Pascal: Formular über CGI an Email schicken: sicher?

Hallo Forum!

Emails sind bekanntlich so sicher wie Postkarten. Was ist jedoch, wenn ich ein Formular über eine SSL-geschützte Webseite an eine Emailadresse per CGI-Script send(mail)e?

Kann man diese Datei einsehen?

Kann man diese einsehen, wenn Sie abgerufen wird? Wenn ja, kann man auch beim Abrufen von Emails eine sichere Verbindung aufbauen?

Erhält man üblicherweise ausgewertete Formulare einer Webseite per Email - oder gibt es einen anderen (sichereren) Weg?

Danke und schönen Feiertag,

Pascal

  1. Hallo Pascal!

    Emails sind bekanntlich so sicher wie Postkarten. Was ist jedoch, wenn ich ein Formular über eine SSL-geschützte Webseite an eine Emailadresse per CGI-Script send(mail)e?

    Dann ist die erste Hälfte der Übertragung sicher. (Also nix gewonnen, ausser das der Surfer glaubt du hättest dich drum gekümmert.)

    Durchaus denkbar (und IMHO sicher) ist es, die Übertragung zwischen Web-Server und Browser mit SSL zu sichern, und die Daten dann als PGP-verschlüsselte Mail zu verschicken. Die PGP-Verschlüsselung erfolgt dabei auf dem Web-Server, die Daten können dann nur mitgelesen werden wenn der Webserver selbst kompromitiert ist.

    Gruss,
     Carsten

    1. Hallo Carsten,

      Durchaus denkbar (und IMHO sicher) ist es, die Übertragung zwischen Web-Server und Browser mit SSL zu sichern, und die Daten dann als PGP-verschlüsselte Mail zu verschicken. Die PGP-Verschlüsselung erfolgt dabei auf dem Web-Server, die Daten können dann nur mitgelesen werden wenn der Webserver selbst kompromitiert ist.

      Wie mache ich das, bzw. wo kann ich mich informieren, wie das funktioniert?

      Danke,

      Pascal

  2. Hallo Pascal, hallo Forum,

    Erhält man üblicherweise ausgewertete Formulare einer Webseite per Email - oder gibt es einen anderen (sichereren) Weg?

    Denkbar wäre auch folgender Weg:

    • Besucher füllt ein Formular aus,
    • Formulardaten werden über sichere Verbindung verschickt und vom Script verarbeitet,
    • Die Daten werden vom Script danach in einem sicheren Bereich (z.B. nicht über http erreichbar oder in einem htaccess-geschütztem Bereich) abgelegt,
    • der potentielle Empfänger bekommt eine eMail mit der Nachricht, dass jemand dieses Formular ausgefüllt hat (natürlich ohne die vertraulichen Daten in der Mail),
    • der Empfänger ruft ebenfalls über eine sichere Verbindung ein Script auf, dass ihm die Daten des Besuchers wieder preisgibt,
    • eventuell können die Daten nach der Ansicht wieder gelöscht werden.

    So sollte das doch auf beiden Seiten sicher sein, oder? Ich mache das jedenfalls bei bestimmten Sachen (z.B. Katalogbestellungen etc.) nach diesem Muster...

    Grüße aus dem Oberharz,

    Florian

  3. Hallo,

    Ich habe im Outlook Optionen wie Verschlüsselung und sichere Verbindung entdeckt. Ist es nicht möglich mit diesen Optionen zu arbeiten?

    Pascal

    1. Hallo Pascal,

      Ich habe im Outlook Optionen wie Verschlüsselung und sichere Verbindung entdeckt. Ist es nicht möglich mit diesen Optionen zu arbeiten?

      Ja, nur nützt dir das nichts:

      Browser<----[SSL]----->WebServer<----[Klartext]---->MailServer<----Klartext---->MailServer<----[sicheresPop]---->OutlookExpress

      Wie du siehst ist die Mail hier unverschlüsselt über (typischerweise) zwei Mailserver unterwegs.

      Gruss,
        Carsten