In den letzten Tage häufen sich die Anfragen wegen einer Spamsicherung für die Contenido Kontaktformulare, weil vermehrt Spam über die Formulare bei den Empfängern ankommt.
Nun fragen ich mich natürlich, ob die Formularsoftware sicher ist, damit sie nicht als Spamschleuder verwendet werden kann.
Das Mailprogramm ist ja die (bekannte) Klasse phpmailer und diese lässt prinzipiell mehrere Empfänger, durch Komma oder Semikolon getrennt, als Adressaten zu.
Es gibt ja dummerweise verschiedene Module verschiedenen Alters die das Formular auswerten und die Daten an die Mailer-Klasse senden.
Wie sieht die Sicherheit eigentlich bei dem Contact_Form-Modul von Andreas Lindner (2005) (und Rudi Bieller, 2008) aus?
Die Adressaten werden nie im Formular angegeben, sondern immer direkt vom Modul (CMS_VALUE), bzw. aus der Datenbank bezogen.
CC und BCC gibt es nicht (ist nicht benützt) und folglich sollte eigentlich das Formular nur an die im Modul angegebenen Adressaten gesendet werden.
Die Besucher-Adresse (Reply-To) spielt da erstmal keine Rolle, denke ich, weil grundsätzlich keine Bestätigungsmail versendet wird und bei Spam wird sicher keiner Antworten wenn er die bekommt.
Kann man dann ausschließen, dass diese Contenido Formulare somit zu Spamschleudern werden könnten?
Dann bliebe nur noch die Frage, wie man Spam an den oder die Adressaten verhindert?
Ein sicheres Captcha wäre da ganz gut, aber das verprellt auch Besucher und nicht nur Bots.
Wenn man Captcha ausser Acht lässt, was gäbe es da noch?
Eine Speicherung der Spamabsender wie bei Akismet ist erstmal eine Datensammlung die immer größer wird.
Gibt es da wirksame Spamfilter wie z.B. Akismet oder AntispamBEE bei Wordpress?
Das Problem ist ja hier, dass die Formulare direkt versenden und nicht in die Datenbank speichern, folglich also auch keine Referenz-Spam vorhanden ist.
VG,
Faar
Spam: Sind Kontaktformulare sicher?
-
Faar
- Beiträge: 1951
- Registriert: Sa 8. Sep 2007, 16:23
- Wohnort: Brandenburg
- Hat sich bedankt: 15 Mal
- Kontaktdaten:
Spam: Sind Kontaktformulare sicher?
Fliegt der Bauer übers Dach, ist der Wind weißgott nicht schwach.
Re: Spam: Sind Kontaktformulare sicher?
Hallo Faar,
inwieweit hier die contenido/classes/class.security.php zum Tragen kommt, ist eine gute Frage.
Ich würde jedenfalls kein Formular blind verwenden sondern entweder selbst erstellen oder vorhandene prüfen ob entsprechende Sicherheitsmechanismen eingebaut sind. Möglichkeiten findest Du zum Beispiel hier: http://www.lama-creation.de/faq/php/spamschutz.html
Was die Captchas betrifft, so teile ich Deine Meinung, das sie schnell auch Seitenbesucher verprellen. Ich habe bisher recht gute Erfahrungen mit "Countchas" gemacht (Beispiel angehängt) Hier könnte man auch mehr als zwei Symbole, Fotos, Grafiken wie auch immer verwenden. Grundsätzlich nur von Menschen auf Anhieb lösbar - lässt man mal Zufallstreffer außer acht. Nachteil: sind Grafiken deaktiviert, funktioniert es nicht mehr - sprich, ist nicht barrierefrei. Einen ALT-Text auf die Grafiken zu setzen ist natürlich keine Lösung, denn das wäre dann gleich der Quadratmeter-Spickzettel für den Spambot.
Kombiniert man verschiedene Mechanismen miteinander, bleibt man fast ganz von Spam verschont.
Gruß,
Markus
inwieweit hier die contenido/classes/class.security.php zum Tragen kommt, ist eine gute Frage.
Ich würde jedenfalls kein Formular blind verwenden sondern entweder selbst erstellen oder vorhandene prüfen ob entsprechende Sicherheitsmechanismen eingebaut sind. Möglichkeiten findest Du zum Beispiel hier: http://www.lama-creation.de/faq/php/spamschutz.html
Was die Captchas betrifft, so teile ich Deine Meinung, das sie schnell auch Seitenbesucher verprellen. Ich habe bisher recht gute Erfahrungen mit "Countchas" gemacht (Beispiel angehängt) Hier könnte man auch mehr als zwei Symbole, Fotos, Grafiken wie auch immer verwenden. Grundsätzlich nur von Menschen auf Anhieb lösbar - lässt man mal Zufallstreffer außer acht. Nachteil: sind Grafiken deaktiviert, funktioniert es nicht mehr - sprich, ist nicht barrierefrei. Einen ALT-Text auf die Grafiken zu setzen ist natürlich keine Lösung, denn das wäre dann gleich der Quadratmeter-Spickzettel für den Spambot.
Kombiniert man verschiedene Mechanismen miteinander, bleibt man fast ganz von Spam verschont.
Gruß,
Markus
- Dateianhänge
-
- countchas.jpg (55.85 KiB) 8392 mal betrachtet
seamless-design.de
"Geht nicht!" wohnt in der "Will nicht!"-Strasse.
Das Handbuch zur Version 4.10: CONTENIDO für Einsteiger (4.10)
Das Handbuch zur Version 4.9: CONTENIDO für Einsteiger (4.9)
"Geht nicht!" wohnt in der "Will nicht!"-Strasse.
Das Handbuch zur Version 4.10: CONTENIDO für Einsteiger (4.10)
Das Handbuch zur Version 4.9: CONTENIDO für Einsteiger (4.9)
-
Faar
- Beiträge: 1951
- Registriert: Sa 8. Sep 2007, 16:23
- Wohnort: Brandenburg
- Hat sich bedankt: 15 Mal
- Kontaktdaten:
Re: Spam: Sind Kontaktformulare sicher?
Hi,
der Link zum Spamschutz ist gut, Zeitdauer und hidden Fields kann ich einfach einbauen.
Aber ich hatte von einem gehört, der scheints gut um die Hackermethoden bescheid weiss, dass intelligente Programme "langsam" die Felder eintragen, um menschliches Verhalten zu simulieren und dass sie hidden Fields erkennen können und diese nicht ausfüllen. 100% sicher dürfte das nicht sein, zumal er behauptet hatte, dass die Leute die er kennt, alle Captchas knacken können außer der Matrix (Lies Wert1 aus Spalte B und Zeile 8; Wert 2 aus ....usw.). Über die anderen Captchas hatte er nur gelacht, weil sich die Bilder zu oft wiederholen, die Kombinationen zu wenig sind, die Cryptographie oft auf Laienlevel wäre und vieles nur abgekupfert sei und daher sehr leicht durchschaubar. Für ein bestimmtes Captcha-System setzen die dann einfach das passende Plugin ein. Und oft genug hätten die Captchas die Vordertüre verschlossen aber die Hintertüre auf gelassen.
Und ich glaube dass er recht hatte, weil sich das in Zwischenzeit hier und da bestätigt hat, was man so liest.
Hab leider keinen Kontakt zu ihm, sonst könnte ich ihn fragen wie man sich gegen Spam wirksam schützt.
Aber trotzdem baue ich diese Hürden ein, weil viele Spambots garantiert nicht so aufwändig programmiert sind.
Wenn man die große Masse an Spam verhindern kann, ist auch schon viel geholfen.
Danke
der Link zum Spamschutz ist gut, Zeitdauer und hidden Fields kann ich einfach einbauen.
Aber ich hatte von einem gehört, der scheints gut um die Hackermethoden bescheid weiss, dass intelligente Programme "langsam" die Felder eintragen, um menschliches Verhalten zu simulieren und dass sie hidden Fields erkennen können und diese nicht ausfüllen. 100% sicher dürfte das nicht sein, zumal er behauptet hatte, dass die Leute die er kennt, alle Captchas knacken können außer der Matrix (Lies Wert1 aus Spalte B und Zeile 8; Wert 2 aus ....usw.). Über die anderen Captchas hatte er nur gelacht, weil sich die Bilder zu oft wiederholen, die Kombinationen zu wenig sind, die Cryptographie oft auf Laienlevel wäre und vieles nur abgekupfert sei und daher sehr leicht durchschaubar. Für ein bestimmtes Captcha-System setzen die dann einfach das passende Plugin ein. Und oft genug hätten die Captchas die Vordertüre verschlossen aber die Hintertüre auf gelassen.
Und ich glaube dass er recht hatte, weil sich das in Zwischenzeit hier und da bestätigt hat, was man so liest.
Hab leider keinen Kontakt zu ihm, sonst könnte ich ihn fragen wie man sich gegen Spam wirksam schützt.
Aber trotzdem baue ich diese Hürden ein, weil viele Spambots garantiert nicht so aufwändig programmiert sind.
Wenn man die große Masse an Spam verhindern kann, ist auch schon viel geholfen.
Danke
Fliegt der Bauer übers Dach, ist der Wind weißgott nicht schwach.
-
paranoid64
- Beiträge: 37
- Registriert: Sa 3. Okt 2009, 19:22
- Kontaktdaten:
Re: Spam: Sind Kontaktformulare sicher?
Hallo,
Der Link beinhaltet mehrere SPAM-fallen. Hier werden ja auch BB , HTML , Mail-Header überprüft.
Was will also der Spammer noch machen?
Eine Nachricht schreiben ohne Link? Keine gute Werbung ; ).
Zum verteilen von SPAM auch nicht geeignet
, weil der Header cc und bc entfernt wird..
Das Internet bietet viele ungeschützte Formulare bzw. Offene Server.
Da haben Spammer viel mehr Freude dran.
Gerade bei Contenido wird das Formular ohne Spamschutz installiert.
nicht alle befassen sich damit, so wie du? (Komplement)
100% Schutz gibt es nicht. Solltest du so ein fall haben, müsste man den blockieren.
Z.b. Über die IP oder Referer. Captchas können Bots besser Auslesen wie die Benutzer.
Warum also Besucher ärgern?
Der Link beinhaltet mehrere SPAM-fallen. Hier werden ja auch BB , HTML , Mail-Header überprüft.
Was will also der Spammer noch machen?
Eine Nachricht schreiben ohne Link? Keine gute Werbung ; ).
Zum verteilen von SPAM auch nicht geeignet
, weil der Header cc und bc entfernt wird..
Das Internet bietet viele ungeschützte Formulare bzw. Offene Server.
Da haben Spammer viel mehr Freude dran.
Gerade bei Contenido wird das Formular ohne Spamschutz installiert.
nicht alle befassen sich damit, so wie du? (Komplement)
100% Schutz gibt es nicht. Solltest du so ein fall haben, müsste man den blockieren.
Z.b. Über die IP oder Referer. Captchas können Bots besser Auslesen wie die Benutzer.
Warum also Besucher ärgern?