Achim Wagenknecht: Ist dieses Script sicher?

Hallo,

ich habe dieses Mail-Skript im Einsatz:

http://aktuell.de.selfhtml.org/tippstricks/php/form-mail/index.htm

Nun habe ich mehrfach Meldungen ueber Spammer gelesen, die solche Skripte missbrauchen. Ich konnte aber nicht herausfinden, ob mein Skript sicher ist oder nicht. Ich habe es nicht geschafft, mein Skript zu knacken, aber vielleicht stelle ich mich einfach zu doof an.

Ich habe das Skript hier:
it-journalist.de

Ist es sicher oder nicht?

Schoene Gruesse,
Achim Wagenknecht

  1. Servus

    Ist es sicher oder nicht?

    Also, generell kannst du allem trauen, was in der Self-Referenz drin ist. Weil wäre es absolut nicht sicher, dann hätten etliche Leute E-Mails geschrieben, mit der Bitte das Skript zu überarbeiten.

    Ich sag dir: Ja, das Skript ist sicher, weil es im Selfhtml drin steht ;)

    Baibai

    1. Hallo,

      Also, generell kannst du allem trauen, was in der Self-Referenz drin ist. Weil wäre es absolut nicht sicher, dann hätten etliche Leute E-Mails geschrieben, mit der Bitte das Skript zu überarbeiten.

      Ich sag dir: Ja, das Skript ist sicher, weil es im Selfhtml drin steht ;)

        
        <ironie>die zehn Gebote sind wahr, weil sie in der Bibel stehen.</ironie>  
      
      

      es ist nie sinnvoll sein eigenes Hirn auszuschalten, oder anderen das zu raten!

      gruss

      --
      Swiss Army Chainsaw
      Terrorific!
      Given a cow full of milk, should the milk un-cow itself, or should the cow milk itself?
  2. gudn tach!

    Nun habe ich mehrfach Meldungen ueber Spammer gelesen, die solche Skripte missbrauchen. [...] Ist es sicher oder nicht?

    es gibt verschiedene moeglichkeiten des spammens. eine, gegen die das script machtlos ist, ist das bombardieren der fest vorgegebenen e-mail-adresse mit spam.

    fremde zieladressen einzuschleusen ist afais bei dem script nicht moeglich, da alle user-eingaben explizit in den e-mail-body wandern.

    was momentan moeglich ist, jedoch wahrscheinlich nicht schlimm sein wird, weil die formular-eingaben nicht automatisch verarbeitet, sondern per e-mail an einen zugeschickt werden, ist das uebergeben weiterer, nicht im formular definierter POST-variablen.

    prost
    seth

    1. Hi seth

      was momentan moeglich ist, jedoch wahrscheinlich nicht schlimm sein wird, weil die formular-eingaben nicht automatisch verarbeitet, sondern per e-mail an einen zugeschickt werden, ist das uebergeben weiterer, nicht im formular definierter POST-variablen.

      Wozu soll denn das schlimm sein, irgendwelche Variablen an ein Script zu schicken, das diese Variablen nicht kennt, abfragt, benutzt?
      Wenn ich z.B. einen Virus per file-upload an ein Script schicke, das gar keinen upload kennt...

      Bitte um Aufklärung

      Alex

      1. gudn tach Alex!

        Hi seth

        was momentan moeglich ist, jedoch wahrscheinlich nicht schlimm sein wird, weil die formular-eingaben nicht automatisch verarbeitet, sondern per e-mail an einen zugeschickt werden, ist das uebergeben weiterer, nicht im formular definierter POST-variablen.

        Wozu soll denn das schlimm sein, irgendwelche Variablen an ein Script zu schicken, das diese Variablen nicht kennt, abfragt, benutzt?

        um jemanden zu aergern... ;-)
        frueher (also heutzutage noch in schlechtgeschriebenen scripts auf unsicher konfigurierten servern), gab es manchmal probleme wegen sowas wie:

        php.net -> Example 29-1. Example misuse with register_globals = on

        aber auch bei "register_globals = off" kann es noch zu (kleineren) problemen kommen:
        bei dem einfachen formmailer, werden _alle_ per post uebergebenen variablen in einen string geschrieben und mit einem separator (hier: ":\t") getrennt, d.h. das script wuerde auch variablen benutzen, die im formular gar nicht vorkommen.
        wenn man diese daten z.b. in ein csv-file schreiben wuerde, welches man spaeter sonstwie weiterverarbeitet, z.b. via html ausgibt und dabei von einer festen spaltenanzahl ausgeht, kann es zu darstellungsproblemen kommen, da die spaltenanzahl nicht in jeder zeile gleich sein muss.
        oder wenn man die daten direkt eine eine db in eine tabelle schreibt, koennen aus dem gleich grund ebenfalls fehler auftreten.

        prost
        seth