hallo

wie kann ich die logs von meinem apache entschluesseln.
speziell geht es um die refere zeile.

z..B:


GET /blog/seite HTTP/1.1" 200 3599 "http://www.xxxx.de/a=t&rct=j&q=&esrc=s&frm=1&source=web&cd=2&cad=rja&ved=0CDQQFjAB&url=http%3A%2F%2Fwww.xxx.de%2Fblog%2Fi=7tZkUrbqH-Ht0gWeioH4DA&usg=AFQjCNHOjFqg74eE36yDFwtdk3YMRubzNg&bvm=bv.54934254, ... client"


wie finde ich herraus, ueber welche seite bzw. mit welchen parameter der besucher kommt.
die absender seite benutzt https...

gibt es eine moeglioch das zu entschluesseln?

danke

Ich bin mir nicht sicher was du entschlüsseln möchtest.

Der Referrer in diesem Fall ist "http://www.xxxx.de/a=t&[...]"
Die einzelnen Parameter darunter sind urlencoded.

Meinst du den Parameter "url"? Dieser ist codiert
"http%3A%2F%2Fwww.xxx.de%2Fblog%2Fi=[...]"

PHP liefert hier ein paar nette Funktionen, unter anderen urldecode. Dieses liefert als Parameter "url" des Referers:
http://www.xxx.de/blog/i=7tZkUrbqH-Ht0gWeioH4DA

Ich bin mir nicht sicher was du entschlüsseln möchtest.

Der Referrer in diesem Fall ist "http://www.xxxx.de/a=t&[...]"
Die einzelnen Parameter darunter sind urlencoded.


in meinen apache log tauschen folgende referrer auf;

unverschlüsselt:


GET /blog/... HTTP/1.1" 200
3431 http://www.xxxx.com/url?sa=t&rct=j&q=debian%20dateizugriff
"Mozilla....

verschluesselt:


GET /blog/... HTTP/1.1" 200
3431 "http://www.xxxx.de/url?sa=t&rct=j&q=&esrc=s&source=web&cd=4&cad=rja&ved=0CEkQFjAD ......
"Mozilla...."


mir geht es um den dick makierten string.

wie kann ich den entschluesseln?

das sind die suchanfragen von google.de ueber https

danke

Aus meiner Sicht haben die zwei URL's überhaupt nichts miteinander zu tun. Damit meine ich, der zweite ist keine verschlüsselte Version des ersten.

Der erste URL sagt einfach das

Array
(
[sa] => t
[rct] => j
[q] => debian dateizugriff
)

Der zweite URL:

Array
(
[sa] => t
[rct] => j
[q] =>
[esrc] => s
[source] => web
[cd] => 4
[cad] => rja
[ved] => 0CEkQFjAD
)

Aufgeschlüsselt per parse_str (PHP)

Aus meiner Sicht haben die zwei URL's überhaupt nichts miteinander zu tun. Damit meine ich, der zweite ist keine verschlüsselte Version des ersten.


stimmt!

ziel ist es herrauszufinden, mit welchen woerter die verschluesselte suchanfrage auf die seite gekommen ist.

1, version = debian dateizugriff
2. version = ????

wie gesagt, das sind suchanfragen von google per https, also verschluesselt.

Jetzt wird mir langsam klar was das Problem ist ^^

Bei vielen Referrern von Google kommt der Suchparameter garnicht mit bzw. nicht so einfach(?).
Diese Seite hier könnte interessant sein. Ich habe sie mir noch nicht komplett durchgelesen aber da ist schon einiges "versteckt":

http://moz.com/blog/decoding-googles-referral-string-or-how-i-survived-secure-search