Spambots, CSRF token
bearbeitet von Hank> > Können Spambots den token nicht auch aus dem Formular auslesen und ihn mitsenden?
>
> Klar. Aber das setzt voraus, dass die Spammer den Aufwand treiben. Das sind aber Leute, denen (manchmal von sich selbst) versprochen wurde, *„einfach und von zu Hause aus viel Geld zu verdienen“*. Individuelle Anpassungen sind da aus (nennen wir sie euphemistisch) *„ökonomischen“* Gründen einfach nicht drin.
Ich habe gerade Ärger mit einem Bot.
Der ist zu doof, ein Subject-Input-Fild mit einem Betreff zu füllen, nur weil das input-field als `name` den wert `phone` hat, aber er scheint den token auszulesen. Finde ich merkwürdig.
~~~ PHP
elseif ($_SESSION['token'] != $_POST['token']) {
...
} elseif (...) {
...
// der Bot kommt bis hierher
~~~
Finde ich komisch.
Hank