sicherer formmailer

hover · 30.10.06

ich hab auf meiner homepage einen relativ einfachen php formmailer, über den mir jemand diverse Infos zulassen kann.
Seit einiger Zeit bekomme ich nun jeden Tag eine Email, bei der die ganzen Formularfelder mit irgendwelchen blöden Spam-URLS vollgeschrieben sind.
Ich vermute, daß es sich dabei um Skripts handelt, die alles ausfüllen, was sie finden.

Wie kann ich dem entgegenwirken? Kennt jemand eine einfache php Lösung für etwas mehr Sicherheit?

MACRASSI · 30.10.06

Du könntest per Zufall eine Zahlen folge generieren lassen und speichern.
Dann diese Zahl auf der Formmailer Seite ausgeben und den Leuten schreiben, sie sollen diese Zahl in ein Feld schreiben.
Und wenn sie es abschicken und die Zahl nicht mit der gespeicherten Zahl übereinstimmt, wird die Mail nicht zugestellt.
(ist so wie mit den Bildern)

Gruß Rasmus

Sir Q · 30.10.06

Das Lösungswort heißt Captcha und wird in der Regel als Bild mit einer Buchstaben-Zahlenfolge realisiert, welches nicht durch OCR-Software gelesen werden kann aber vom Menschen, und erstaunlicherweise wird das auch schon gemacht, in dem vermeidliche Porno-Anbieter die Captchas fremder Seiten tunneln, den User zur Freischaltung des Bildes den Captcha vorlegen und der Mensch diesen einträgt - die Angreifer-Seite tunnelt zurück, schreibt Spam in das Gästebuch und der User sieht ein nicht jugendfreies Bild - für das nächste muß er wieder so eine zahlenkombination eintippen, aber dafür ist es halt kostenlos - es gibt einige unterschiedliche implementierungen und mann schreibt entweder was eigenes (ich hab z.B. ein Captcha-Mechanismus geschrieben, der auch von Braile-Tastaturen gelesen werden kann) oder mann passt auf, was man verwendet (z.B. darauf, dass nicht im Dateinamen des Bildes der Zahlencode enthalten ist, der abgefragt werden soll) ...

hover · 30.10.06

danke für die Infos, das hilft mir weiter.

Grüße

hover · 10.12.06

Nach längerer Recherche habe ich einen sehr guten opensource formmailer gefunden. Der lässt sich sehr leicht anpassen und ist sehr sicher. Da ich lange gesucht habe, weil sehr viel angeboten wird, und vieles davon nur mit umfassendem gefrickel verwendbar ist, poste ich den link zu dem tollen formmailer mal hier.

http://www.hoerandl.com/demo/b4yformmailer2.php

Hilarious · 10.12.06

hover, ich habe als »böser Mensch« gleich eine Anmerkung zum gefundenen Formmailer: Die Zahlen, die dort als Grafiken erscheinen, enthalten alle den eigenen Wert im Dateinamen. Das ist natürlich nicht die Idee bei einem Captcha, da man hier, um es zu »knacken« nicht einmal die Bilderkennung bemühen muss. Es reicht leider ein Blick in den Quelltext.
Zahl 1, »b4y_1.gif«:

http://www.hoerandl.com/demo/B4YFormmailer2/security/images/b4y_1.gif

Zahl 2, »b4y_2.gif«:

http://www.hoerandl.com/demo/B4YFormmailer2/security/images/b4y_2.gif

Zahl 3, »b4y_3.gif«:

http://www.hoerandl.com/demo/B4YFormmailer2/security/images/b4y_3.gif

Wenn Du diesen Mailer verwendest, verlass Dich auf diese Spielerei bitte in keiner Weise.

Ich denke, wir sollten an dieser Stelle einfach mal einen kleinen Workshop zum Thema in diesem Forum machen (ich glaube, hier ist das ein How-To). Ich werde mal versuchen, so etwas beizusteueren (wobei man Form-Mailer und CAPTCHA auftrennen sollte), einverstanden?

hover · 10.12.06

Hallo Hilarious,
dadurch bist du doch kein böser Mensch. Ich finde Kritik immer gut, wenn sie konstruktiv und nicht zerstörerisch ist

In der Tat scheint die optische Abfrage dieses formmailers nicht der Sicherheits-Hit. Darauf kam es mir aber nicht unbedingt an.

Also ich habe mich mit meinem Hoster unterhalten, und der hat gesagt, daß das Captchazeug alleine auch keine ausreichende Sicherheitsmaßnahme ist.
Am besten und am sichersten sei es, wenn man einen formmailer benütze, der die Felder überprüft, der die e-mail Adresse auf Gültigkeit prüft und der in der Lage ist IPs zeitabhängig zu sperren. Wenn so ein formmailer also gut geschrieben ist, dann ist man auch nicht vom so sehr vom captcha abhängig. All das kann der genannte formmailer.

Seit ich den genannten formmailer verwende bekomme ich jedenfalls keine spam mails mehr, und das obwohl ich die optische Sicherheitsabfrage deaktiviert habe.

Hilarious · 10.12.06

Freut mich, wenn es hilft

fruitbasket · 03.01.07

Es hilft oft schon, einfach ein hidden-field einzubauen und dann im Script abzufragen, ob der Wert geändert worden ist. Viele Angreifer füllen einfach *alle* Felder blidn aus, und machen auch vor versteckten Angaben kein halt.

Wenn das Feld dann noch einen Namen wie "address" oder so hat dürfte es besodners reizvoll sein für den Angreifer ...

kauan · 03.01.07

Hallo allerseits

fruitbasket schrieb:
Es hilft oft schon, einfach ein hidden-field einzubauen und dann im Script abzufragen, ob der Wert geändert worden ist. Viele Angreifer füllen einfach *alle* Felder blidn aus, und machen auch vor versteckten Angaben kein halt.

Wenn das Feld dann noch einen Namen wie "address" oder so hat dürfte es besodners reizvoll sein für den Angreifer ...

Das mag ja wieder ein paar Bots hindern, ist aber wohl auch nicht sicher.

Mit diesem Abtippen von Zahlen/Buchstaben, okay, Captcha scheint das zu heissen

, machte ich bisher auch nur schlechte Erfahrungen. Zwar habe ich selbst noch nie so ein Teil geschrieben (weil ich die Methode schlecht finde), doch hat sich ein solches Ding in meinem phpBB-Forum ueberhaupt nicht bewaehrt. Dort nahm die Anzahl der User-Registrationen durch Bots kein bisschen ab, als ich diese Visual Confirmation, wie sie dort heisst, aktivierte.
Abgesehen davon, dass die Eingabe eines solchen Textes wohl nicht alle Bots verhindert, habe ich regelmaessig muehe, einen solchen Text korrekt abzulesen. Und das kann doch nicht das Ziel sein.

Ich denke wirksam ist es, wenn das Problem – wie auch bei der Verschluesselung von E-Mail-Adressen à la user at example dot com – von allen ein bisschen anders geloest wird. Wenn alle denselben JavaScript-Verschluesselungsalgorithmus verwenden wuerden, dann koennte man diesen ganz einfach knacken. Wenn aber (beinahe) jeder sein Script selbst schreibt und jeder das Problem des Spams ein bisschen anders angeht, ist die Wahrscheinlichkeit wohl am hoechsten, dass es klappt. Natuerlich ist das eine ueble Symptombekaempfung, aber anders geht es wohl nicht...

Eine Loesung des Problems, die ich lustig finde, ist folgende. Man zeigt drei zufaellige Bilder, und der User soll danach zum Beispiel angeben, auf welchem Bild sich die Kuh befindet (1, 2, 3). Leider schliesst diese Loesung Leute aus, die nichts oder nicht gut sehen koennen.

gruss
Jonathan

Suche

Suche

sicherer formmailer

hover

Auralia

MACRASSI

Gelbe Schleswiger Reinette

Sir Q

Rheinischer Winterrambour

hover

Auralia

hover

Auralia

Hilarious

Gelbe Schleswiger Reinette

hover

Auralia

Hilarious

Gelbe Schleswiger Reinette

fruitbasket

Jonagold

kauan

Stina Lohmann

Wir schützen Ihre Privatsphäre

Informationen auf einem Gerät speichern und/oder abrufen

Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen (Optionale Cookies)

Datenübermittlung an Partner in anderen Staaten (Drittanbieter-Cookies)