"Böses Script" versendet Formulare(?)

[PeterBrand]

Hab´s jetzt ab und zu, dass sich in meiner Mailbox sowas im Anhang findet - sprich, irgendein "Script" oder was auch immer, schickt irgendeinen Müll über all meine Formulare auf meiner Website.

Weiß jemand genaueres über solche Dinger und wie man sich schützen kann?

In dem Fall könnte ich z.B. immer den Versand unterbinden, wenn die Absender-Domain, die von meiner Domain ist. Aber kann man auch was anderes, darüber hinausgehendes machen?

[Adromir]

gegen Mißbrauch von Formularen kann man sich schwer schützen. Ebensowenig wie man sich ja vor ungewollten Massenmails nur schwer schützen kann (mal abgesehen durch Spamfilter).

Eine Sache die bei Emailformularen zum Mißbrauch einlädt ist z.B. wenn die Empfangsadresse nicht "fesgelelegt" ist sondern z.B. über ein hidden- field im Formular übergeben wird.

Ich hätte jetzt mehrere Ideen 8manche mehr oder weniger geeignet) um sich davor zu schützen:

1. Abfrage der IP mit entsprechender Sperre (wie ne reloadsperre bei nem Counter).
2. Auf der Formularseite startest du eine Session. Auf der ausführenden Seite überprüfst du die Session. Damit kannst du schon mal unterbinden, daß die Mails über ein fremdes Script befüttert werden.

3. Bei jedem Aufruf deines Formulars wird eine Einzigartige "Kennung" erzeugt, die dann vor dem Absenden überprüft wird. Damit kannst du ein automatisiertes Versenden der Emails verhindern..

[hero-master]

Hab sowas auch bekommen
Sogar in meinem Gästebuch:
http://nicogutmann.de/gaestebuch.php

[Schneeschaufel]

Ich würd eine ip-Sperre versuchen. Jede ip kann innerhalb eines bestimmten Zeitraums nur 1 Mail schicken und zusätzlich vielleicht eine Refererprüfung.

[Tagged]

Ich hatte das auch mal bei mir im Forum. Sehr lästig,... bei mir hat Punkt 3 von Adromirs liste geholfen.

greetz

[Adromir]

Wobei meiner Meinung nach eine reine IP Sperre mit einem zu großem Sperrzeitraum nicht sonderlich gut ist. Es kann ja mal sein, daß jemand bei der ersten Anfrage was vergessen hat und gleich eine zweite starten will. Wenn man dann mehrere Minuten warten muss, dann nervt das schon..

[the-architect]

Man kann ja beim Absenden per JavaScript eine Kennung anhängen, die das Script dann übeprüfen kann.

[Adromir]

Also ich würde das nicht mit Javascript lösen, sondern den Weg des "minimalsten" Widerstandes wählen..

Ob man so ein Script überhaupt 100% sicher bekommt ist eh fraglich, aber man muss ja nicht noch anfangen, die Leute auszusperren, die nichts böses wollen, sondern nur "falsche" Systemeinstellungen haben.

Deswegen habe ich die Referrer- Überprüfung rausgelassen, weil dieser auch mal (ohne böse Absicht) deaktiviert sein kann.

[the-architect]

ja recht haste, adromir. also signatur in das formular einbauen.

[hero-master]

Kann mir jemand genauer erklären, was man da machen muss, wenn man sich davor schützen will? Also was man da für Scripts einbinden müsste, oder ähnliches

[Hausmaster]

man könnte zb am ende machen:

also eine grafik wo buchstaben draufstehen also zb :"ysdg"
darunter ein eingabefeld wo steht: "geben sie bitte zur kontrolle die oben stehenden
buchstaben ein.."

und dann lässt man überprüfen ob der input "ysdg" entspricht, wenn ja kanns geschickt
werden, wenn nicht kommt eine fehlermeldung..

..nur wie man das ohne js programmiert..
ka

[the-architect]

@hausmaster, bei deinem weg lässt du die faulheit der nutzer ausser acht.
Bevor er noch nen code entziffern und eintippen muss, bricht er lieber gleich ganz ab. Es ist zwar auch eine sehr gute möglichkeit, bloß würde ich das nicht übermäßig nutzen.
Bei ner Anmeldung oder bei Änderungen von persönlichen Daten ist das aber durchaus vorstellbar.

[Schneeschaufel]

Edit: Denkfehler.

[Adromir]

Also ich würde es so machen: Man startet auf dem Eingabeformular eine Session und generiert einen Zufallswert. Diesen speichert man dann in eine Sessionvariabel.

Auf der Seite, wo das versenden der Email durchgeführt wird, nimmt man diese Session wieder auf und prüft den in der Session übergebenen Wert auf Gültigkeit.

So kann man sicher gehen, daß die Daten wirklich über das eigene Formular und nicht automatisiert versendet werden..

[Boris]

Ich kapiert ehrlich gesagt nicht, dass das helfen soll ... wie willst du denn den Zufallswert auf einer Folgeseite auf dessen Gültigkeit überprüfen?