Mailform / Kontaktformular: Sicherheit

Ein CMSimple Support Forum für deutsch sprechende Nutzer und Entwickler
Post Reply
awk
Posts: 15
Joined: Mon Mar 26, 2018 1:00 pm
Location: Am Rande einer Feinstaub & Stickoxydmetropole
Contact:

Mailform / Kontaktformular: Sicherheit

Post by awk » Sat May 12, 2018 9:59 am

Hallo zusammen,

aktuell ist mein Kontaktformular noch außer Betrieb.
Allerding geht mir gerade ein anderes Problem durch den Kopf:
Sind die XH-Kontaktformulare gegen Angriffe sicher? Wenn nein:
Wie kann die Eingabe von ausführbarem Code in ein Kontaktformular verhindert werden?

Grüße
Armin

cmb
Posts: 12777
Joined: Tue Jun 21, 2011 11:04 am
Location: Mü-Sa, RLP, DE
Contact:

Re: Mailform / Kontaktformular: Sicherheit

Post by cmb » Sat May 12, 2018 12:00 pm

awk wrote:
Sat May 12, 2018 9:59 am
Sind die XH-Kontaktformulare gegen Angriffe sicher?
Davon gehe ich zumindest für aktuelle XH-Versionen aus. Dass dort ausführbarer Code eingeschleust werden kann, halte ich für ausgeschlossen, da nichts auf dem Server gespeichert wird (außer beim Fehlschlagen des E-Mail-Versands wird die Absenderadresse in cmsimple/log.txt gespeichert), und die E-Mails als reiner Text versendet werden, so dass kein JavaScript eingeschleust werden kann. Außerdem wird darauf geachtet, dass keine E-Mail-Header-Injektion möglich ist. Dazu kommt, dass CMSimple_XH grundsätzlich alle POST-Daten auf gültiges UTF-8 prüft, so dass UTF-7 oder andere Zeichenkodierungsangriffe ebenfalls nicht möglich sein sollten.
Christoph M. Becker –Plugins for CMSimple_XH, but not for CMSimple 4+

awk
Posts: 15
Joined: Mon Mar 26, 2018 1:00 pm
Location: Am Rande einer Feinstaub & Stickoxydmetropole
Contact:

Re: Mailform / Kontaktformular: Sicherheit

Post by awk » Sat May 12, 2018 8:10 pm

Danke für die schnelle Antwort.
Also sind wir diesbezüglich mit XH auf der eher sicheren Seite.

Post Reply