nicht angemeldet
Sicherheit - Spam - Formmailer
Hallo zusammen,
ich weiß, daß es zum Teil starke Vorbehalte gegen den Formmailer.pl gibt. Ich habe auch etwas im Forum gesucht, aber nicht wirklich was Dolles gefunden. Sofern ich was übersehen habe, bitte ich um Hinweis.
Ich möchte "nur" folgende Fragen stellen:
Wenn ich in das Formmailerformular-script (doppeltgemoppelt?) [hier nicht die im Netz sichtbare "Kontakformulardatei.php/.shtml!] die Empfängeradresse eingebe bzw. ggf. sogar verschlüssele, wie können Spamer dann dieses Formular nutzen (eventl. ändern), um ihren Mist zu verbreiten, d.h. außer die Empfangsadresse auch andere Accounts belegen? Es ist doch nur die Empfangsadresse da?
Mir sagte man, daß ich "vorgeben muß", wer alles als "recipent" infrage kommen soll, hm.
Bei der uni-bonn habe ich gelesen, daß als Eindämmung
1. die Datei mit *.shtml enden soll
2. das Formular auf einem Server der Domain uni-bonn.de liegen muß
3. die Empfangsadresse in der Domain uni-bonn.de liegen muß.
http://www.rhrz.uni-bonn.de/service/server-dientste/webhosting_fuer_eigene_webseite.htm
Reicht das allein aus? Wie gesagt, mir ist etwas schleierhaft, wie die Spamer dieses Formular mißbrauchen können, wenn doch ohnehin "nur" die Empfangsadresse vorgegeben ist/wird. So ein Kontaktformular nutze ich doch nur, daß man mir was schreibt und nicht irgendwem.
Eine Hilfestellung wäre sehr freundlich.
Danke & Gruß
Dirk
-
hi,
Wie gesagt, mir ist etwas schleierhaft, wie die Spamer dieses Formular mißbrauchen können, wenn doch ohnehin "nur" die Empfangsadresse vorgegeben ist/wird.
wenn die empfängeradresse im klartext per formular angegeben wird - wer sollte dann den spammer daran hindern, hierfür eine andere, beliebige emailadresse zu übergeben?
So ein Kontaktformular nutze ich doch nur, daß man mir was schreibt und nicht irgendwem.
ja, du - der spammer aber nicht.
gruß,
wahsaga--
"Look, that's why there's rules, understand? So that you _think_ before you break 'em."-
Hello,
wenn die empfängeradresse im klartext per formular angegeben wird - wer sollte dann den spammer daran hindern, hierfür eine andere, beliebige emailadresse zu übergeben?
So ein Kontaktformular nutze ich doch nur, daß man mir was schreibt und nicht irgendwem.
ja, du - der spammer aber nicht.
Viel schlimmer noch ist die die Injizierbarkeit des Formmailers über
- subjekt
- from
- toalso alle Parameter, die in die Header eigehen.
Im Prinzip kann man jeden Formmailer missbrauchen, der eine Usereingabe ungeparst und unkastriert in die Header der Mail übernimmt.
Harzliche Grüße aus http://www.annerschbarrich.de
Tom
--
Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
Nur selber lernen macht schlau-
Viel schlimmer noch ist die die Injizierbarkeit des Formmailers über
- subjekt
- from
- toalso alle Parameter, die in die Header eigehen.
Im Prinzip kann man jeden Formmailer missbrauchen, der eine Usereingabe ungeparst und unkastriert in die Header der Mail übernimmt.
Tach nochmals,
Hm, das enttäuscht mich natürlich nun schon etwas.
Okay, ihr habt jetzt erklärt, wie die Spamer vorgehen.
Könntest Du
"...ungeparst und unkastriert in die Header der Mail übernimmt..." etwas genauer spezifizieren ggf. Hinweise geben?Was haltet ihr von den "Vorschlägen" der Uni Bonn bzw. von meinem Plan?
Gruß Dirk
-
Hello,
Hm, das enttäuscht mich natürlich nun schon etwas.
Okay, ihr habt jetzt erklärt, wie die Spamer vorgehen.
Könntest Du
"...ungeparst und unkastriert in die Header der Mail übernimmt..." etwas genauer spezifizieren ggf. Hinweise geben?Was haltet ihr von den "Vorschlägen" der Uni Bonn bzw. von meinem Plan?
Die Vorschläge kenne ich nicht.
Deinen Plan habe ich auch nicht verinnerlicht.Die Header der eMail kann man sich praktisch anschauen in einer fertig erstellten z.B. aus Outlook Express oder auch theoretisch in den RFCs zum Thema MIME Mail (hier im Archiv danach suchen).
Alles, was nicht im Body steht, steht quasi im Header.
Der Body teilt sich dann wieder auf in Content und automatisch zu generierende Subheader. da die aber automatisch generiert werden müssen, sollten sie auch "sauber" sein.
Harzliche Grüße aus http://www.annerschbarrich.de
Tom
--
Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
Nur selber lernen macht schlau
-
-
-
wenn die empfängeradresse im klartext per formular angegeben wird - wer sollte dann den spammer daran hindern, hierfür eine andere, beliebige emailadresse zu übergeben?
Hallo,
aha, das ist dann natürlich was anderes. Hm. Ich hatte eigentlich auch nicht vor, die Adresse(n) in das Kontakformular reinzuschreiben, sondern in die .pl-Datei, die im cgi-Verzeichnis ist. Also so mein Plan. In das Kontakformular käme bloß "irgendein" Zeichen, welches ich dann in der anderen Datei genauer definiere. Sofern dies so hinhauen würde: Könnte er es dann dennoch mißbrauchen? Dann dürfte es theoretisch gar keine Kontakformulare geben, weil dort jeder Spamer diese Formulare mißbrauchen und irgendwelche Adresse eingegeben könnte?
Gruß
-
Hello,
aha, das ist dann natürlich was anderes. Hm. Ich hatte eigentlich auch nicht vor, die Adresse(n) in das Kontakformular reinzuschreiben, sondern in die .pl-Datei, die im cgi-Verzeichnis ist. Also so mein Plan. In das Kontakformular käme bloß "irgendein" Zeichen, welches ich dann in der anderen Datei genauer definiere. Sofern dies so hinhauen würde: Könnte er es dann dennoch mißbrauchen? Dann dürfte es theoretisch gar keine Kontakformulare geben, weil dort jeder Spamer diese Formulare mißbrauchen und irgendwelche Adresse eingegeben könnte?
Nein, Kontaktformulare an sich sind nicht gefährlich, wenn die übrige Software bestimmungsgemnäß läuft. Gefährlich sind immer nur zu interpretierende Usereingaben. Wenn man Usereingaben nur codiert und weitergibt, sind sie ja niemals in der Lage, den Steuerfluss zu beeinflussen. Das ist der Knackpunkt.
Harzliche Grüße aus http://www.annerschbarrich.de
Tom
--
Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
Nur selber lernen macht schlau
-
-