/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Linux
#NavnPoint
o.v.n. 11177
peque 7911
dk 4814
e.c 2359
Uranus 1334
emesen 1334
stone47 1307
linuxrules 1214
Octon 1100
10  BjarneD 875
Matt's Formmail
Fra : Leif Neland


Dato : 15-10-02 23:48

Er der noget galt i min logik her?

Min FormMail.pl har været misbrugt til spamming, ved at den er blevet kaldt
ikke fra mine forms, men fra et fremmed script, der har faked referer.

Standardmetoden til at sikre den formmail er, at have en liste med godkendte
modtager-addresser.

Men det er jo lidt bøvlet at vedligeholde den liste hvis man driver et
webhotel.

Så jeg har lavet, at hvis modtageradressen ikke findes i listen, vises en
form, hvor der blot er en knap med "tryk her", en hidden variabel med et
krypteret tidsstempel og de øvrige variable som hidden.

Når brugeren så trykker på knappen, så submittes formen igen, tidsstemplet
afkrypteres og checkkes, hvis ok, noteres adressen i listen med godkendte
addresser, og formen submittes.

Næste gang, der sendes til den samme addresse, er addressen jo godkendt, og
"konfirmationssiden" vises ikke. Man må formode at udvikleren lige checkker
sin form, før den går i luften, så ingen almindelige brugere burde se siden.

Er der noget, der halter i dette?






 
 
Kim Hansen (16-10-2002)
Kommentar
Fra : Kim Hansen


Dato : 16-10-02 00:03

"Leif Neland" <leif@neland.dk> writes:

> Er der noget galt i min logik her?
>
> Min FormMail.pl har været misbrugt til spamming, ved at den er blevet kaldt
> ikke fra mine forms, men fra et fremmed script, der har faked referer.

Fra http://www.scriptarchive.com/formmail.html:

| SECURITY UPDATE -- April 19, 2002 -- UPGRADE IMMEDIATELY Any users
| who have versions of FormMail prior to v1.91, including the popular
| version 1.6, should upgrade immediately. v1.91 plugs several more
| spam-related security holes. The following fixes have also been
| implemented since v1.6: prevents unwanted access to environment
| variables and problem of receiving e-mail while using the redirect
| option. The script has two extra arrays (new in v1.7) you must
| define, but will not affect current forms or the way they appear
| after having been submitted.

Har du undersøgt om du kan løse problemet ved at opgradere din version
der vidst er 1.6 ?

> Så jeg har lavet, at hvis modtageradressen ikke findes i listen, vises en
> form, hvor der blot er en knap med "tryk her", en hidden variabel med et
> krypteret tidsstempel og de øvrige variable som hidden.

Skulle der være noget i vejen for at sætte en computer til at trykke
på knappen med 3 linjer Perl?

--
Kim Hansen | |\ _,,,---,,_ | Det er ikke
Dalslandsgade 8, A708 | /,`.-'`' -. ;-;;,_ | Jeopardy.
2300 København S | |,4- ) )-,_. ,\ ( `'-' | Svar _efter_
Phone: 32 88 60 86 | '---''(_/--' `-'\_) | spørgsmålet.

Leif Neland (16-10-2002)
Kommentar
Fra : Leif Neland


Dato : 16-10-02 07:22


"Kim Hansen" <k-tahf.qvxh@oek.dk> skrev i en meddelelse
news:x62fzv7s3tr.fsf@tyr.diku.dk...
> "Leif Neland" <leif@neland.dk> writes:
>
> > Er der noget galt i min logik her?
> >
> > Min FormMail.pl har været misbrugt til spamming, ved at den er blevet
kaldt
> > ikke fra mine forms, men fra et fremmed script, der har faked referer.
> Har du undersøgt om du kan løse problemet ved at opgradere din version
> der vidst er 1.6 ?

Den kræver stadig en liste af godkendte addresser.
>
> > Så jeg har lavet, at hvis modtageradressen ikke findes i listen, vises
en
> > form, hvor der blot er en knap med "tryk her", en hidden variabel med et
> > krypteret tidsstempel og de øvrige variable som hidden.
>
> Skulle der være noget i vejen for at sætte en computer til at trykke
> på knappen med 3 linjer Perl?

Nej, men når der nu findes ca 782933 (mit gæt) andre formmails derude, så
går spammeren nok bare videre til den næste, når min ikke virker.
Og hvis det endelig bliver et problem, så må jeg jo bare lave "hvilket ord
er der skrevet i billedfeltet ovenover.

Desuden, så er en computer sikkert hurtigere end de 3 sekunder, jeg har sat
som minimum response-tid.

Leif




Kim Hansen (16-10-2002)
Kommentar
Fra : Kim Hansen


Dato : 16-10-02 07:42

"Leif Neland" <leif@neland.dk> writes:

> Men det er jo lidt bøvlet at vedligeholde den liste hvis man driver et
> webhotel.

Jeg er lidt i tvivl om hvad du prøver at opnå, hvorfor bruger du ikke
bare en almindelig webmail løsning som f.eks? IMP. Den er sikret ved
at brugerne har et password.

--
Kim Hansen | |\ _,,,---,,_ | Det er ikke
Dalslandsgade 8, A708 | /,`.-'`' -. ;-;;,_ | Jeopardy.
2300 København S | |,4- ) )-,_. ,\ ( `'-' | Svar _efter_
Phone: 32 88 60 86 | '---''(_/--' `-'\_) | spørgsmålet.

Leif Neland (16-10-2002)
Kommentar
Fra : Leif Neland


Dato : 16-10-02 14:20


"Kim Hansen" <k-tahf.qvxh@oek.dk> skrev i en meddelelse
news:x62ptuavqah.fsf@tyr.diku.dk...
> "Leif Neland" <leif@neland.dk> writes:
>
> > Men det er jo lidt bøvlet at vedligeholde den liste hvis man driver et
> > webhotel.
>
> Jeg er lidt i tvivl om hvad du prøver at opnå, hvorfor bruger du ikke
> bare en almindelig webmail løsning som f.eks? IMP. Den er sikret ved
> at brugerne har et password.
>

Der findes et FormMail.pl i det fælles cgi-bin på serveren.

Alle "beboerne" på webhotellet kan benytte det til at lægge en form på deres
sider. Til f.ex. "Send mig en brochure om...".
I den definerer de en hidden variable "recipient", der inderholder
emailadressen, de vil have sendt kundens bestilling til.
F.ex. salg@firma.dk

Problemet er så at spammerne laver deres egen form, der indeholder i
tusindvis af "recipient"s, og kalder FormMail.pl, og derved får sendt deres
gylle fra min server.

Så det jeg vil sikre mig, er at scriptet indsætter et ekstra step, hvis det
er en ny modtageraddresse.

Leif



Kim Hansen (16-10-2002)
Kommentar
Fra : Kim Hansen


Dato : 16-10-02 14:51

"Leif Neland" <leif@neland.dk> writes:

> Alle "beboerne" på webhotellet kan benytte det til at lægge en form på deres
> sider. Til f.ex. "Send mig en brochure om...".
> I den definerer de en hidden variable "recipient", der inderholder
> emailadressen, de vil have sendt kundens bestilling til.
> F.ex. salg@firma.dk
>
> Problemet er så at spammerne laver deres egen form, der indeholder i
> tusindvis af "recipient"s, og kalder FormMail.pl, og derved får sendt deres
> gylle fra min server.
>
> Så det jeg vil sikre mig, er at scriptet indsætter et ekstra step, hvis det
> er en ny modtageraddresse.

Du kunne lade scriptet læse en fil der ligger lokalt hos brugeren som
indeholder de tilladte adresser, så får du stadig den krævede
sikkerhed, men får flyttet administrationen ud til brugerne.

--
Kim Hansen | |\ _,,,---,,_ | Det er ikke
Dalslandsgade 8, A708 | /,`.-'`' -. ;-;;,_ | Jeopardy.
2300 København S | |,4- ) )-,_. ,\ ( `'-' | Svar _efter_
Phone: 32 88 60 86 | '---''(_/--' `-'\_) | spørgsmålet.

Lars Balker Rasmusse~ (16-10-2002)
Kommentar
Fra : Lars Balker Rasmusse~


Dato : 16-10-02 15:17

"Leif Neland" <leif@neland.dk> writes:
> Er der noget galt i min logik her?

Ja. Matt's script suger - kig på http://nms-cgi.sourceforge.net/ i stedet.
--
Lars Balker Rasmussen "Special is bad."

Søg
Reklame
Statistik
Spørgsmål : 177557
Tips : 31968
Nyheder : 719565
Indlæg : 6408866
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste