Tilbakemelding på Gaveland.com - Cashbackside.! PHP Sikkerhet

En tråd i 'PHP, SQL og databaser' startet av Mr Vest, 18 Aug 2009.

  1. Mr Vest

    Mr Vest Sjefen over alle sjefer!

    Innlegg:
    2.079
    Sjalabais.!

    Etter litt trykking i helgen fikk jeg satt opp Gaveland.com, en cashbackside jeg de neste dagene skal få klar i Norge, Danmark og Sverige.

    Jeg vil ikke be noen registrere en brukerkonto, men vil gjerne ha tilbakemeldinger på selve nettsiden for deg som utlogget bruker.

    Nettsiden skal tilby medlemmer og opparbeide seg poeng som kan veksles inn i gratis gavekort fra forkjellige gavekort-tilbydere. Det jeg kunne tenke meg litt tilbakemeldinger på akkurat nå er den norske versjonen som befinner seg på Gaveland.com - Gratis gavekort for alle.

    Målet er at ungdom mellom 13 og 20år skal registrere en brukerkonto når de kommer innom nettsiden. Har jeg bommet helt her, og tror dere % som vil registrere seg vil være lav?

    (Nettsiden finnes ikke på noen måte tilrettelagt for IE6 & IE7. Eneste nettleser jeg har sett den i selv er FF. Om et stort antall besøkende viser seg og være IE-brukere vil jeg muligens optimalisere litt mer for disse, evt muligens også slenge opp en plakat med at hele greia er utilgjenglig for mennesker som lever i steinalderen.)
     
    Sist redigert: 18 Aug 2009
  2. olafmoriarty

    olafmoriarty Medlem

    Innlegg:
    751
    Førsteinntrykket av forsida er at dette ser noe feilbalansert ut. Toppbildet er midtstilt, teksten under dekker hele skjermens bredde, men boksene nederst ligger helt til venstre i bildet. Hva med å midtstille de også? Forsida virker egentlig noe kjedelig og jeg ser ikke helt *hvorfor* jeg er helt nødt til å klikke meg videre for å registrere meg. Gratis gavekort høres så intetsigende ut, hvorfor ikke si rett ut allerede på forsida at registrerer du deg her kan du få gratis gavekort fra Visa, fra H&M, fra Jack and Jones ...? Så lenge du har avtaler med så kjente merker, bør du melke det for det det er verdt. Ser for meg at «gavekort fra H&M» høres mer interessant ut for den motebevisste ungdom enn det generiske «gavekort», som for alt det de vet kan dreie seg om å vinne gavekort på fotturer i fjellheimen eller erotiske gavekort fra webmaster. Ellers skal det nevnes at jeg generelt ikke liker splashsider, men har man flere nasjonale nettsider er det kanskje vanskelig å unngå dem.

    Sida jeg kommer til når jeg klikker meg videre til Norge, har problemer med toppbanneret som blir litt croppa her, men det er sannsynligvis fordi jeg bruker IE7 i dag. I sidebaren er det dessuten ingen padding mellom innloggingsskjemaet og firmalogoene. Bortsett fra det, og at logoen virker en smule kjedelig, har jeg ingen problemer med designet ditt (men jeg er helt feil menneske til å uttale meg om design).

    Korrekturles, eller skaff korrekturleser. Du har spesielt mange og/å-feil.

    Synes godt du kunne ha hatt mer informasjon liggende ute om hva dette egentlig dreier seg om. Folk liker å ha mest mulig kunnskap om hva noe går ut på når de registrerer seg et sted. Hva med å legge ut et par eksempeloppgaver, med teksten «Registrer deg nå for å løse denne oppgaven» eller noe slikt? Blir veldig usikker på hva du egentlig legger i «Oppgaver», og vil vite det før jeg registrerer meg noe sted.

    Av en eller annen grunn får alle URL-ene GET-variabelen ref=$ref. Det medfører blant annet at på innloggingsskjemaet står det «Du er invitert av: $ref». Går ut fra at dette er en bug (at du har variabelnavn i enkle anførselstegn et sted, kanskje?).

    Gratis gavekort høres spennende ut, og selv om jeg personlig er skeptiker og ikke ville ha registrert meg her uten langt mer informasjon, tror jeg absolutt du kan få en ganske bra konverteringsrate om du markedsfører dette til den riktige målgruppen. Men sorry at jeg sier det: Dersom målet ditt er å nå ut til ungdom 13-20 år som har lyst på gratis stæsj, du sjekke at sidene faktisk ser OK ut i Internet Explorer (minimum i IE7). Er ingen stor fan av IE selv og bruker det bare på jobben, men å gjøre narr av nettleservalget til brukerne er sjelden en god måte å få brukere på. Hadde du hatt en svært nerdcore side, kunne du gått ut fra at du fikk en ganske høy FF/Opera-andel. Men lager du noe for folk flest, må du teste det i IE om du ønsker å bli tatt seriøst. Det er nemlig den nettleseren svært mange av brukerne dine kommer til å sitte med. Liker du det ikke, begynn å lage nettsider utelukkende for nerder som oss.
     
    Mr Vest og Tonny Kluften liker dette.
  3. picxx

    picxx Well-Known Member

    Innlegg:
    8.801
    Sjekk aldersgrensen på de fleste kampanjene du kommer til å kjøre før du sikter deg inn på ungdom helt ned i 13 års alderen.

    Personlig har jeg faktisk fått best uttelling på kampanjer som f.eks. røde kors nødhjelpsfadder på slike cashbacksider.

    Man føler at man bidrar til en god sak samtidig som at man i en smekk får en god del poeng/kroner/whatever inn på kontoen, og det er IKKE ungdom som blir nødhjelpsfadder ;)
     
    Mr Vest liker dette.
  4. skogtrollet

    skogtrollet Medlem

    Innlegg:
    208
    http://norge.gaveland.com/signup.php?ref=kek" onmouseover=alert(6)//">

    Slike feil kan føre til at kontoer blir stjelt osv. Bruk denne på all inut som printes ut.

    Eks:

    Kode:
    $ref = htmlspecialchars($input, ENT_QUOTES);
     
    Mr Vest liker dette.
  5. olafmoriarty

    olafmoriarty Medlem

    Innlegg:
    751
    Godt poeng. En annen ting du bør huske er at barn under en viss alder (husker ikke om det er femten eller seksten) ifølge norsk lov ikke kan legge ut personopplysninger på nett uten foresattes tillatelse. Dette bør du opplyse om i vilkårene og aller helst på registreringssiden, for det er mange av de potensielle brukerne dine som sannsynligvis ikke er klare over akkurat det, og det kan du selvsagt ikke utnytte.
     
  6. Mr Vest

    Mr Vest Sjefen over alle sjefer!

    Innlegg:
    2.079
    Takk for enormt gode svar. :)

    olafmoriarty:
    Det stemmer nok at alt sammen ser noenlunde bombet ut i IE7. I firefox blir det hele slik jeg tenkte meg det, og vil tro det også blir ok i IE8. Ellers skal jeg ta og sette meg ned et par timer i natt og fikse litt for IE.

    Jeg bruker ikke ordene "Registrer deg for og få gratis gavekort" mest fordi at det kan tolkes som at alt en trenger gjøre for og få gratis gavekort er og registrere seg. Har tenkt litt på om det muligens også kan skape litt trøbbel med "de som passer på."

    At logo er kjedelig er jeg egentlig helt enig med deg i, og den vil jeg nok bytte ut med noe annet de neste dagene. Du nevner dette med at det ikke er padding mellom sidebar og logoer, og jeg skal finne en fiks på det. Det skal etter rett være et mellomrom der tilsvarende mellomrommet mellom de andre boksene.

    Og/å feil ja. Hehe, jeg har funnet ut at jeg har sett helt omvent på hvordan jeg skal bruke de to forkjellige. Kan tenke meg den feilen oppstår overalt hvor jeg bruker de to ordene.

    ref=$ref hadde jeg lagt merke til ja. Kult du nevner dem også. Det er faktisk ingenting annet enn meg selv som har klart og drite meg ut på noen lenker.

    Mye godt du kom med hvertfall. Jeg skal få orden på det meste før jeg på noen måte begynner med markedsføring av hele nettstedet.

    picxx:
    Jeg har sett litt på aldersgrenser på kampanjene hos Euroads i Norge, Sverige og Danmark og det finnes ganske bra med kampanjer man har lov og kjøre mot 13-åringer. Hehe, ja, jeg kan forstå at det er slike kampanjer som virkelig gir gode kroner. Kanskje det kan være noe for det neste prosjeketet jeg har. Det er et litt anderledes konsept som kan bruke scriptet kan du si, uten og nevne så mye mer. Noe slikt finnes ikke enda så vidt jeg vet. :)


    skogtrollet
    Hmm, der datt jeg litt av. Hvorfor bruke den på alle input som printes ut?

    olafmoriarty
    Oops, det hadde jeg ikke tenkt på selv heller. Takk! :D
     
  7. Mr Vest

    Mr Vest Sjefen over alle sjefer!

    Innlegg:
    2.079
    Da har jeg laget meg en liten liste basert på tilbakemeldingene jeg har fått, og tenker jeg jobber utfra dette her når jeg trykker litt i løpet av natta som kommer.

    - Legge til mer informasjon om hva brukeren må gjøre for og få gavekort.
    - Gjøre noen av oppgavene synlige for utloggede brukere.
    - Fikse linktrøbbel, $ref.
    - Sette aldersgrense på tjenesten til 16år.
    - Fikse opp i små oversettelser som enda ikke er på norsk.
    - Fikse på det design også for IE7.

    Jeg vurderer og ta bort hele fremsiden og heller legge til flagg inne på underdomenene. Deretter kan jeg jo også flytte bloggen til hoved-domenet istedenfor /blogg/. Kunne det blitt bedre? Hva tenker dere om det?
     
    Sist redigert: 19 Aug 2009
  8. olafmoriarty

    olafmoriarty Medlem

    Innlegg:
    751
    Det ville det nok. Men poenget mitt med det sitatet der var bare at på den aller første siden man kommer til når man går inn på siden, bør det ligge en god grunn til at jeg skal velge å gå videre og/eller registrere meg.
     
  9. skogtrollet

    skogtrollet Medlem

    Innlegg:
    208
    Ved å la javascript kjøres på nettsiden din, er det mulig å stjele andre brukere sin konto osv.

    Om du vil vite hvorfor det er slik må du belage deg på mye lesing. søk på "xss"
     
  10. Mr Vest

    Mr Vest Sjefen over alle sjefer!

    Innlegg:
    2.079
    olafmoriarty, takk igjen. Skal se om ikke jeg finner på noe greier når jeg begynner med det.

    skogtrollet, da var jeg litt mer med. Betyr det altså at koden der oppe vil nekte brukeren og kjøre Javascript i inputtene? Jeg får se litt nærmere på det etterhvert. Takk skal du ha for informasjonen. :)

    EDIT:
    Jeg bare må spørre deg Skogtrollet. Du skriver oppe at jeg må legge den til på inputs som printes ut? Mener du inputs som sender inn informasjon som f.eks "brukernavn" feltet i registreringskjemaet,? eller mener du også inputs som viser informasjonen som f.eks $ref helt nederst?
     
    Sist redigert: 19 Aug 2009
  11. skogtrollet

    skogtrollet Medlem

    Innlegg:
    208
    Når jeg sier input mener jeg alt et mennesket kan skrive på dine web skjemaer og via urls i GET. Hvis du skal printe ut denne informajsonen med f.eks. echo $yo, så må du huske å ta vekk html koder, og meta tegn som f.eks. " og '.

    Er det du som har skrevet php systemet på siden? Og ikke har peiling på sikkerhet?

    Da må du belage deg på en eller annen fjortiss som fucker opp nettsiden din en gang i fremtiden.
     
  12. Mr Vest

    Mr Vest Sjefen over alle sjefer!

    Innlegg:
    2.079
    Mhm, skjønner. Jeg begynte og lure på om det egentlig var nødvendig og legge til noe på informasjonen som blir printet ut skjønner du. :)

    Neida, scriptet er det ikke jeg som har laget, men jeg har en følelse av at sikkerheten allikevel ikke er helt på GH. På litt av sikkerheten benytter jeg meg også av passord som kan genereres og settes på mapper i cPanel. Sikkert ikke det beste av det beste, men bedre enn ingenting. Scriptet jeg bruker er en forholdsvis godt modifisert versjon av Getpaidscene Offers Engine. :)

    Takker for alle svarene her i tråden. Får se litt hvordan det hele utvikler seg. :)
     
  13. skogtrollet

    skogtrollet Medlem

    Innlegg:
    208
    Det har ingenting med cpanel å gjøre :p

    Det er sikkert fristende å bare drite i det jeg sier. Men jeg anbefaler deg virkelig å gjøre noe med det. Om siden din får noen hundre medlemmer, er det alltids en tosk med datakunnskaper som vil ødelegge.
     
  14. Mr Vest

    Mr Vest Sjefen over alle sjefer!

    Innlegg:
    2.079
    Jepp, jeg tar det du forteller alvorlig, skogtrollet, og jeg skal så absolutt gjøre det du har nevnt i tråden før jeg på noen måte markedsfører dette her. Slik jeg har forstått det ligger mesteparten av sikkerheten på områder hvor vi printer ut saker og ting, og også i inputs. Det er vel for det meste kun printing og inputs som går igjen på hele nettstedet. Backup er også noe som vil bli tatt forholdsvis ofte.

    cPanel nevne jeg mest fordi jeg bruker det som en ekstra sikkerhet for og få tilgang til områder hvor kun administrator skal ha tilgang. Jeg har ikke greie på sikkerhet, så tenker vel gjerne at alt som involverer et passord kan gjøre ting vanskeligere for "toskene" som vil ødelegge. :)
     
  15. Tonny Kluften

    Tonny Kluften Administrator

    Innlegg:
    15.966
    Og hvordan tar man vekk de?
     

Del denne siden