DocCheck Passwortprüfung in die eigene Webseite einbauen

DocCheckEntgegen der allgemeinen Meinung ist das DocCheck-Passwort zur Überprüfung ob ein Webseitenbesucher vertrauenswürdig und nachweislich einer medizinischen Berufsgruppe angehört kostenlos in die eigene Webseite integrierbar. Das Anlegen eines eigenen DocCheck-Accounts ist natürlich eh kostenfrei.

Das Anmeldeprozedere dauert online nur ca. 5 Minuten und man bekommt nach Angabe der eigenen Daten (Firma, Name, Adresse, Email) sowie der Domain (Hauptseite, Login-URL, Success-URL) unverzüglich eine Email mit einem Hyperlink gemailt. Dieser enthält dann Beispiel-HTML-Code den man sehr einfach und schnell in seine eigene Webseite einbauen kann.

Beispielhaft könnt ihr das mal hier testen:
http://www.cpoe.de/dc/index.php

Was passiert im Detail:

Auf der Login-Seite wird das DocCheck-Passwort abgefragt. Wenn dieses falsch ist, vergessen wurde oder wenn man noch keinen DocCheck-Account hat, dann kann man diesen über die jeweiligen Seiten von DocCheck abhandeln – das muss man also nicht selbst programmieren.

Wenn der Login erfolgreichwar, ruft DocCheck im Webbrowser die Success-URL auf und übergibt dabei zwei GET-Parameter.

Was man nun selbst programmieren muss:

1. Wenn die GET-Parameter gesetzt sind, dann muss der Referer natürlich DocCheck gewesen sein, sonst ist das ein gefakter Login, also umleiten auf die Login-Seite

2. Wenn die GET-Parameter gesetzt sind, dann muss der Timestamp gültig sein (das ist ein Unix-Timestamp – der sollte z.B. nicht in der Zukunft liegen und z.B. nicht älter als 10 Sekunden sein). Wenn nicht, umleiten auf Login-Seite.

3. Wenn die GET-Parameter gesetzt sind und man diesen vertraut sollte man z.B. in einer Session speichern das der Login erfolgreich war.

4. Auf allen schützenswerten (Unter-)Seiten der eigenen Domain müssen nun natürlich auch jeweils Prüfungen erfolgen: Ist die Session-Variable für den erfolgreichen Login gesetzt, dann ist alles ok und man kann den Inhalt der Seite anzeigen. Ansonsten einfach wieder umleiten auf die Login-Seite

5. Natürlich sollte man auch noch eine Logout-Seite machen. Die killt eben einfach die Session-Variable.

6. Die Seite, die die GET-Parameter auswertet sollte ggf. auf sich selbst weiterleiten – header(‘location: ziel.php’); – damit die GET-Parameter dem Enduser im Webbrowser nicht ersichtlich sind – sonst ist es einfach sofort klar, das man hier “faken” könnte.

Jepp, das bedeutet, dass das nicht “unhackbar” ist – man kann diesen Schutzmechanismus relativ einfach knacken, aber es ist kostenlos und funktionabel genug für Webseitenbetreiber die aufgrund gesetzlicher Vorgaben eine Zugangsbeschränkung auf medizinisches Fachpersonal benötigen und keine eigene Benutzerverwaltung benötigen.

Auch ist das ganze so simpel für Programmierer / WebDesigner – geringste PHP/HTML-Kenntnisse sollten ausreichen um ein Erfolgserlebnis zu haben.

Der Trick die GET-Parameter zu verstecken sowie den Referer zu prüfen erschwert es natürlich deutlich das “Ottonormalverbraucher” dieses Sicherheitssystem umgehen könnte.

Bin schon auf euer Feedback sowie Eure Ideen gespannt…

…falls Ihr das selbst ausprobiert würde ich mich freuen wenn Eure Websites als Hyperlink hier unten in den Kommentaren auftauchen würden.

Das DocCheck-Anmeldeformular findet sich übrigens hier.

3 thoughts on “DocCheck Passwortprüfung in die eigene Webseite einbauen

  • Welche Parameter kann man denn dafür verwenden?

    Ist das Verfahren auch mit Joomla 1.5 (CMS) realisierbar, wenn ja gibt es da ne Anleitung dafür?

  • hallo, kann man das ganze nicht auch mit der POST-methode verarbeiten? dann würde man ja auch das problem mit den variablen in der adressleiste umgehen..? und haben sie erfahrung mit der einbindung in ein wordpress system?

Leave a Reply

Your email address will not be published. Required fields are marked *