Roskaposti ja web-lomakkeet

wanders · Viesti Kirjoittaja **wanders** » 15.1.2007 klo 15.41

Ei tämä ihan yleistä mac-keskustelua ole, mutta en keksinyt parempaakaan osastoa, jossa tällä olisi riittävästi näkyvyyttä.

"Yritysten kotisivut roskapostin uusia pesäpaikkoja" (Digitoday 15.1.)

Rupesin miettimään, että kuinka weppilomakkeet pystyy suojaamaan parhaiten ja helpoiten, jotta niitä ei voisi käyttää mahdollisiin roskapostihyökkäyksiin. Eli miten ei kannata toteuttaa, miten kannattaa toteuttaa?

TheKraken · Viesti Kirjoittaja **TheKraken** » 15.1.2007 klo 16.25

Ainut vaihtoehto on toki erottaa spämmääjät tavallisista käyttäjjstä.

Suurin erohan heidän välillä on se, ette spämmääjät ovat tietokoneita ja toiset ihmisiä.

Yleisimpiä ovat nämä "kirjoita kuvassa näkemäsi merkit allaolevaan lootaan". Tai sitten jos kyseessä on vaikka suomenkielinen sivusto, niin voi kokeilla jippoa "Kirjoita tähän kenttään: homppulainen". Ei englantia tajuavat botit tuota hoksaa.

wanders · Viesti Kirjoittaja **wanders** » 15.1.2007 klo 20.17

Mä tarkoitin kysymyksellä sitä, että onko olemassa jotain tapoja tehdä sähköpostilomake niin huonosti, että sitä voidaan surutta käyttää spammaamiseen. Tai siis onko mahdollista tehdä se niin hyvin, että sitä ei voi käyttää spämmäämiseen.

Oletukseni on, että nettisivujen sähköpostilomakkeita voidaan joissain tilanteissa käyttää ns. avoimina spämmipostin lähettäjinä, jolloin lomakkeen vastaanottaja, lähettäjä etc. tiedot muutetaan. Olenko tässä luulossa aivan väärässä?

Ymmärrän tuon "Kirjoita kuvassa näkyvä merkkijono tähän kenttään" -systeemin, että sillä estetään koneiden automaattiset lomakkeiden lähettämiset. Mutta ymmärsin tuosta Digitodayn artikkelistakin, että tässä on hieman eri asiasta kyse.

TheKraken · Viesti Kirjoittaja **TheKraken** » 15.1.2007 klo 20.20

Hmm. Kyllä minä tuon jutun ymmärrän nimenomaan niin, että yrityksille koituu haittaa siitä että heidän lomakkeidensa kautta tulee roskapostia. Ennen vanhaanhan noita lomakkeita ei edes suodatettu vaan ne päästettiin suoraan läpi.

wanders · Viesti Kirjoittaja **wanders** » 15.1.2007 klo 20.25

Niin kai se on. Luin sen oma filtteri silmillä.

AnttiJN · Viesti Kirjoittaja **AnttiJN** » 17.1.2007 klo 13.43

Veikkaan että tuossa artikkelissa on kyse tästä: http://en.wikipedia.org/wiki/Email_injection
Yksityiskohtaisemmin täällä: http://www.securephpwiki.com/index.php/Email_Injection

wanders · Viesti Kirjoittaja **wanders** » 17.1.2007 klo 14.55

Kiitos vinkeistä!
Pitääpä tutkia, mitä palveluntarjoajalla on aiheesta tarjolla, onko jotain valmiita ratkaisuja olemassa.

Thoth · Viesti Kirjoittaja **Thoth** » 17.1.2007 klo 21.54

wanders kirjoitti:Kiitos vinkeistä!
Pitääpä tutkia, mitä palveluntarjoajalla on aiheesta tarjolla, onko jotain valmiita ratkaisuja olemassa.

Vastaanottajan email-osoitetta toki ei kannata lähettää web-sivulta vaan konfiguroida palvelimelle.

Jos tuo on kunnossa, niin sitten kannattaa katsoa, miten palvelimen ohjelma lähettää viestin eteenpäin. Ongelma on, että joissain toteutuksissa voi esimerkiksi lisätä uusia headereita mailiin. Eli pitäisi katsoa, miten palvelimen ohjelma lähettää viestin eteenpäin ja varmistua, että tässä kohdassa ei voi huijata ohjelmaa lähettämään viestiä jonnekin muualle. Ihan yleistä sääntöä tuohon ei ole, sillä palvelimen ohjelma voi lähettää viestin eteenpäin monella eri tavalla.

wanders · Viesti Kirjoittaja **wanders** » 18.1.2007 klo 20.06

Thoth kirjoitti: Vastaanottajan email-osoitetta toki ei kannata lähettää web-sivulta vaan konfiguroida palvelimelle.

Joo no tuohan olisi jo melkein spammiposteri, jos jättäisi vastaanottajan osoitetiedon lähettäjän täytettäväksi.

Mietin noita ylläolevan linkin ohjeita, että josko mahdolliset from- ja subject-kentät tulisi ajaa regexpsin läpi ja tarkistaa, ettei niissä ole rivinvaihtoja. Varsinaista viestiä en voi näin käsitellä, koska ne sisältävät luonnostaan rivinvaihtoja.

AnttiJN · Viesti Kirjoittaja **AnttiJN** » 18.1.2007 klo 21.49

Itse olen projekteissani käyttänyt jo yllämainittua kuvatarkistusta. Tuo käyttämäni skripti löytyy täältä: http://magix.c97.net/read.php?14

Noita regexp juttujakin kokeilin, mutta ne eivät tuntuneet vähentävän roskapostia - voi olla että en vain osannut

. Tuosta itse viestistäkin voisi etsiä jotain Bcc: -tyyppisiä kohtia...

Joka tapauksessa kun otin tuon linkistä löytyvän varmennuskriptin käyttöön niin roskapostin tuleminen(ja lähteminen) loppui, joten poistin kaikki turhat regexp -kentät.

wanders · Viesti Kirjoittaja **wanders** » 18.1.2007 klo 22.04

Kun tää aihe on mulle vielä joiltain osin jäsentymätön, niin osaisiko joku vastata näihin kysymyksiin:

a) Voiko php-skriptini, joka käyttää mail()-komentoa, ryöstää roskapostin lähetykseen jos en ole huomioinut sen poissulkua (regexpsillä tai muulla menetelmällä)? En tarkoita itselleni tulevaa roskapostia.

b) Voiko samaa ryöstötekniikkaa käyttää niin, että sillä ongitaan php-skriptissa oleva sähköpostiosoitteeni.

Jos tuo b) on mahdollista, niin se selittäisi miksi varsin vähän julkisuutta saanut sähköpostiosoitteeni saastui melko nopeasti.

AnttiJN · Viesti Kirjoittaja **AnttiJN** » 18.1.2007 klo 22.32

wanders kirjoitti: a) Voiko php-skriptini, joka käyttää mail()-komentoa, ryöstää roskapostin lähetykseen jos en ole huomioinut sen poissulkua (regexpsillä tai muulla menetelmällä)?

Tietääkseni kyllä, mutta aina kun sillä lähetetään roskapostia saat myös itse viestin siihen osoitteeseen johon skripti on ohjelmoitu lähettämään. Tuolla email-injection tekniikalla pystyy lisäämään vastaanottajia, mutta ei poistamaan niitä.

wanders kirjoitti: b) Voiko samaa ryöstötekniikkaa käyttää niin, että sillä ongitaan php-skriptissa oleva sähköpostiosoitteeni.

Jos tuon skriptin saa lähettämään viestiä muihinkin osoitteisiin kuin oli tarkoitus niin tottakai muut vastaanottajat voivat lukea viestistä mihin viesti oli pääasiallisesti menossa. Suoraan php-skriptin seasta sitä ei voi mielestäni onkia.

wanders · Viesti Kirjoittaja **wanders** » 18.1.2007 klo 23.49

AnttiJN kirjoitti:Tietääkseni kyllä, mutta aina kun sillä lähetetään roskapostia saat myös itse viestin siihen osoitteeseen johon skripti on ohjelmoitu lähettämään. Tuolla email-injection tekniikalla pystyy lisäämään vastaanottajia, mutta ei poistamaan niitä.

wanders kirjoitti: b) Voiko samaa ryöstötekniikkaa käyttää niin, että sillä ongitaan php-skriptissa oleva sähköpostiosoitteeni.
Jos tuon skriptin saa lähettämään viestiä muihinkin osoitteisiin kuin oli tarkoitus niin tottakai muut vastaanottajat voivat lukea viestistä mihin viesti oli pääasiallisesti menossa. Suoraan php-skriptin seasta sitä ei voi mielestäni onkia.

Hmm, miksiköhän minulle tulee roskapostia siihen epäilemääni osoitteeseen?
Olisiko mahdollista, että ne ovat juuri näitä väärennettyjen postien roskia?
Niitä tulee melko tasaisesti, joskus tunnin välein (muutaman minuutin heitto).

Pitäisköhän ihan oikeasti tarkistaa, ettei noista lomakkeista lähetellä mitään ylimääräistä?

Thoth · Viesti Kirjoittaja **Thoth** » 19.1.2007 klo 0.52

wanders kirjoitti:
Thoth kirjoitti: Vastaanottajan email-osoitetta toki ei kannata lähettää web-sivulta vaan konfiguroida palvelimelle.
Joo no tuohan olisi jo melkein spammiposteri, jos jättäisi vastaanottajan osoitetiedon lähettäjän täytettäväksi.

Joskus web-koodaajat ovat myös voineet ajattelemattaan laittaa vastaanottajan "näkymättömäksi" parametriksi, eli sellaiseksi, että se näkyy esimerkiksi selaimen "View source"lla. Tällaisiäkin voi huijata helposti.

Mietin noita ylläolevan linkin ohjeita, että josko mahdolliset from- ja subject-kentät tulisi ajaa regexpsin läpi ja tarkistaa, ettei niissä ole rivinvaihtoja. Varsinaista viestiä en voi näin käsitellä, koska ne sisältävät luonnostaan rivinvaihtoja.

Ehkä pitää, mutta riippuu siitä, miten lähetät postisi eteenpäin.

Thoth · Viesti Kirjoittaja **Thoth** » 19.1.2007 klo 1.21

wanders kirjoitti:Kun tää aihe on mulle vielä joiltain osin jäsentymätön, niin osaisiko joku vastata näihin kysymyksiin:

a) Voiko php-skriptini, joka käyttää mail()-komentoa, ryöstää roskapostin lähetykseen jos en ole huomioinut sen poissulkua (regexpsillä tai muulla menetelmällä)? En tarkoita itselleni tulevaa roskapostia.

En ole koskaan käyttänyt php:tä tai php:n mail()-komentoa. Yritän vastata tuon wiki-kuvauksen perusteella, joten voin olla myös väärässä detaljeissa.

Tuo mail()-funktio ilmeisesti näyttää tältä:

mail($recipient,$subject,$message,$headers);

Mail() ilmeisesti osaa hoitaa $recipient, $subject, $message ihan hyvin tuon injection-jutun puolesta, mutta jos From-kenttä asetetaan tuossa $header:ssä, niin sitten tosiaan voi olla väärinkäyttömahdollisuus. Jos asetat myös aiheen ja lähettäjän $headers-kohdassa, niin sitten niitäkin voi väärinkäyttää.

Kaikki, mitä laitat tuohon $headers-kohtaan, kannattaa vähintää tarkistaa, putsata regexpillä noiden ohjeiden mukaan, tms.

b) Voiko samaa ryöstötekniikkaa käyttää niin, että sillä ongitaan php-skriptissa oleva sähköpostiosoitteeni.

Jos tuo b) on mahdollista, niin se selittäisi miksi varsin vähän julkisuutta saanut sähköpostiosoitteeni saastui melko nopeasti.

No, ei varsinaisesti onkia, mutta tuolla tekniikalla spammatyissä maileissa voi teoriassa olla oma osoitteesi mukana jossain muodossa. Tuskin kukaan spammaaja kuitenkaan käyttää tuota tekniikka onkiakseen juuri sinun osoitteesi.

Thoth · Viesti Kirjoittaja **Thoth** » 19.1.2007 klo 1.32

wanders kirjoitti: Pitäisköhän ihan oikeasti tarkistaa, ettei noista lomakkeista lähetellä mitään ylimääräistä?

No, ehkä voit laittaa skriptisi esimerkiksi kirjoittamaan palvelimelle jotain lokia, johon tallentuu kaikki kaikki mail()-funktiolle menevät parametrit tai jotain vastaavaa. Voit myös kokeilla esimerkiksi jonkin aikaa pitää skriptissäsi toistakin mail-funktiota, jossa oma osoitteesi on kovakoodattu, $headersia ei aseteta ollenkaan ja $message-kohtaan laitetaan mielenkiintoista tietoa (mail()-funktion pitäisi huolehtia siitä, että $message-kohdassa ei voi tuolla tekniikalla huijata).

Anteeksi kolme peräkkäistä viestiä samasta aiheesta, taitaa olla aika mennä zzz.