Pitwheazle hat geschrieben: ↑Donnerstag 19. Januar 2023, 16:47
Dazu übergebe ich bei Klick die id von S/S z.B. "... protokoll/13/". Nun darf aber natürlich nur der/die S/S sein/ihr Protokoll einsehen und niemand, der einfach ids ausprobiert.
Pitwheazle hat geschrieben: ↑Donnerstag 19. Januar 2023, 21:51
im Prinzip macht man das so?
Das ist schon ein übliches Problem und gut, dass du auch dahingehend prüfen willst.
Wie "man" das macht hängt immer ein bisschen davon ab, wovor man sich schützen will.
Gerade im Bereich der Schule mit solchen hochsensiblen Daten muss man sehr penibel sein.
Du kannst dir bei Gelegenheit ja mal einige passende Einträge im Blog der Zerforschung durchlesen.
Gerade im letzten Jahr haben sie so einige Schul-Apps analysiert und konnten teilweise eklatante Lücken öffnen.
Wenn auf diese Art dann unberechtigte Personen da schützenswerte Daten heraustragen können, ist der Ärger vorprogrammiert.
Also ja, grundsätzlich solltest du alle Anfragen der Nutzer immer nochmal auf dem Server gegenprüfen: Dürfen die das wirklich sehen/machen.
Nicht nur einfach irgendwas durchwinken, bloß weil da jemand die richtige ID kennt und nennt, denn die kann man ggf. einfach raten.
Außerdem gibt es die Möglichkeit, die URL anders aufzubauen, dass da gar nicht die echte ID steht und nicht "protokoll" als Name.
Du kannst dir ja mal ansehen, wie andere Webseiten dieses Thema handhaben, je nachdem welche Daten wie zu schützen sind.
Beispielsweise dieses Forum schreibt in der URL auch bloß "viewtopic.php?t=56304" und das ist die Nummer von diesem Thread.
Wenn man da eine andere Zahl einträgt, kommt man direkt in einen anderen Thread (wenn er denn existiert) (und du ihn sehen darfst)
Hingegen bei deiner Bank wird kaum in der URL stehen "konto=123&inhaber=Pitweazle", was übrigens leicht mitgehört werden kann.
Da steht dann eher so unverständliches Kauderwelsch wie "token=us8123nfs" und das gilt dann auch nur für diese eine Anfrage jetzt.
Das Thema "Sicherheit von Zugriff auf Webseiten" ist ein weites Feld und es gibt viele handfeste Empfehlungen, was sich bewährt hat.