Wer häufiger mit Formularen zu tun hat, schätzt Bausätze. Zum Beispiel den Dr. Web Kontaktformularbausatz. Auch LightForm könnte ankommen. Das Paket kombiniert FormCheck2 und NiceForms miteinander. Im Ergebnis liefern auf diese Weise erstellte Formulare ein schöneres Design mit Fehlerprüfung, Sprechblase und Spamschutz in Form einer Rechenaufgabe. LightForm braucht PHP und verwendet AJAX.
Sven Lennartz
Sven ist der Erfinder des Dr. Web Magazins, Autor und Herausgeber verschiedener Fachbücher. Als Webdesigner und Texter früher freiberuflich für verschiedene Unternehmen und Verlage tätig. Jetzt Geschäftsführer der Smashing Media GmbH.
ich will ja nicht meckern, aber dieses script ist eine sicherheitskatastrofe. die rechenaufgabe wird bei abgeschaltetem javascript überhaupt nicht ausgewertet und ist sowieso immer die gleiche. na toll. außerdem ist das script anfällig für mail-header-injection-angriffe, was spammer ermöglicht, fremde lightforms für spamming zu missbrauchen.
lightforms sieht gut aus, aber es steckt nix gescheites dahinter.
Kannst du das einem “Laien” bitte mal genauer erklären?
“außerdem ist das script anfällig für mail-header-injection-angriffe, was spammer ermöglicht, fremde lightforms für spamming zu missbrauchen.”
Ich sehe jetzt nicht was bei diesem Formular gefährlicher sein soll als bei anderen?
Danke im voraus
Alex
Danke, Karl, für die kurze Bewertung. Hätte ich sicher auch rausgefunden, hätte aber Zeit gekostet.
Felyx
Eine “sicherheitskatastrofe” ist hier ganz was anderes ;)
Schickes Form. Sehe hier nicht unbedingt ein Problem.
Was Herr Hungus (Kommentar #1) meint ist, dass Lightform von Spammern genutzt werden kann, um an beliebige Adressen Spam zu versenden, mit dem Absender, den man ins Email-Feld eingibt. Die simpelste Methode ist es, einfach mit Firebug das Email-Input-Feld in ein Textarea zu ändern, dann das hier als Absender einzugeben (mit Zeilenumbruch)
rene@reneschmidt.de
To: spam@opfer.de
den Spam ins Nachrichtenfeld einzutragen und das Formular dann abzusenden.
Die Mail wird dann nicht nur dem Besitzer des Kontaktformulars gesendet, sondern auch der Person hinter spam@opfer.de. Automatisieren kann man das natürlich auch noch.
Die Eingaben werden nur per Javascript validiert – und Javascript kann man abschalten, dann wird bei Lightform nichts mehr validiert und man kann alles angeben und absenden, was man will.
Wer Spammern einen Gefallen tun will, sollte sich Lightform installieren, alle anderen sollten besser die Finger davon lassen.
Das Problem ist, dass keinerlei Validitätskontrolle der eingegebenen Daten stattfindet, außer durch FormCheck2, was aber dummerweise nur ein Javascript-Tool ist…
D.h. ich kann beliebigen Kram bei Name und E-Mail eintragen… eben auch die von Karl erwähnten vom Spammer gewünschten Mail-Header. Nicht gut. Usereingaben sollten immer auf Gültigkeit/Regularität geprüft werden, zumal dann, wenns ie für so Sachen wie
mail($to, $subject, $msg, "From: $email\r\nReply-To: $email\r\nReturn-Path: $email\r\n")verwendet werden…
PS: …alle anderen sollten besser die Finger davon lassen ODER das Skript besser absichern. Wie das geht, kann man hier nachlesen: http://www.drweb.de/weblog/weblog/?p=534
Ich brauche wohl nicht zu erwähnen, dass der DrWeb-Kontaktformularbausatz zumindest gegen diese simple Attacke gewappnet ist. :) Zugegeben, das Standard-Formular sieht nicht so süß aus wie das von Lightform, aber es ist auch nur ein Bausatz, der in ein bestehendes Design angepasst werden sollte.
Man… Hier habe ich ja mehr in den Kommentaren gelernt als in dem eigentlichen Artikel ;)
Ralph
Diese kleinigkeit könnte auch ruhig im Artikel erwähnt werden. Zumindest jetzt nachträglich mal Oo