News - Features - Downloads - Forum - Team - Support - Switch View: Screen
Login - Registrierung - Passwort vergessen

Antworten: 27
Seite [1] 2 >
Cerja


Beginner




Beiträge: 2
# Thema - 13.02.2011 um 21:26 Uhr
Nabend,

ich will gar nicht groß um den heißen Brei herumreden, seht selbst:

http://www.google.de/#q="/mods/ajax/mail.php%3Fmail%3D"&hl=de

Fast jede von Google indizierte URL auf die ajax/mail.php mit entsprechendem Parameter spuckt eine Email Adresse im Klartext aus. Funktioniert übrigens auch wunderbar bei deaktiviertem Ajax Modul, was bei dem Codeschnipsel in der mail.php auch kein Wunder ist.

Aufgefallen ist das bei Suchergebnissen zu unserer eigenen CSphere Seite, aber wie man oben sieht, findet sich da anscheinend auf nahezu jeder Seite etwas.

Fragen, die ich hier gerne geklärt haben möchte:
- An welcher Stelle werden diese URLs erzeugt, so daß sie für Suchmaschinen (und Spamharvester...) indizierbar werden?
- Welche CSphere Funktionalitäten sind von der ajax/mail.php abhängig?
- Wie stellt man das konsequent ab, ohne vorhandene Funktionalität zu beschneiden?
- Ist dieses Verhalten Absicht? (Rhethorische Frage, aber man weiß ja nie...)

Cerja
Inaktiv
duRiel ClanSphere Team


Weltmeister




Herkunft: Cambridge
Beiträge: 7300
# Antwort: 1 - 13.02.2011 um 22:00 Uhr
hi,

das ist uns schon klar.

durch diese variante stehen nicht überall im forum und an anderen stellen die email im klartext, so dass die crawler, die nach mailto:adresse (at) domain (dot) tld suchen, nichts finden. zudem haben wir eine zentrale zugriffsstelle auf die mails, so dass man den zugriffsschutz auf die mails zentral an einer stelle managen kann, zum beispiel indem man crawler für diese datei nicht erlaubt.

gruß
duRiel


Inaktiv
|
SCHIRI ClanSphere Team


Weltmeister



Herkunft: Hamburg
Beiträge: 5299
# Antwort: 2 - 14.02.2011 um 01:01 Uhr
der einzige Fehler liegt darin, dass keine robots.txt vorhanden ist, die den suchmaschinen den zugriff auf die mail.php verweigert.


------------------
www.laszlokorte.de

Inaktiv
|
hajo ClanSphere Team


VIP - Poster




Herkunft: Barsbüttel
Beiträge: 9411
# Antwort: 3 - 14.02.2011 um 17:03 Uhr
ansonsten könnte man einfach wohl auch mal überlegen diesen gesendeten hash wert anders zu übertragen ^^


------------------
ClanSphere - professional clan care starts here

Inaktiv
|
Cerja
Thread-Ersteller


Beginner




Beiträge: 2
# Antwort: 4 - 14.02.2011 um 22:16 Uhr
Ein Spam Harvester wird sich einen feuchten Kehricht um eine robots.txt oder dergleichen scheren. Damit hält man vielleicht noch "die Guten" ™ Suchmaschinen vom indizieren ab, aber nicht die Bots, die man eigentlich fernhalten will.

Im übrigen serviert Google auch zu diesem Forum hier einen Schwung perfekt parsebarer Mailadressen...

Mir ist derzeit noch nicht ganz klar, was da alles an Funktionalität dranhängt, bzw. was ich momentan kaputtmachen würde, wenn ich das echo in der mail.php als Workaround einfach rausnehme. Der Callstack geht wohl hoch bis in die cs_html_mail(), und die wird ja von einigen Modulen verwendet.

Eine Alternative ohne den Umweg über die mail.php wär natürlich wünschenswert, um dieses Datenleck trocken zu legen. Aber ich hab momentan leider noch nicht genug Überblick über die Code-Zusammenhänge um da einen praktikablen Vorschlag machen zu können.


Inaktiv
|
SCHIRI ClanSphere Team


Weltmeister



Herkunft: Hamburg
Beiträge: 5299
# Antwort: 5 - 14.02.2011 um 22:41 Uhr
naja eigentlich macht die mail.php ja nichts besonderes.

Das ziel ist halt, dass email-links sollen halt anklickbar sein. Dafür würde dann normaler weise im Quelltext stehen:

mailto:deine (at) email (dot) de

Dann liesse sich der Quelltext ganz einfahc nach Mailadressen durchforsten.
Stattdessen wird also auf die mail.php verlinkt. Als parameter wird die "verschlüsselte" Email-Adresse übergeben. Die mail.php entschlüsselt das ganze und gibt die klartext email aus.

Das ganze ist eigentlich kein wirklicher Schutz, sondern nur ein kreativer Weg bei dem darauf gesetzt wird, dass nur Clansphere es so macht.

Eine besondere Lücke entsteht dadurch aber auch nicht, weil die Email-Adresse ja sowieso irgendwo als Klartext stehen würde. Für irgendwelche Mail-Crawler ist das also total egal.

Nur wenn man jetzt google benutzt fällt es eben besonders auf, dass man ganz einfach direkt an eine Liste mit Email-Adressen kommt und das leisse sich durch die robots.txt verhindern.

Es wurde quasi eine Tür ohne schloss durch eine Tür mit einem Schloss, in dem aber schon der Schlüssel steckt, ersetzt.


------------------
www.laszlokorte.de

Zuletzt editiert von SCHIRI ClanSphere Team am 14.02.2011 um 22:42 Uhr (1x Editiert)
Inaktiv
|
hajo ClanSphere Team


VIP - Poster




Herkunft: Barsbüttel
Beiträge: 9411
# Antwort: 6 - 14.02.2011 um 22:50 Uhr
das behebt aber nur das problem und nicht die ursache

anderer algorithmus als base64 sollte schon helfen, jedenfalls irgend etwas, dass nicht direkt wieder zurückübersetzbar ist, z.b. ein salted hash


------------------
ClanSphere - professional clan care starts here

Inaktiv
|
SCHIRI ClanSphere Team


Weltmeister



Herkunft: Hamburg
Beiträge: 5299
# Antwort: 7 - 14.02.2011 um 23:08 Uhr
die email-adressen müssen ja aber irgendwo im klartext stehen, sonst sind sie für die user ja nicht benutzbar.


------------------
www.laszlokorte.de

Inaktiv
|
hajo ClanSphere Team


VIP - Poster




Herkunft: Barsbüttel
Beiträge: 9411
# Antwort: 8 - 15.02.2011 um 00:34 Uhr
können in das base64 ja einfach noch nen string vorweg mit reinlegen, dadurch das der cut punkt bekannt ist kann mans danach wieder auseinander nehmen ^^


------------------
ClanSphere - professional clan care starts here

Inaktiv
|
Jam2 ClanSphere Team


Highlander





Beiträge: 3291
# Antwort: 9 - 15.02.2011 um 07:40 Uhr
Nein? Wie willst du dann prüfen, dass du der Aufrufer ein Mail Programm oder soetwas ist ?


------------------
Gruß/ Best regards
Jam2

Nützliche Forumbeiträge/Codepastes: (Useful comments in our board / codepastes)
Template Switch for index.php
Board Navlist last posts

Edi: könnte man denn auch hier eine erweiterung einfügen?
Jam2: das web ist wie toyota.....
Edi: hö ?
Jam2: nichts ist unmöglich!


Inaktiv
|
Fr33z3m4n ClanSphere Team


Medal of Honor




Herkunft: Hamm
Beiträge: 11094
# Antwort: 10 - 15.02.2011 um 08:11 Uhr
15.02.2011 um 07:40 Uhr - Jam2:
Nein? Wie willst du dann prüfen, dass du der Aufrufer ein Mail Programm oder soetwas ist ?

Kannst du doch ej nicht. War auch nie vorgesehen, weil der Aufruf des Mail-Programs dein Browser übernimmt, und nicht der Server.
Salted Hash oder gar beim base64 ein Filter davor, wäre sicherlich schon ein Schritt weiter.
Ggf. könnte man Javascript noch miteinbinden, welches ja bekannterweise die Bots nicht nutzen.


------------------
mfg
Patrick "Fr33z3m4n" Jaskulski

Antoine de Saint-Exupéry: Wenn Du ein Schiff bauen willst, so trommle nicht Männer zusammen, um Holz zu beschaffen, Aufgaben zu verteilen, sondern lehre die Männer die Sehnsucht nach dem endlosen weiten Meer.

Inaktiv
|
Jam2 ClanSphere Team


Highlander





Beiträge: 3291
# Antwort: 11 - 15.02.2011 um 19:40 Uhr
@patrick
auf das wollte ich raus, dass dies nicht geht.

In der Lösung atm einfach einen Hash einzubauen bringt ja auch nichts. Dieser Hash müsste dann auch wieder in der mail.php aufgelöst werden ( bzw. Hashs kann man nicht einfach so auflösen, i know ) und die Ausgabe wäre die selbe ;O?



------------------
Gruß/ Best regards
Jam2

Nützliche Forumbeiträge/Codepastes: (Useful comments in our board / codepastes)
Template Switch for index.php
Board Navlist last posts

Edi: könnte man denn auch hier eine erweiterung einfügen?
Jam2: das web ist wie toyota.....
Edi: hö ?
Jam2: nichts ist unmöglich!


Inaktiv
|
hajo ClanSphere Team


VIP - Poster




Herkunft: Barsbüttel
Beiträge: 9411
# Antwort: 12 - 15.02.2011 um 19:52 Uhr
naja, wenn mit einem string en- und decodiert wird, der nur dem script bekannt ist, sollte es doch abgesichert genug sein


------------------
ClanSphere - professional clan care starts here

Inaktiv
|
Jam2 ClanSphere Team


Highlander





Beiträge: 3291
# Antwort: 13 - 15.02.2011 um 19:56 Uhr
Wenn du jetzt von Javascript als Decoder redest, stimm ich dir soweit zu


------------------
Gruß/ Best regards
Jam2

Nützliche Forumbeiträge/Codepastes: (Useful comments in our board / codepastes)
Template Switch for index.php
Board Navlist last posts

Edi: könnte man denn auch hier eine erweiterung einfügen?
Jam2: das web ist wie toyota.....
Edi: hö ?
Jam2: nichts ist unmöglich!


Zuletzt editiert von Jam2 ClanSphere Team am 15.02.2011 um 19:56 Uhr (1x Editiert)
Inaktiv
|
hajo ClanSphere Team


VIP - Poster




Herkunft: Barsbüttel
Beiträge: 9411
# Antwort: 14 - 15.02.2011 um 20:00 Uhr
javascript arbeitet hier nur sondierend, nicht verändernd. das kann doch vollständig im php code geschehen


------------------
ClanSphere - professional clan care starts here

Inaktiv
|
Jam2 ClanSphere Team


Highlander





Beiträge: 3291
# Antwort: 15 - 15.02.2011 um 20:06 Uhr
Und wie? Wenn du jetzt den Base64 Encodest (Get) und im PHP den Decodest und Ausgibst passiert doch das selbe wie ATM?


Also entweder sehe ich die Lösung vor Augen nicht (überarbeitet und müde ) oder ich versteh etwas total Falsch


------------------
Gruß/ Best regards
Jam2

Nützliche Forumbeiträge/Codepastes: (Useful comments in our board / codepastes)
Template Switch for index.php
Board Navlist last posts

Edi: könnte man denn auch hier eine erweiterung einfügen?
Jam2: das web ist wie toyota.....
Edi: hö ?
Jam2: nichts ist unmöglich!


Inaktiv
|
hajo ClanSphere Team


VIP - Poster




Herkunft: Barsbüttel
Beiträge: 9411
# Antwort: 16 - 15.02.2011 um 20:20 Uhr
am besten bereden wir das mal über convore, schlage dafür sonntag 20 uhr vor


------------------
ClanSphere - professional clan care starts here

Zuletzt editiert von hajo ClanSphere Team am 15.02.2011 um 20:20 Uhr (1x Editiert)
Inaktiv
|
SCHIRI ClanSphere Team


Weltmeister



Herkunft: Hamburg
Beiträge: 5299
# Antwort: 17 - 15.02.2011 um 23:01 Uhr
Es gibt dafür keine Lösung, ausser dass Email-Adressen einfach nicht öffentlich gemacht, sondern nur für den systeminternen versand von aktivierungsmails verwendet werden.


------------------
www.laszlokorte.de

Inaktiv
|
Fr33z3m4n ClanSphere Team


Medal of Honor




Herkunft: Hamm
Beiträge: 11094
# Antwort: 18 - 16.02.2011 um 08:20 Uhr
15.02.2011 um 23:01 Uhr - SCHIRI:
Es gibt dafür keine Lösung, ausser dass Email-Adressen einfach nicht öffentlich gemacht, sondern nur für den systeminternen versand von aktivierungsmails verwendet werden.

Das wäre die einzige Möglichkeit, eMail-Adressen zu schützen. Alles andere, egal ob mit Hashes usw., sobald die "unverschlüsselte" eMail an den Client geht, hat der Bot diese auch.

@hajo da ist es eigentlich scheiss egal, WIE wir die eMail Adresse verschlüsseln. Einzig allein, der versand vom Server an den Clienten ist dann wieder unverschlüsselt, es sei denn, du sagst Outlook & Co., hier habt ihr einen von unseren Schlüsseln, nur damit könnte ihr die eMail Adresse entschlüsseln
Glaub aber kaum, dass MS da mitspielt *g

Wie Schiri schon sagte, ein eigener Mailversand über die Page, wäre die einzige Möglichkeit, sich gegen Bots zu wehren.


------------------
mfg
Patrick "Fr33z3m4n" Jaskulski

Antoine de Saint-Exupéry: Wenn Du ein Schiff bauen willst, so trommle nicht Männer zusammen, um Holz zu beschaffen, Aufgaben zu verteilen, sondern lehre die Männer die Sehnsucht nach dem endlosen weiten Meer.

Inaktiv
|
hajo ClanSphere Team


VIP - Poster




Herkunft: Barsbüttel
Beiträge: 9411
# Antwort: 19 - 16.02.2011 um 08:36 Uhr
schon klar, aber ich würde das trotzdem gern mal allgemein durchsprechen und alle alternativen durchkauen, auch wenn am ende nur eine robots.txt dabei rauskommen sollte


------------------
ClanSphere - professional clan care starts here

Inaktiv
|
ichraffsnicht ClanSphere Team

Supporter
Supporter



Herkunft: Erdeborn bei Lutherstadt Eisleben
Beiträge: 3191
# Antwort: 20 - 16.02.2011 um 08:41 Uhr
mir für meinen teil istist es wurst ob meine email irgendwo steht. meine name steht auch am klingelschild. ich weiß ich bin ganzschön leichtsinnig. aber ob irgendjemand geld damit verdient, das er meine adresse verkauft, ist mir sowas von egal, soll er mir spam schicken, der wird eh gefiltert... irgendwann sollte man halt einsehen, das man preventiv nichts gegen phishing und spam machen kann.


------------------



Inaktiv
|
Antworten: 27
Seite [1] 2 >


Sie müssen sich registrieren, um zu antworten.


ClanSphere Project - Mailus - Imprint - Disclaimer - Scriptinfo