Kommentare zu: Trafficdiebstahl stoppen mit .htaccess

Von: Sascha

Sascha — Fri, 20 Apr 2007 06:16:03 +0000

@Xx:
Kleine Aufklärung über den HTTP_REFERER:
Dieser wird vom Browser nur an die Folgeseite gesendet, wenn man auf einen Link auf der Quellseite klickt.
Bin ich z.B: auf focus.de und tippe in der URL http://www.stern.de ein, so ist der vom Browser an http://www.stern.de übermittelte Referrer leer, klicke ich auf einen Link auf Focus.de, der direkt auf http://www.stern.de verweist, so erhält http://www.stern.de als Referrer ddie URL er Focus-Seite.
Ich finde Paranoia hier fehl am Platz, da der Referrer eben wirklich nur gesendet wird, wenn man einem Link auf einer Seite folgt, nicht wenn man manuell oder über Favoriten die Seite wechselt.

Von: Andre

Andre — Sun, 15 Apr 2007 20:13:03 +0000

@ Gerald ... ich denke ja mehr, das es um den Quellaufruf geht und nicht um die Firewalls auf Client-Seite. Wenn man ganz sicher gehen mag, ist denke ich aber schon a bisserl Arbeit, dann schützt man das Verzeichnis mit den Grafiken, indem man die Zugriffe auf den Referrer der eigenen Webadresse beschränkt und spezielle IPs halt “absegnet”. Wer dann also Google Bilder haben mag, der kann die auch für Google Anzeigen lassen, aber den Rest ausgrenzen. Glaub das sowas geht....

@ Jan ... teils, man kann ja den Referrer ja auch spoofen (http://en.wikipedia.org/wik...), was man ja auch berücksichtigen muss...

Von: Heinz

Heinz — Sun, 15 Apr 2007 16:04:05 +0000

Ich hatte auch die Bildeinbindung geblockt, das hatte aber den Effekt, dass dann auch Logos und Buttons, die wir anderen Website-Betreibern zur Einbindung für eine Verlinkung anbieten, auch nicht mehr angezeigt werden. Deshalb habe ich die Funktion wieder herausgenommen. Bleibt wahrscheinlich nur die Blockierung einzelner Referrer.

Von: Jan Theofel

Jan Theofel — Sun, 15 Apr 2007 12:19:32 +0000

Ein weiterer Punkt ist bei Bildern in Weblogs zu beachten. Hier ist der Referrer nämlich oft ein webbasierter Feed-Reader wie bloglines.com. Blog-Bilder muss man also entweder ausnehmen oder die großen webbasierter Feed-Reader als Referrer zulassen.

Wegen den verschiedenen Problemen würde ich das ganze genau anders herum machen: Wenn man eine solche Einbindung entdeckt würde ich per htaccess genau diesen Referrer blocken und alles andere weiterhin zulassen. Damit wird das Einbinden unattraktiv und das Problem ist gelöst.

Von: Xx

Xx — Fri, 13 Apr 2007 18:01:33 +0000

Ohne Referrer surfen ist durchaus legitim und auch RFC-konform. Sollte also auf jeden Fall berücksichtigt werden. Auch wenn Links zu Bildern per Instant Messanger, IRC, etc. verschickt und dann besucht werden hat der Besucher oft keinen Referrer gesetzt. Und solche Besucher will man/ich eigentlich auch haben.

Leere Referrer sollte man aus dem Grund IMHO auf jeden Fall zulassen. Aber wenn eine Firewall den nicht einfach löscht sondern so einen Mist wie “alles durch * ersetzen” macht, dann ist das ein Problem des Users und in meiner htaccess nicht vorgesehen.
Habe solchen Leuten früher mal ein Extra-Bild zeigen lassen wo drin stand, dass sie ihrer Firewall/Browser anständiges Benehmen (richtiger oder kein Referrer) beibringen sollen.

Die Leute mit leerem Referrer, die hotlinked-Images laden muss ich dann akzeptieren. Sollten aber nicht sooo viele sein.
Bzgl. Anonymität: IMHO geht es auch keinen etwas an auf welcher Seite ich vorher war, also deaktiviere ich den Referrer. Wer mich damit nicht haben will muss schon verdammit guten Content bieten, damit ich ihn für ihn aktiviere

Von: Webmaster

Webmaster — Fri, 13 Apr 2007 16:05:53 +0000

@Gerald: Habe Deine Korrektur in den Kommentar reineditiert.
Ist ein gültiger Punkt, den Du da anbringst. Allerdings könnte man auch drüber streiten, ob man sich von so dämlichen Firewalls einschränken lassen sollte. Ich halte das entfernen von Referrern für eine lächerliche Funktionalität, die dem Benutzer eine durch die Firewall nicht gewährleistete Anonymität vorgaukeln soll.

@Andre: Elegante Lösung das mit der Marketing Grafik. Ich finde die 20 Jahre auch völlig masslos.

Von: Gerald Mann

Gerald Mann — Fri, 13 Apr 2007 15:08:12 +0000

Tja, das ist zwar ein schönes Tool aber leider arbeitet es mit dem “REFERER” und da viele Firewalls (unteranderem Notron) Referer blocken, würde ich davon absehen, da diese Nutzer (weil sie ja keinen REFERER senden) auch nur das Negativbild haben...

Somit *Möp* nicht brauchbar.

Von: Andre

Andre — Fri, 13 Apr 2007 14:31:07 +0000

@ wellness flo ... wenn Du in der .htaccess die IPs von den Servern so umleitest, das er das nicht mehr tun soll ist das auch der Fall, ich glaube aber das Thomas viel mehr eine Hilfe/Lösung aufzeigt, wie man sich gegen gefundene Source-Content Diebe schützen kann.

Heisst also, wenn Du entdeckst das die Webseite domain.xx einfach Grafiken von Dir lädt (siehst Du in den Logfiles deiner Webseite), dann kannst Du das mit der .htaccess unterbinden. Es gibt Bilder die sind leider 100K gross, wenn das Bild dann auf der Seite des “Störers” am Tag 100.000 mal geladen wird, dann hast Du dafür am Tag 10.000 MB Traffic - also 10 Gigabyte, welche je nach Traffickontingent bei deinem Hoster, schnell über das hinausschiessen lässt, was vereinbart war. Dich also Geld kostet und Dir nix bringt.

Wäre doch fatal, wenn dadurch JEDER das ANDERE Bild gesendet bekommt oder?

@ Thomas ... schickes Bild hinterlegt, was ein wenig Marketingtechnisch optimiert ist und den Namen der Ursprungshomepage zeigt, dann bekommt man vielleicht noch einen Besucher mehr. Das mit den 20 Jahren Haft finde ich etwas übertrieben. Es kann ja nicht angehen, das körperliche Gewalt weniger Strafe erfährt, wie Cyber Kriminalität. Aber das nur meine persönliche Ansicht dazu.

Von: Wellness flo

Wellness flo — Fri, 13 Apr 2007 12:53:17 +0000

Aber dann zeigt doch die google bilder suche bilder auch nicht mehr an oder sehe ich das falsch ????