Hallo zusammen,
aktuell ist mein Kontaktformular noch außer Betrieb.
Allerding geht mir gerade ein anderes Problem durch den Kopf:
Sind die XH-Kontaktformulare gegen Angriffe sicher? Wenn nein:
Wie kann die Eingabe von ausführbarem Code in ein Kontaktformular verhindert werden?
Grüße
Armin
Mailform / Kontaktformular: Sicherheit
Re: Mailform / Kontaktformular: Sicherheit
Davon gehe ich zumindest für aktuelle XH-Versionen aus. Dass dort ausführbarer Code eingeschleust werden kann, halte ich für ausgeschlossen, da nichts auf dem Server gespeichert wird (außer beim Fehlschlagen des E-Mail-Versands wird die Absenderadresse in cmsimple/log.txt gespeichert), und die E-Mails als reiner Text versendet werden, so dass kein JavaScript eingeschleust werden kann. Außerdem wird darauf geachtet, dass keine E-Mail-Header-Injektion möglich ist. Dazu kommt, dass CMSimple_XH grundsätzlich alle POST-Daten auf gültiges UTF-8 prüft, so dass UTF-7 oder andere Zeichenkodierungsangriffe ebenfalls nicht möglich sein sollten.
Christoph M. Becker – Plugins for CMSimple_XH
-
- Posts: 15
- Joined: Mon Mar 26, 2018 1:00 pm
- Location: Am Rande einer Feinstaub & Stickoxydmetropole
- Contact:
Re: Mailform / Kontaktformular: Sicherheit
Danke für die schnelle Antwort.
Also sind wir diesbezüglich mit XH auf der eher sicheren Seite.
Also sind wir diesbezüglich mit XH auf der eher sicheren Seite.