Zum Inhalt springen
View in the app

A better way to browse. Learn more.
Fachinformatiker.de

A full-screen app on your home screen with push notifications, badges and more.

To install this app on iOS and iPadOS
  1. Tap the Share icon in Safari
  2. Scroll the menu and tap Add to Home Screen.
  3. Tap Add in the top-right corner.
To install this app on Android
  1. Tap the 3-dot menu (⋮) in the top-right corner of the browser.
  2. Tap Add to Home screen or Install app.
  3. Confirm by tapping Install.

Sicherheitsrisiko formmail.pl

Gast Skerbis
Gast Skerbis
in Security

Empfohlene Antworten

Sicherheitsrisiko Formmail.pl

In letzter Zeit ist es ziemlich oft aufgetreten, dass das beliebte Skript formmail.pl zur Versendung von SPAM missbraucht wurde.

Oft liegt dies an der Verwendung einer veralteten Version dieses Skriptes.

Um unerwünschten Ärger fernzuhalten empfiehlt es sich das Skript zu ersetzen.

Hier hilft der Austausch des Skriptes durch die neue Version 1.9.

Diese findet Ihr unter:

http://www.worldwidemart.com/scripts/

Eine angepasste deutsche Version (Fehlerausgaben in Deutsch + Stylesheets) findet Ihr unter: X Pirate Cross

Noch ein Tipp:

Da Sicherheitslücken in Skripten niemals auszuschließen sind, empfiehlt es sich die Skripte grundsatlich bei Installation auf dem Server umzubenennen. So kann das zu mißbrauchende Skript durch einen SCAN der Website nicht gefunden werden. Die SPAMMER in diesem Fall würden aufgeben nach dem Skript zu suchen.

Thomas Skerbis

KLXM Crossmedia GmbH

http://www.klxm.de

Genau über so ein Mailformular hab ich letztens erst einen Virus bekommen sollen, aber dank E-Mail Filter is nur ein txt file angekommen. Danach hat dann der Betreiber der Webseite eine Nette E-mail mit Netten hinweisen von mir bekommen.

Warum findet ein Script mit solchen löchern nur so hohen anklang:confused: :confused:

Wenn sogar der Empfänger und der Betreff über Hidden fields übergeben werden obwohl sie auch fest im Script implementiert sein könnten. So ein Stumpfsinn.:rolleyes:

Wenn sogar der Empfänger und der Betreff über Hidden fields übergeben werden obwohl sie auch fest im Script implementiert sein könnten. So ein Stumpfsinn.:rolleyes:

Na ja, auf diese Weise ist das Script natürlich extrem flexibel.

Allerdings sollte schon die Sicherheit im Vordergrund stehen :)

Ja, deswegen hab ich hier diesen "WICHTIGEN" Tipp veröffentlicht.

Die hidden Fileds sind nicht das Problem.

Wichtig ist, dass im Skript eindeutig klargestellt ist welche Domain die Emails empfangen darf. Ist das gewährleistet, kann auch kein SPAM mehr versendet werden, da es ja nur eine Domain gibt, die empfangsberechtigt ist. Ok, bei T-Online und anderen Domains, die sehr viiele User haben, sollte man nur die Email-Adresse angeben, die empfangsberechtigt ist.

Archiv

Dieses Thema wurde archiviert und kann nicht mehr beantwortet werden.

Zur Themenliste gehen

Konto

Navigation

Suchen

Suchen

Configure browser push notifications
Chrome (Android)
  1. Tap the lock icon next to the address bar.
  2. Tap Permissions → Notifications.
  3. Adjust your preference.
Chrome (Desktop)
  1. Click the padlock icon in the address bar.
  2. Select Site settings.
  3. Find Notifications and adjust your preference.