Moin!

ich habe in einem Quelltext gefunden:

<input type=hidden name="recipient" value="">
<input type=hidden name="subject" value="Bestellformular">
<input type=hidden name="redirect" value="">

(Im ersten und letzten value dann eine E-Mailadresse bzw. eine Webadresse.)

Wenn ich es richtig verstanden habe, machen hidden-Angaben aber doch nur Sinn, wenn ich etwas Unbekanntes z. B. mittels JavaScript auslesen möchte. Was hilft es also, wenn die Person, die das Formular ins Netz stellt, sich selbst die Information der eigenen E-Mail-Adresse zuschickt oder welche Antwortseite dem Besucher gezeigt wird?

Adressat dieser Informationen ist zuallererst ja nicht der Mensch, der das Formular erstellt hat, sondern das Skript, an das diese Informationen gesendet werden.

Dein Ausschnitt deutet darauf hin, dass hier ein typischer Formmailer zum Einsatz kommt. So ein Skript verpackt die Formulardaten einfach nur in eine Mailadresse und sendet sie ab. Da solche Skripte wohl mit zum häufigsten gehören, was man als Anfänger irgendwann mal programmiert hat, und weil Programmierer (angeblich) ziemlich faul sind, halten sie ihre Skripte so allgemein, wie möglich - was in diesem Fall bedeutet, dass ein universell einsetzbarer Formmailer seine auszuführenden Aktionen, also "Subject der Mail", "Zieladresse der Mail" und "Seite, auf die danach weitergeleitet werden soll" (vielleicht auch noch weitere Dinge) komplett über das Formular mitgeteilt bekommt. Das hat den Vorteil, dass der Nutzer des Formmailers garnicht mehr im Code etwas verändern muß, er schreibt einfach nur HTML ins Formular rein.

Aber es hat den Nachteil, dass solche Skripte sich auch mißbrauchen lassen, denn niemand wird gehindert, ein eigenes Formular mit anderer Mailadresse einzusetzen. Oder anstelle des Formulars, welches manuell ausgefüllt und abgeschickt wird, einfach seinerseits ein Skript aufzusetzen, welches Formulardaten an den Formmailer sendet. So ließe sich, sofern im Formmailer keinerlei Schutzmaßnahmen getroffen wurden, prima spammen!

Deshalb als Faustregel: Die Zielmailadresse gehört NICHT ins Formular! Zumindest nicht die komplette Adresse, ein Teil wie z.B. der Username, oder eine Indexzahl, die der Formmailer dann in einer Liste nachschlägt, sind durchaus ok, damit kann man nicht das gesamte Internet erreichen.

• Sven Rautenberg