Geht eine Gefahr von Formularen aus?

QUOTE dass diese beiden User mal ihrer Meinung nach vernünftige Lösungsvorschläge bringen


Weiter oben stand 'Nach Mail Injection googlen'.

Macht man das, findet man sofort einen brauchbaren DrWeb-Text, der in einem Blog verlinkt ist und auf das eigentliche Problem - nämlich der Server als Mailschleuder - hinweist.


QUOTE ich kann aber kein php.


Dann verwende auch kein PHP-Script, dessen Konsequenzen dir offenkundig völlig unklar sind. Da genügt nämlich, wie bei DrWeb beschrieben, ein Fehler, um eine Mailschleuder zu gewinnen.
 
Wenn man die email Adresse fest in die mail() Funktion einbettet umgeht man schon mal ein paar mögliche Angriffsvarianten.

@linkbote

Mit ein paar Zeilen Code kann ich dir das Formular zumindest schon mal um einiges sicherer machen. Dazu hätte ich allerdings noch ein paar Fragen. Hast du ICQ?
 
Hallo
@QBFinest
Nein ich habe kein ICQ

@jAuer
QUOTE Dann verwende auch kein PHP-Script, dessen Konsequenzen dir offenkundig völlig unklar sind. Da genügt nämlich, wie bei DrWeb beschrieben, ein Fehler, um eine Mailschleuder zu gewinnen.

Das war mir bis vor ein paar Tagen noch nicht klar das so eine php Datei so reagiert.

Gruss
linkbote
 
@linkbote

Ich bearbeite gerade mal dein File und schicke es dann per email an dich zurück.


@jAuer

Ich dachte immer der Sinn eines Forums ist den Usern so gut es geht zu helfen. "Dann benutz kein PHP" ist wohl keine Hilfe.
 
QUOTE ch dachte immer der Sinn eines Forums ist den Usern so gut es geht zu helfen. "Dann benutz kein PHP" ist wohl keine Hilfe.


Wenn jemand das Recht beansprucht, Auto zu fahren, ohne die notwendigen Kenntnisse zu besitzen, dann wird er - zu Recht - aus dem Verkehr gezogen, weil er eine Bedrohung für andere ist.

Wenn jemand einen weltweit zugänglichen Server betreibt, der auch weltweit Hacker anzieht und PHP-Scripte einsetzt, ohne sich über die Tragweite im Klaren zu sein, dann sollte er genauso aus dem Verkehr gezogen werden, anstatt da noch daran herumzuflickschustern.

Und wird diese Einsicht durch Hilfe 'verkleistert', dann ist die Hilfe das Problem.

PS: Die hartcodierte Mail löst das Problem gerade nicht, dafür sind dann zwei Personen für die Mailschleuder verantwortlich.
 
Ist mir auch klar, das ist auch sicher nicht die einzige Änderung die ich vornehmen werde, die mail() Funktion fliegt sowieso raus.

Und der Vergleich mit dem Auto fahren is echt ein bisschen sehr weit hergeholt. Das Internet baut ja gerade darauf auf, dass auch Personen die vielleicht nicht Programmieren können trotzdem wertvolle Informationen zur Verfügung stellen können. Und das Problem sind nicht die Sicherheitslücken, sondern die Leute die sie mißbrauchen.
 
Damit die Bots keine hart codierten E-Mail Adressen finden, benutze ich seit Jahren dieses kleine Script:

CODE // copy in each /web/site/XXX/jscript/mailsend.js

function mailsend(mail,p1,p2,p3,p4) {
var ca;
ca = "mailto:" + p2 + p3 + "\@" + p4 + p1;
mail.href = ca;
return (1);
}


Die hart codierte Adresse und der Aufruf sehen dann so aus:

CODE <script src='msend.js' language='JavaScript1.2' type='text/javascript'></script>
...
<a href="mailto:hidden.com" onClick="mailsend(this,'.net','web','master','lafouly');">Webmaster</a>


Dies ist für die Bots schon ein wenig schwieriger zu finden. Und falls nötig, kann man ganz einfach noch ein paar p Parameter dazufügen und das ganze durcheinandermixen.

Cheers, René
 
Mich hatte es vor einiger Zeit erwischt. Mein Kontaktformular war ziemlich offen und wurde plötzlich massiv zum Spammen mißbraucht. Mal abgesehen von den unzähligen Rückläufern die ich zu verarbeiten hatte bin ich nun auch bei AOL auf der Blacklist ...
Inzwischen ist das Formular abgedichtet, aber hat jemand ne Ahnung wie aus der Blacklist komme? Ich meine, ohne dieses blödsinnige gehabe mit den neuen "Mailtarifen" ... *g*
 
QUOTE (Themenmixer @ Do 9.2.2006, 13:25) [...]
Inzwischen ist das Formular abgedichtet, aber hat jemand ne Ahnung wie aus der Blacklist komme? Ich meine, ohne dieses blödsinnige gehabe mit den neuen "Mailtarifen" ... *g*

Eine E-Mail an die Verwalter der Liste schicken und den Vorfall erklären. Das wäre zumindestens meine erste Vorgehensweise.



MfG Sascha Ahlers
 
Sie müssen sich einloggen oder registrieren, um hier antworten zu können.
Zurück
Oben