1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

sicherer formmailer

Dieses Thema im Forum "Web-Programmierung" wurde erstellt von hover, 30.10.06.

  1. hover

    hover Auralia

    Dabei seit:
    20.12.05
    Beiträge:
    199
    ich hab auf meiner homepage einen relativ einfachen php formmailer, über den mir jemand diverse Infos zulassen kann.
    Seit einiger Zeit bekomme ich nun jeden Tag eine Email, bei der die ganzen Formularfelder mit irgendwelchen blöden Spam-URLS vollgeschrieben sind.
    Ich vermute, daß es sich dabei um Skripts handelt, die alles ausfüllen, was sie finden.

    Wie kann ich dem entgegenwirken? Kennt jemand eine einfache php Lösung für etwas mehr Sicherheit?
     
  2. MACRASSI

    MACRASSI Gelbe Schleswiger Reinette

    Dabei seit:
    21.11.04
    Beiträge:
    1.754
    Du könntest per Zufall eine Zahlen folge generieren lassen und speichern.
    Dann diese Zahl auf der Formmailer Seite ausgeben und den Leuten schreiben, sie sollen diese Zahl in ein Feld schreiben.
    Und wenn sie es abschicken und die Zahl nicht mit der gespeicherten Zahl übereinstimmt, wird die Mail nicht zugestellt.
    (ist so wie mit den Bildern)

    Gruß Rasmus
     
  3. Sir Q

    Sir Q Rheinischer Winterrambour

    Dabei seit:
    12.04.05
    Beiträge:
    921
    Das Lösungswort heißt Captcha und wird in der Regel als Bild mit einer Buchstaben-Zahlenfolge realisiert, welches nicht durch OCR-Software gelesen werden kann aber vom Menschen, und erstaunlicherweise wird das auch schon gemacht, in dem vermeidliche Porno-Anbieter die Captchas fremder Seiten tunneln, den User zur Freischaltung des Bildes den Captcha vorlegen und der Mensch diesen einträgt - die Angreifer-Seite tunnelt zurück, schreibt Spam in das Gästebuch und der User sieht ein nicht jugendfreies Bild - für das nächste muß er wieder so eine zahlenkombination eintippen, aber dafür ist es halt kostenlos - es gibt einige unterschiedliche implementierungen und mann schreibt entweder was eigenes (ich hab z.B. ein Captcha-Mechanismus geschrieben, der auch von Braile-Tastaturen gelesen werden kann) oder mann passt auf, was man verwendet (z.B. darauf, dass nicht im Dateinamen des Bildes der Zahlencode enthalten ist, der abgefragt werden soll) ...
     
    Bonobo und hover gefällt das.
  4. hover

    hover Auralia

    Dabei seit:
    20.12.05
    Beiträge:
    199
    danke für die Infos, das hilft mir weiter.

    Grüße
     
  5. hover

    hover Auralia

    Dabei seit:
    20.12.05
    Beiträge:
    199
    Nach längerer Recherche habe ich einen sehr guten opensource formmailer gefunden. Der lässt sich sehr leicht anpassen und ist sehr sicher. Da ich lange gesucht habe, weil sehr viel angeboten wird, und vieles davon nur mit umfassendem gefrickel verwendbar ist, poste ich den link zu dem tollen formmailer mal hier.

    http://www.hoerandl.com/demo/b4yformmailer2.php
     
    abstarter gefällt das.
  6. Hilarious

    Hilarious Gelbe Schleswiger Reinette

    Dabei seit:
    10.08.05
    Beiträge:
    1.759
    hover, ich habe als »böser Mensch« gleich eine Anmerkung zum gefundenen Formmailer: Die Zahlen, die dort als Grafiken erscheinen, enthalten alle den eigenen Wert im Dateinamen. Das ist natürlich nicht die Idee bei einem Captcha, da man hier, um es zu »knacken« nicht einmal die Bilderkennung bemühen muss. Es reicht leider ein Blick in den Quelltext.
    Zahl 1, »b4y_1.gif«:
    [​IMG]
    http://www.hoerandl.com/demo/B4YFormmailer2/security/images/b4y_1.gif

    Zahl 2, »b4y_2.gif«:
    [​IMG]
    http://www.hoerandl.com/demo/B4YFormmailer2/security/images/b4y_2.gif

    Zahl 3, »b4y_3.gif«:
    [​IMG]
    http://www.hoerandl.com/demo/B4YFormmailer2/security/images/b4y_3.gif

    Wenn Du diesen Mailer verwendest, verlass Dich auf diese Spielerei bitte in keiner Weise.

    Ich denke, wir sollten an dieser Stelle einfach mal einen kleinen Workshop zum Thema in diesem Forum machen (ich glaube, hier ist das ein How-To). Ich werde mal versuchen, so etwas beizusteueren (wobei man Form-Mailer und CAPTCHA auftrennen sollte), einverstanden?
     
  7. hover

    hover Auralia

    Dabei seit:
    20.12.05
    Beiträge:
    199
    Hallo Hilarious,
    dadurch bist du doch kein böser Mensch. Ich finde Kritik immer gut, wenn sie konstruktiv und nicht zerstörerisch ist :)
    In der Tat scheint die optische Abfrage dieses formmailers nicht der Sicherheits-Hit. Darauf kam es mir aber nicht unbedingt an.

    Also ich habe mich mit meinem Hoster unterhalten, und der hat gesagt, daß das Captchazeug alleine auch keine ausreichende Sicherheitsmaßnahme ist.
    Am besten und am sichersten sei es, wenn man einen formmailer benütze, der die Felder überprüft, der die e-mail Adresse auf Gültigkeit prüft und der in der Lage ist IPs zeitabhängig zu sperren. Wenn so ein formmailer also gut geschrieben ist, dann ist man auch nicht vom so sehr vom captcha abhängig. All das kann der genannte formmailer.

    Seit ich den genannten formmailer verwende bekomme ich jedenfalls keine spam mails mehr, und das obwohl ich die optische Sicherheitsabfrage deaktiviert habe.
     
    #7 hover, 10.12.06
    Zuletzt bearbeitet: 10.12.06
  8. Hilarious

    Hilarious Gelbe Schleswiger Reinette

    Dabei seit:
    10.08.05
    Beiträge:
    1.759
    Freut mich, wenn es hilft :)
     
  9. fruitbasket

    fruitbasket Jonagold

    Dabei seit:
    03.01.07
    Beiträge:
    18
    Es hilft oft schon, einfach ein hidden-field einzubauen und dann im Script abzufragen, ob der Wert geändert worden ist. Viele Angreifer füllen einfach *alle* Felder blidn aus, und machen auch vor versteckten Angaben kein halt.

    Wenn das Feld dann noch einen Namen wie "address" oder so hat dürfte es besodners reizvoll sein für den Angreifer ...
     
  10. kauan

    kauan Stina Lohmann

    Dabei seit:
    31.12.05
    Beiträge:
    1.043
    Hallo allerseits

    Das mag ja wieder ein paar Bots hindern, ist aber wohl auch nicht sicher.

    Mit diesem Abtippen von Zahlen/Buchstaben, okay, Captcha scheint das zu heissen :), machte ich bisher auch nur schlechte Erfahrungen. Zwar habe ich selbst noch nie so ein Teil geschrieben (weil ich die Methode schlecht finde), doch hat sich ein solches Ding in meinem phpBB-Forum ueberhaupt nicht bewaehrt. Dort nahm die Anzahl der User-Registrationen durch Bots kein bisschen ab, als ich diese Visual Confirmation, wie sie dort heisst, aktivierte.
    Abgesehen davon, dass die Eingabe eines solchen Textes wohl nicht alle Bots verhindert, habe ich regelmaessig muehe, einen solchen Text korrekt abzulesen. Und das kann doch nicht das Ziel sein.

    Ich denke wirksam ist es, wenn das Problem – wie auch bei der Verschluesselung von E-Mail-Adressen à la user at example dot com – von allen ein bisschen anders geloest wird. Wenn alle denselben JavaScript-Verschluesselungsalgorithmus verwenden wuerden, dann koennte man diesen ganz einfach knacken. Wenn aber (beinahe) jeder sein Script selbst schreibt und jeder das Problem des Spams ein bisschen anders angeht, ist die Wahrscheinlichkeit wohl am hoechsten, dass es klappt. Natuerlich ist das eine ueble Symptombekaempfung, aber anders geht es wohl nicht...

    Eine Loesung des Problems, die ich lustig finde, ist folgende. Man zeigt drei zufaellige Bilder, und der User soll danach zum Beispiel angeben, auf welchem Bild sich die Kuh befindet (1, 2, 3). Leider schliesst diese Loesung Leute aus, die nichts oder nicht gut sehen koennen.

    gruss
    Jonathan
     

Diese Seite empfehlen