mein formmailer kann missbraucht werden...

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • mein formmailer kann missbraucht werden...

    Hallo,
    ich biete mit einem Freund für unser Bekanntenkreis Webspace an. Wir haben einen Formmailer geschrieben an den jedes X-Beliebige Formular versandt werden kann. Die Varibeln werden per hidden-felder gefüttert.
    Nun kann leider jeder, also auch von fremden Servern aus, der frommailer genutzt oder schlimmsten falls missbraucht werden. wie kann man solch einen formmailer, der mehreren zur verfügung steht (wir könnten ihn auch in jedes webverzeichnis kopieren, aber das würde ja nichts sicherer machen, nicht?) sicher machen?
    Zuerst dachte ich an refferer überprüfen, aber das lässt sich fälschen. nun weiß ich nicht weiter...
    Weiß jmd. Rat?
    Vielen Dank,
    Lakeside.

  • #2
    1. spamfilter (mit einer ip kann man z.b. nur 2 nachrichten in 30 min schreiben.)

    2. vordefinierte e-mail-adresse (TO.

    3. pflichtfelder

    4. ip + host immer abfragen und mitsenden (ist für eine abmahnung immer ganz nützlich)

    Kommentar


    • #3
      danke schon mal. das half mir noch nicht wirklich weiter, da ich eine feste "TO-Adresse" gerade nicht eingeben kann, da das Script ja für alle "Kunden" die auf unserem Server sind genutzt werden können soll.

      Kommentar


      • #4
        dann mußt du dich auf die punkte 1, 3 und 4 konzentrieren

        zeigt mal den code von deinem formmailer ....

        Kommentar


        • #5
          ich hätte ne idee, ich weiß nur nicht wie ich sie umsetzten muss:
          ich könnte doch im formmailer den serverpfad abfragen. Jetzt weiß ich nur nicht ob man den Serverpfad des Formulares per hidden-Feld übertragen muss, oder ob es eine Superglobal gibt die mir da weiterhilft, eine art Verschachtelung von $_POST[$_SERVER[DOCUMENT_ROOT]]
          Aber wie es scheint ist dies nur per hidden-feld möglich.
          Aber das wäre doch sicher, nicht?!
          Ich überprüfe den überlieferten Serverpfad und wenn der passt mit dem regulärem ausdruck den ich reinmache ...
          Wobi der Serverpfad natürlich auch nichts einzigartiges ist...

          Deine Ansätze sind sehr gut für Additonale Sicherheit, aber ich möchte ja jegliche fremdnutzung unterbinden. und das ist mit 1,3,4 nicht möglich.

          Wie machen das den Große Provider? ich kann ja auch nicht einfach ne Message an den Formmailer von T-online schicken ;-)

          Kommentar


          • #6
            Aber das wäre doch sicher, nicht?!
            nein. leider nicht.

            grundsätzlich sind offene formmailer, wie du ihn einsetzt, offen. das ist leider das problem. du wirst es niemals so abdichten können, dass es nicht missbraucht werden kann.

            nur als idee am rande... aber sicherer wird's dadurch auch nicht.

            jeder, der das ding nutzen will, muss sich registieren. eine bei der registierung erschaffene id wird als hidden-feld übergeben. damit weisst du nun auch, wer die mail bekommen soll.
            INFO: Erst suchen, dann posten![color=red] | [/color]MANUAL(s): PHP | MySQL | HTML/JS/CSS[color=red] | [/color]NICE: GNOME Do | TESTS: Gästebuch[color=red] | [/color]IM: Jabber.org |


            Kommentar


            • #7
              wennd as script nur auf deinem server benutzt wird kannste doch den gebrauch über servervars einschränken oder htacces sogar...
              Beantworte nie Threads mit mehr als 15 followups...
              Real programmers confuse Halloween and Christmas because OCT 31 = DEC 25

              Kommentar


              • #8
                htaccess wird da nicht viel sinn machen. weil dann die user, die das ding nutzen wollen, erst einmal accountdaten eingeben müssten.

                und die servervars bringen doch auch nichts. es hindert doch keinen daran, das script dennoch zu verwenden. also mit POST was dahin zu senden.

                oder liege ich jetzt total daneben?
                INFO: Erst suchen, dann posten![color=red] | [/color]MANUAL(s): PHP | MySQL | HTML/JS/CSS[color=red] | [/color]NICE: GNOME Do | TESTS: Gästebuch[color=red] | [/color]IM: Jabber.org |


                Kommentar


                • #9
                  na ich denke da liegst Du falsch
                  in htacces gibt es ein deny from
                  und wenn ein serverdatum nicht gesetzt ist kann ich das script ja enden lassen
                  fertisch
                  Beantworte nie Threads mit mehr als 15 followups...
                  Real programmers confuse Halloween and Christmas because OCT 31 = DEC 25

                  Kommentar


                  • #10
                    nun ja. ok. aber wenn ich ihn richtig verstanden habe, liegt das script auf server A. nun kann von server B und C das script genutzt werden.

                    was soll denn jetzt in die htaccess rein, um das ding dich zu machen?
                    INFO: Erst suchen, dann posten![color=red] | [/color]MANUAL(s): PHP | MySQL | HTML/JS/CSS[color=red] | [/color]NICE: GNOME Do | TESTS: Gästebuch[color=red] | [/color]IM: Jabber.org |


                    Kommentar


                    • #11
                      Original geschrieben von lakeside
                      danke schon mal. das half mir noch nicht wirklich weiter, da ich eine feste "TO-Adresse" gerade nicht eingeben kann, da das Script ja für alle "Kunden" die auf unserem Server sind genutzt werden können soll.
                      @Haxe lies mal :-)
                      Beantworte nie Threads mit mehr als 15 followups...
                      Real programmers confuse Halloween and Christmas because OCT 31 = DEC 25

                      Kommentar


                      • #12
                        Original geschrieben von MelloPie
                        @Haxe lies mal :-)
                        naja. vielleicht hat er ja mehrere server?

                        ok. das geht nicht so deutlich hervor. aber lassen wir das. ;-)
                        INFO: Erst suchen, dann posten![color=red] | [/color]MANUAL(s): PHP | MySQL | HTML/JS/CSS[color=red] | [/color]NICE: GNOME Do | TESTS: Gästebuch[color=red] | [/color]IM: Jabber.org |


                        Kommentar


                        • #13
                          aber selbst wenn er tausend server hat kann er deny from all
                          allow from all his servers machen und damit kan keiner das Script benutzen...
                          Beantworte nie Threads mit mehr als 15 followups...
                          Real programmers confuse Halloween and Christmas because OCT 31 = DEC 25

                          Kommentar


                          • #14
                            ich habe nur einen Server ;-)
                            der hat die struktur
                            ..../htdocs/webXYZ

                            Dass mit htaccess hört sich gut an. Ich benutze htaccess bisher nur für interne Bereicche oder als deny from all.
                            Wie sieht denn die Syntax aus wenn ich meinen Server da rausnehme ?
                            Und wie wird der Server da eingetragen? Domain, AbsoluterPfad, Name Oder wie?

                            Thx, Lakeside

                            Kommentar


                            • #15
                              @lakeside: google kennst du? man muss dir doch wohl nicht alles erzählen. hier im forum hast du die ideen bekommen. also kannst du nun etwas suchen und dir dein script zusammen bauen.

                              Kommentar

                              Lädt...
                              X