Spambots, CSRF token (Captcha)
bearbeitet von RaketenwilliDer Gag ist, das Token nicht selbst ins Formular zu schreiben sondern dieses durch JS erledigen zu lassen. Die Crux an einem „gemeinsamen Geheimnis“ ist, dieses eben nicht mit der gleichen Post wie die Anforderung zu senden.
> *Liebe Elsa!*
>
> *Um zu beweisen, dass Du selbst diesen Brief geschrieben hast, unterschreibe die Antwort mit „Deine liebste Kuh!“*
>
> *Dein, auf immer dummer Ochse*
Wenigstens könntest Du erwarten, dass mittels JS das Token in einer Weise verändert wird, die für Spammer **nicht ganz** so einfach zu kopieren ist:
Du kannst das hier versuchen:
**Im Browser:**
1. Geladen wird die Webseite mit dem Token.
2. Via JS wird ein Salt geholt (der auch in die Session geschrieben wird)
3. Salt und Token werden verbunden und gehasht, Das Ergebnis als Token ins Formular geschrieben.
**Auf dem Server beim Empfang:**
Salt und Token werden aus der Session geholt, gehasht und das Ergebnis mit dem Hash verglichen, den der Browser nunmehr als Token gesendet hat.
**Allerdings hier gleich der Hinweis, dass auch dieses einen ersthaft agierenden Angreifer nicht abhalten kann.** Es macht die Sache für ihn nur komplizierter. [Rot13](https://de.wikipedia.org/wiki/ROT13) wäre ähnlich effektiv...
Eine Frage: Warum sind die Versender überhaupt so hartnäckig? Kann man mit Deinem dollen Ding etwa Mails an Dritte versenden?
Dann gilt die folgende, einfache Regel: Der Benutzer bestimmt **entweder** den Empfänger **ODER** (Subjekt oder jeglichen Inhalt) der Nachricht).
Captcha:
* Hast Du [sowas](https://home.fastix.org/Tests/ftxCaptcha/test2.php) schon versucht?
Spambots, CSRF token
bearbeitet von RaketenwilliDer Gag ist, das Token nicht selbst ins Formular zu schreiben sondern dieses durch JS erledigen zu lassen. Die Crux an einem „gemeinsamen Geheimnis“ ist, dieses eben nicht mit der gleichen Post wie die Anforderung zu senden.
> *Liebe Elsa!*
>
> *Um zu beweisen, dass Du selbst diesen Brief geschrieben hast, unterschreibe die Antwort mit „Deine liebste Kuh!“*
>
> *Dein, auf immer dummer Ochse*
Wenigstens könntest Du erwarten, dass mittels JS das Token in einer Weise verändert wird, die für Spammer **nicht ganz** so einfach zu kopieren ist:
Du kannst das hier versuchen:
**Im Browser:**
1. Geladen wird die Webseite mit dem Token.
2. Via JS wird ein Salt geholt (der auch in die Session geschrieben wird)
3. Salt und Token werden verbunden und gehasht, Das Ergebnis als Token ins Formular geschrieben.
**Auf dem Server beim Empfang:**
Salt und Token werden aus der Session geholt, gehasht und das Ergebnis mit dem Hash verglichen, den der Browser nunmehr als Token gesendet hat.
**Allerdings hier gleich der Hinweis, dass auch dieses einen ersthaft agierenden Angreifer nicht abhalten kann.** Es macht die Sache für ihn nur komplizierter. [Rot13](https://de.wikipedia.org/wiki/ROT13) wäre ähnlich effektiv...
Eine Frage: Warum sind die Versender überhaupt so hartnäckig? Kann man mit Deinem dollen Ding etwa Mails an Dritte versenden?
Dann gilt die folgende, einfache Regel: Der Benutzer bestimmt **entweder** den Empfänger **ODER** (Subjekt oder jeglichen Inhalt) der Nachricht).
Spambots, CSRF token
bearbeitet von RaketenwilliDer Gag ist, das Token nicht selbst ins Formular zu schreiben sondern dieses durch JS erledigen zu lassen. Die Crux an einem „gemeinsamen Geheimnis“ ist, dieses eben nicht mit der gleichen Post wie die Anforderung zu senden.
> *Liebe Elsa!*
>
> *Um zu beweisen, dass Du selbst diesen Brief geschrieben hast, unterschreibe die Antwort mit „Deine liebste Kuh!“*
>
> Dein, auf immer dummer Ochse
Wenigstens könntest Du erwarten, dass mittels JS das Token in einer Weise verändert wird, die für Spammer **nicht ganz** so einfach zu kopieren ist:
Du kannst das hier versuchen:
**Im Browser:**
1. Geladen wird die Webseite mit dem Token.
2. Via JS wird ein Salt geholt (der auch in die Session geschrieben wird)
3. Salt und Token werden verbunden und gehasht, Das Ergebnis als Token ins Formular geschrieben.
**Auf dem Server beim Empfang:**
Salt und Token werden aus der Session geholt, gehasht und das Ergebnis mit dem Hash verglichen, den der Browser nunmehr als Token gesendet hat.
**Allerdings hier gleich der Hinweis, dass auch dieses einen ersthaft agierenden Angreifer nicht abhalten kann.** Es macht die Sache für ihn nur komplizierter. [Rot13](https://de.wikipedia.org/wiki/ROT13) wäre ähnlich effektiv...
Eine Frage: Warum sind die Versender überhaupt so hartnäckig? Kann man mit Deinem dollen Ding etwa Mails an Dritte versenden?
Dann gilt die folgende, einfache Regel: Der Benutzer bestimmt **entweder** den Empfänger **ODER** (Subjekt oder jeglichen Inhalt) der Nachricht).
Spambots, CSRF token
bearbeitet von RaketenwilliDer Gag ist, das Token nicht selbst ins Formular zu schreiben sondern dieses durch JS erledigen zu lassen. Die Crux an einem „gemeinsamen Geheimnis“ ist, dieses eben nicht mit der gleichen Post wie die Anforderung zu senden.
> *Liebe Elsa!*
>
> *Um zu beweisen, dass Du selbst diesen Brief geschrieben hast, unterschreibe die Antwort mit „Deine liebste Kuh!“*
Wenigstens könntest Du erwarten, dass mittels JS das Token in einer Weise verändert wird, die für Spammer **nicht ganz** so einfach zu kopieren ist:
Du kannst das hier versuchen:
**Im Browser:**
1. Geladen wird die Webseite mit dem Token.
2. Via JS wird ein Salt geholt (der auch in die Session geschrieben wird)
3. Salt und Token werden verbunden und gehasht, Das Ergebnis als Token ins Formular geschrieben.
**Auf dem Server beim Empfang:**
Salt und Token werden aus der Session geholt, gehasht und das Ergebnis mit dem Hash verglichen, den der Browser nunmehr als Token gesendet hat.
**Allerdings hier gleich der Hinweis, dass auch dieses einen ersthaft agierenden Angreifer nicht abhalten kann.** Es macht die Sache für ihn nur komplizierter. [Rot13](https://de.wikipedia.org/wiki/ROT13) wäre ähnlich effektiv...
Eine Frage: Warum sind die Versender überhaupt so hartnäckig? Kann man mit Deinem dollen Ding etwa Mails an Dritte versenden?
Dann gilt die folgende, einfache Regel: Der Benutzer bestimmt **entweder** den Empfänger **ODER** (Subjekt oder jeglichen Inhalt) der Nachricht).
Spambots, CSRF token
bearbeitet von RaketenwilliDer Gag ist, das Token nicht selbst ins Formular zu schreiben sondern dieses durch JS erledigen zu lassen. Die Crux an einem „gemeinsamen Geheimnis“ ist, dieses eben nicht mit der gleichen Post wie die Anforderung zu senden.
Wenigstens könntest Du erwarten, dass mittels JS das Token in einer Weise verändert wird, die für Spammer **nicht ganz** so einfach zu kopieren ist:
> *Liebe Elsa!*
>
> *Um zu beweisen, dass Du selbst diesen Brief geschrieben hast, unterschreibe die Antwort mit „Deine liebste Kuh!“*
Du kannst das hier versuchen:
**Im Browser:**
1. Geladen wird die Webseite mit dem Token.
2. Via JS wird ein Salt geholt (der auch in die Session geschrieben wird)
3. Salt und Token werden verbunden und gehasht, Das Ergebnis als Token ins Formular geschrieben.
**Auf dem Server beim Empfang:**
Salt und Token werden aus der Session geholt, gehasht und das Ergebnis mit dem Hash verglichen, den der Browser nunmehr als Token gesendet hat.
**Allerdings hier gleich der Hinweis, dass auch dieses einen ersthaft agierenden Angreifer nicht abhalten kann.** Es macht die Sache für ihn nur komplizierter. [Rot13](https://de.wikipedia.org/wiki/ROT13) wäre ähnlich effektiv...
Eine Frage: Warum sind die Versender überhaupt so hartnäckig? Kann man mit Deinem dollen Ding etwa Mails an Dritte versenden?
Dann gilt die folgende, einfache Regel: Der Benutzer bestimmt **entweder** den Empfänger **ODER** (Subjekt oder jeglichen Inhalt) der Nachricht).
Spambots, CSRF token
bearbeitet von RaketenwilliDer Gag ist, das Token nicht selbst ins Formular zu schreiben sondern dieses durch JS erledigen zu lassen. Die Crux an einem „gemeinsamen Geheimnis“ ist, dieses eben nicht mit der gleichen Post wie die Anforderung zu senden.
Wenigstens könntest Du erwarten, dass mittels JS das Token in einer Weise verändert wird, die für Spammer **nicht ganz** so einfach zu kopieren ist.
**Im Browser:**
1. Geladen wird die Webseite mit dem Token.
2. Via JS wird ein Salt geholt (der auch in die Session geschrieben wird)
3. Salt und Token werden verbunden und gehasht, Das Ergebnis als Token ins Formular geschrieben.
**Auf dem Server beim Empfang:**
Salt und Token werden aus der Session geholt, gehasht und das Ergebnis mit dem Hash verglichen, den der Browser nunmehr als Token gesendet hat.
**Allerdings hier gleich der Hinweis, dass auch dieses einen ersthaft agierenden Angreifer nicht abhalten kann.** Es macht die Sache für ihn nur komplizierter. [Rot13](https://de.wikipedia.org/wiki/ROT13) wäre ähnlich effektiv...