Tilbakemelding på Gaveland.com - Cashbackside.! PHP Sikkerhet

[Mr Vest]

Sjalabais.!

Etter litt trykking i helgen fikk jeg satt opp Gaveland.com, en cashbackside jeg de neste dagene skal få klar i Norge, Danmark og Sverige.

Jeg vil ikke be noen registrere en brukerkonto, men vil gjerne ha tilbakemeldinger på selve nettsiden for deg som utlogget bruker.

Nettsiden skal tilby medlemmer og opparbeide seg poeng som kan veksles inn i gratis gavekort fra forkjellige gavekort-tilbydere. Det jeg kunne tenke meg litt tilbakemeldinger på akkurat nå er den norske versjonen som befinner seg på Gaveland.com - Gratis gavekort for alle.

Målet er at ungdom mellom 13 og 20år skal registrere en brukerkonto når de kommer innom nettsiden. Har jeg bommet helt her, og tror dere % som vil registrere seg vil være lav?

(Nettsiden finnes ikke på noen måte tilrettelagt for IE6 & IE7. Eneste nettleser jeg har sett den i selv er FF. Om et stort antall besøkende viser seg og være IE-brukere vil jeg muligens optimalisere litt mer for disse, evt muligens også slenge opp en plakat med at hele greia er utilgjenglig for mennesker som lever i steinalderen.)

 

[olafmoriarty]

Førsteinntrykket av forsida er at dette ser noe feilbalansert ut. Toppbildet er midtstilt, teksten under dekker hele skjermens bredde, men boksene nederst ligger helt til venstre i bildet. Hva med å midtstille de også? Forsida virker egentlig noe kjedelig og jeg ser ikke helt *hvorfor* jeg er helt nødt til å klikke meg videre for å registrere meg. Gratis gavekort høres så intetsigende ut, hvorfor ikke si rett ut allerede på forsida at registrerer du deg her kan du få gratis gavekort fra Visa, fra H&M, fra Jack and Jones ...? Så lenge du har avtaler med så kjente merker, bør du melke det for det det er verdt. Ser for meg at «gavekort fra H&M» høres mer interessant ut for den motebevisste ungdom enn det generiske «gavekort», som for alt det de vet kan dreie seg om å vinne gavekort på fotturer i fjellheimen eller erotiske gavekort fra webmaster. Ellers skal det nevnes at jeg generelt ikke liker splashsider, men har man flere nasjonale nettsider er det kanskje vanskelig å unngå dem.

Sida jeg kommer til når jeg klikker meg videre til Norge, har problemer med toppbanneret som blir litt croppa her, men det er sannsynligvis fordi jeg bruker IE7 i dag. I sidebaren er det dessuten ingen padding mellom innloggingsskjemaet og firmalogoene. Bortsett fra det, og at logoen virker en smule kjedelig, har jeg ingen problemer med designet ditt (men jeg er helt feil menneske til å uttale meg om design).

Korrekturles, eller skaff korrekturleser. Du har spesielt mange og/å-feil.

Synes godt du kunne ha hatt mer informasjon liggende ute om hva dette egentlig dreier seg om. Folk liker å ha mest mulig kunnskap om hva noe går ut på når de registrerer seg et sted. Hva med å legge ut et par eksempeloppgaver, med teksten «Registrer deg nå for å løse denne oppgaven» eller noe slikt? Blir veldig usikker på hva du egentlig legger i «Oppgaver», og vil vite det før jeg registrerer meg noe sted.

Av en eller annen grunn får alle URL-ene GET-variabelen ref=$ref. Det medfører blant annet at på innloggingsskjemaet står det «Du er invitert av: $ref». Går ut fra at dette er en bug (at du har variabelnavn i enkle anførselstegn et sted, kanskje?).

Gratis gavekort høres spennende ut, og selv om jeg personlig er skeptiker og ikke ville ha registrert meg her uten langt mer informasjon, tror jeg absolutt du kan få en ganske bra konverteringsrate om du markedsfører dette til den riktige målgruppen. Men sorry at jeg sier det: Dersom målet ditt er å nå ut til ungdom 13-20 år som har lyst på gratis stæsj, må du sjekke at sidene faktisk ser OK ut i Internet Explorer (minimum i IE7). Er ingen stor fan av IE selv og bruker det bare på jobben, men å gjøre narr av nettleservalget til brukerne er sjelden en god måte å få brukere på. Hadde du hatt en svært nerdcore side, kunne du gått ut fra at du fikk en ganske høy FF/Opera-andel. Men lager du noe for folk flest, må du teste det i IE om du ønsker å bli tatt seriøst. Det er nemlig den nettleseren svært mange av brukerne dine kommer til å sitte med. Liker du det ikke, begynn å lage nettsider utelukkende for nerder som oss.

 

[picxx]

Målet er at ungdom mellom 13 og 20år skal registrere en brukerkonto når de kommer innom nettsiden. Har jeg bommet helt her, og tror dere % som vil registrere seg vil være lav?

Sjekk aldersgrensen på de fleste kampanjene du kommer til å kjøre før du sikter deg inn på ungdom helt ned i 13 års alderen.

Personlig har jeg faktisk fått best uttelling på kampanjer som f.eks. røde kors nødhjelpsfadder på slike cashbacksider.

Man føler at man bidrar til en god sak samtidig som at man i en smekk får en god del poeng/kroner/whatever inn på kontoen, og det er IKKE ungdom som blir nødhjelpsfadder

 

[skogtrollet]

http://norge.gaveland.com/signup.php?ref=kek" onmouseover=alert(6)//">

Slike feil kan føre til at kontoer blir stjelt osv. Bruk denne på all inut som printes ut.

Eks:

$ref = htmlspecialchars($input, ENT_QUOTES);

 

[olafmoriarty]

Sjekk aldersgrensen på de fleste kampanjene du kommer til å kjøre før du sikter deg inn på ungdom helt ned i 13 års alderen.

Godt poeng. En annen ting du bør huske er at barn under en viss alder (husker ikke om det er femten eller seksten) ifølge norsk lov ikke kan legge ut personopplysninger på nett uten foresattes tillatelse. Dette bør du opplyse om i vilkårene og aller helst på registreringssiden, for det er mange av de potensielle brukerne dine som sannsynligvis ikke er klare over akkurat det, og det kan du selvsagt ikke utnytte.

 

[Mr Vest]

Takk for enormt gode svar.

olafmoriarty:
Det stemmer nok at alt sammen ser noenlunde bombet ut i IE7. I firefox blir det hele slik jeg tenkte meg det, og vil tro det også blir ok i IE8. Ellers skal jeg ta og sette meg ned et par timer i natt og fikse litt for IE.

Jeg bruker ikke ordene "Registrer deg for og få gratis gavekort" mest fordi at det kan tolkes som at alt en trenger gjøre for og få gratis gavekort er og registrere seg. Har tenkt litt på om det muligens også kan skape litt trøbbel med "de som passer på."

At logo er kjedelig er jeg egentlig helt enig med deg i, og den vil jeg nok bytte ut med noe annet de neste dagene. Du nevner dette med at det ikke er padding mellom sidebar og logoer, og jeg skal finne en fiks på det. Det skal etter rett være et mellomrom der tilsvarende mellomrommet mellom de andre boksene.

Og/å feil ja. Hehe, jeg har funnet ut at jeg har sett helt omvent på hvordan jeg skal bruke de to forkjellige. Kan tenke meg den feilen oppstår overalt hvor jeg bruker de to ordene.

ref=$ref hadde jeg lagt merke til ja. Kult du nevner dem også. Det er faktisk ingenting annet enn meg selv som har klart og drite meg ut på noen lenker.

Mye godt du kom med hvertfall. Jeg skal få orden på det meste før jeg på noen måte begynner med markedsføring av hele nettstedet.

picxx:
Jeg har sett litt på aldersgrenser på kampanjene hos Euroads i Norge, Sverige og Danmark og det finnes ganske bra med kampanjer man har lov og kjøre mot 13-åringer. Hehe, ja, jeg kan forstå at det er slike kampanjer som virkelig gir gode kroner. Kanskje det kan være noe for det neste prosjeketet jeg har. Det er et litt anderledes konsept som kan bruke scriptet kan du si, uten og nevne så mye mer. Noe slikt finnes ikke enda så vidt jeg vet.


skogtrollet
Hmm, der datt jeg litt av. Hvorfor bruke den på alle input som printes ut?

olafmoriarty
Oops, det hadde jeg ikke tenkt på selv heller. Takk!

 

[Mr Vest]

Da har jeg laget meg en liten liste basert på tilbakemeldingene jeg har fått, og tenker jeg jobber utfra dette her når jeg trykker litt i løpet av natta som kommer.

- Legge til mer informasjon om hva brukeren må gjøre for og få gavekort.
- Gjøre noen av oppgavene synlige for utloggede brukere.
- Fikse linktrøbbel, $ref.
- Sette aldersgrense på tjenesten til 16år.
- Fikse opp i små oversettelser som enda ikke er på norsk.
- Fikse på det design også for IE7.

Forsida virker egentlig noe kjedelig og jeg ser ikke helt *hvorfor* jeg er helt nødt til å klikke meg videre for å registrere meg.

Jeg vurderer og ta bort hele fremsiden og heller legge til flagg inne på underdomenene. Deretter kan jeg jo også flytte bloggen til hoved-domenet istedenfor /blogg/. Kunne det blitt bedre? Hva tenker dere om det?

 

[olafmoriarty]

Det ville det nok. Men poenget mitt med det sitatet der var bare at på den aller første siden man kommer til når man går inn på siden, bør det ligge en god grunn til at jeg skal velge å gå videre og/eller registrere meg.

 

[skogtrollet]

Ved å la javascript kjøres på nettsiden din, er det mulig å stjele andre brukere sin konto osv.

Om du vil vite hvorfor det er slik må du belage deg på mye lesing. søk på "xss"

 

[Mr Vest]

olafmoriarty, takk igjen. Skal se om ikke jeg finner på noe greier når jeg begynner med det.

skogtrollet, da var jeg litt mer med. Betyr det altså at koden der oppe vil nekte brukeren og kjøre Javascript i inputtene? Jeg får se litt nærmere på det etterhvert. Takk skal du ha for informasjonen.

EDIT:
Jeg bare må spørre deg Skogtrollet. Du skriver oppe at jeg må legge den til på inputs som printes ut? Mener du inputs som sender inn informasjon som f.eks "brukernavn" feltet i registreringskjemaet,? eller mener du også inputs som viser informasjonen som f.eks $ref helt nederst?

 

[skogtrollet]

Når jeg sier input mener jeg alt et mennesket kan skrive på dine web skjemaer og via urls i GET. Hvis du skal printe ut denne informajsonen med f.eks. echo $yo, så må du huske å ta vekk html koder, og meta tegn som f.eks. " og '.

Er det du som har skrevet php systemet på siden? Og ikke har peiling på sikkerhet?

Da må du belage deg på en eller annen fjortiss som fucker opp nettsiden din en gang i fremtiden.

 

[Mr Vest]

Mhm, skjønner. Jeg begynte og lure på om det egentlig var nødvendig og legge til noe på informasjonen som blir printet ut skjønner du.

Neida, scriptet er det ikke jeg som har laget, men jeg har en følelse av at sikkerheten allikevel ikke er helt på GH. På litt av sikkerheten benytter jeg meg også av passord som kan genereres og settes på mapper i cPanel. Sikkert ikke det beste av det beste, men bedre enn ingenting. Scriptet jeg bruker er en forholdsvis godt modifisert versjon av Getpaidscene Offers Engine.

Takker for alle svarene her i tråden. Får se litt hvordan det hele utvikler seg.

 

[skogtrollet]

Det har ingenting med cpanel å gjøre

Det er sikkert fristende å bare drite i det jeg sier. Men jeg anbefaler deg virkelig å gjøre noe med det. Om siden din får noen hundre medlemmer, er det alltids en tosk med datakunnskaper som vil ødelegge.

 

[Mr Vest]

Jepp, jeg tar det du forteller alvorlig, skogtrollet, og jeg skal så absolutt gjøre det du har nevnt i tråden før jeg på noen måte markedsfører dette her. Slik jeg har forstått det ligger mesteparten av sikkerheten på områder hvor vi printer ut saker og ting, og også i inputs. Det er vel for det meste kun printing og inputs som går igjen på hele nettstedet. Backup er også noe som vil bli tatt forholdsvis ofte.

cPanel nevne jeg mest fordi jeg bruker det som en ekstra sikkerhet for og få tilgang til områder hvor kun administrator skal ha tilgang. Jeg har ikke greie på sikkerhet, så tenker vel gjerne at alt som involverer et passord kan gjøre ting vanskeligere for "toskene" som vil ødelegge.

 

[Tonny Kluften]

... Hvis du skal printe ut denne informajsonen med f.eks. echo $yo, så må du huske å ta vekk html koder, og meta tegn som f.eks. " og '.
...

Og hvordan tar man vekk de?