nicht angemeldet
Sicherheit: Email - Form-Aufruf mit Referrer-Kontrolle
Hallo,
ich habe nur einige Bedenken. Ihr kennt alle sicherlich die Kontaktformulare auf Websites, in denen man Kontaktinfos reinschreibt und dann abschickt. Es wird dann in der nächsten Seite das Email an die Firma (usw.) abgeschickt.
Ich habe so etwas mit PHP selbst geschrieben (mittels mail-Funktion). Zur Sicherheit prüfe ich den Referrer, ob dieser aus meiner eigenen Homepage kommt. Theoretisch könnte ja ein Dritter immer die Seite 100x aufrufen, indem er die jew. Variablen übergibt. Und schwupps werden 100 Mails verschickt. Gilt diese Methode als sicher genug? Ich verwende für die Forms die post-Methode, falls es etwas ausmacht.
In der Praxis wird dies zu 0,0000001% passieren, aber ich wollte auch wissen, ob es jetzt schwieriger ist. Dass eine 100%-ige Sicherheit nicht erreichbar ist, weiss ich.
danke und
mfg Kadir
-
Hallo Kadir,
Kontaktformulare […] Zur Sicherheit prüfe ich den Referrer, ob dieser aus meiner eigenen Homepage kommt.
Der Referrer ist irrelevant, da beliebig manipulierbar. Du bietest Spammern eine willkommene Gelegenheit. Warum soll der Empfänger eigentlich nicht fest hinterlegt sein?
Benutze besser Patricks PHP-Formmailer.
Grüße
Roland-
Hi,
Der Referrer ist irrelevant, da beliebig manipulierbar.
was nicht unbedingt auf Irrelevanz schliessen laesst.
Du bietest Spammern eine willkommene Gelegenheit.
Du auch. ;-)
Warum soll der Empfänger eigentlich nicht fest hinterlegt sein?
dafuer koennte es unendlich viele Gruende geben.
Benutze besser Patricks PHP-Formmailer.
Yo, mach ich. ;-)
Gruss,
Ludger-
Warum soll der Empfänger eigentlich nicht fest hinterlegt sein?
dafuer koennte es unendlich viele Gruende geben.
Aber keinen, der das das Risiko aufwiegt, dass sich durch betreiben eines solch spamanfälligen Formmailers ergibt.
Johannes
--
ie:% fl:( br:< va:) ls:[ fo:) rl:) n4:& ss:| de:] js:| ch:} sh:) mo:} zu:)-
Aber keinen, der das das Risiko aufwiegt, dass sich durch betreiben eines solch spamanfälligen Formmailers ergibt.
Er hat doch kein einziges mal geschrieben, dass der Empfänger frei wählbar ist.
Oder hab ich was falsch verstanden?greetz RFZ
-
Hallo RFZ,
Aber keinen, der das das Risiko aufwiegt, dass sich durch betreiben eines solch spamanfälligen Formmailers ergibt.
Er hat doch kein einziges mal geschrieben, dass der Empfänger frei wählbar ist.
Nein, das hat er allerdings nicht explizit erwähnt. Die Aussage bleibt dennoch, als allgemeine Wahrheit, sinnvoll.
Schöne Grüße,
Johannes
--
ie:% fl:( br:< va:) ls:[ fo:) rl:) n4:& ss:| de:] js:| ch:} sh:) mo:} zu:)-
Hi,
Die Aussage bleibt dennoch, als allgemeine Wahrheit, sinnvoll.
absolut. Fuers Archiv und so. ;-)
Gruss,
Ludger
-
-
-
-
-
-
Ich habe so etwas mit PHP selbst geschrieben (mittels mail-Funktion). Zur Sicherheit prüfe ich den Referrer, ob dieser aus meiner eigenen Homepage kommt. Theoretisch könnte ja ein Dritter immer die Seite 100x aufrufen, indem er die jew. Variablen übergibt. Und schwupps werden 100 Mails verschickt. Gilt diese Methode als sicher genug? Ich verwende für die Forms die post-Methode, falls es etwas ausmacht.
Wenn du POST verwendest, kann man das Script ja eh nicht via URL aufrufen, sondern muss eh einen eigenen POST-Aufruf programmieren, und in den kann man auch ganz simpel den Referer einbaun. Nützt also rein garnix.
Sinnvoller, wenn auch nicht die beste Lösung, wäre es z.B. von der selben IP maximal alle 10sec, und bei Häufung nur alle paar Stunden eine E-Mail abschicken zu lassen.
greetz RFZ