-Listen sollte auf jeden Fall ein Passwortschutz verwendet werden, da oftmals die Firmen-Browser keinen solchen Referer-Schutz anbieten und sich auch keiner aktivieren läßt.

Eigentlich bleibt also nur das Thema Datenschutz übrig, welches ich noch nicht angesprochen haben. Will man den Betreiber einer Website die Information geben, von wo man auf diese Website gekommen ist? Den Betreiber ist die einzelne Person eigentlich egal, wichtig sind hier die (anonymisierten) Statistiken. Trotzdem wird im Logfile neben der IP-Adresse (welche übrigens der normale Website-Betreiber keiner Person zuordnen kann), Datum und Uhrzeit, aufgerufene Seite auch der Referer gespeichert.

Kommentare

Eine Antwort zu „Sicherheit im Internet: Der HTTP-Referrer“

  1. Herzlichen Dank für die ausführliche Erklärung. Das ist ein ganz toller Artikel, der meine Fragen, die beim Lesen des dF-Blogs aufgekommen sind, vollumfänglich beantwortet hat. Und so nebenbei bemerkt, bin ich ein wiederkehrender Besucher hier ;)
    Schöne Grüsse