Veilig gastenboek script?

Thomasje · 19 jan 2014

Beste forummers,
Ik heb op mijn website een eenvoudig gastenboek geplaatst. Ik weet niet meer waar ik het script ooit vond en kan de maker niet vragen in hoeverre het spam safe is. Kan iemand mij dat vertellen?

www.pc-makkelijk.nl/gastenboek/index-gastenboek.php

Kvothe · 19 jan 2014

Waarschijnlijk niet erg veilig - je gebruikt typisch captcha's of een Are you human? vraag tegen spammers..

RogerS · 19 jan 2014

Zelfs een leeg bericht wordt zonder meer geplaatst. Ga er maar van uit dat dit niet veilig is.

Bij een beetje veilig systeem wil je minstens 1 van de volgende 2 dingen:
-Captcha's
-Voordat een bericht wordt geplaatst moet een admin dit eerst akkorderen

Thomasje · 19 jan 2014

Tot nu toe heb ik weliswaar geen spam gekregen, maar kan mijn gastenboek ook misbruikt worden om ANDEREN te spammen?

PgVincent · 19 jan 2014

maar kan mijn gastenboek ook misbruikt worden om ANDEREN te spammen?

Dat kun je zien aan het script; als het de mail() functie gebruikt dan is de kans groot dat het niet veilig is, omdat de mail() functie geen controle doet op extra headers in de body van een email.
Simpel gezegd zou je in het bericht iets kunnen tikken als "cc: anderadres@nergenshuizen.nl\n\nDit is spam" en dan zou mail() een CCtje sturen naar dat adres.

Dit is een van de vele redenen waarom classes zoals PHPMailer en Swiftmailer bestaan; die praten direct met een mailserver en dan wordt de body van een email acht doorgegeven als een body en kan er geen cc meer worden toegevoegd.

Thomasje · 19 jan 2014

PgVincent,
Ik vind in het script gelukkig geen mail(). Ik denk dat ik daarom afwacht of ik spam in het gastenboek krijg. Overigens ben ik ook met Captcha's bezig geweest maar heb dat nog niet aan de praat gekregen. Dat kan ik altijd nog toepassen als het nodig blijkt, tenzij ik nog bezwaren over het hoofd zie want ik heb weinig verstand van PHP.

PgVincent · 19 jan 2014

Als er neit gemailed wordt dan kun je ook nog kijken naar XSS, Cross-Site_Scripting. Als men in het bericht een stuk javascript kan plaatsen dan zal dat worden uitgevoerd op de pagina en dus draaien bij jouw bezoekers, waardoor het script gemachtigd is om alle cookies te bekijken en die weer via een simpele IMG tag door te sturen naar de website van de hacker, die ze vervolgens kan gebruiken om je site te kraken.

Blader via google even naar een paar tutorials ove PHP en XSS, er zijn een paar simpele dingen om dat te kunnen voorkomen, daar hoef je niet eens zoveel PHP voor te kennen

Thomasje · 19 jan 2014

Mijn website gebruikt geen cookies dus...

PgVincent · 19 jan 2014

Dus moet je alsnog kijken of je veilig bent tegen XSS, als iemand een javascript upload die een redirect doet naar een site met heftige porno dan ben je je klanten heel erg snel kwijt.

Thomasje · 19 jan 2014

Wiens cookies zouden er dan bekeken kunnen worden?

Thomasje · 20 jan 2014

Oehoi! Is daar iemand?

Wiens cookies zouden er bekeken kunnen worden?

PgVincent · 20 jan 2014

De cookies van de bezoeker natuurlijk

en mogelijk niet alleen de cookies die voor jou site bedoeld zijn, maar alle cookies van de gebruiker, ook die van inernetbankieren enzo...

kenikavanbis · 21 jan 2014

PgVincent zei:
De cookies van de bezoeker natuurlijk en mogelijk niet alleen de cookies die voor jou site bedoeld zijn, maar alle cookies van de gebruiker, ook die van inernetbankieren enzo...

dat met bankieren is in strijd met de forumregels en nederlandse wetgeving die u verplicht de gebruiker hier op de hoogte te plaatsen van het gebruik hiervan.

"Onder warez valt: illegale software, cracks, serienummers, kortom, dingen waar normaal gesproken een (al dan niet betaalde) licentie voor nodig is.
stelen van cookies valt hier ook onder."

iets betere oplossing kan :
zoals plaatsen van figuurtjes en of berekeningen kunnen hier oplossing bieden
represief kan je ook

PHP:

	$datatosave["info"] = $_post;
    $datatosave["remoteIp"] = $_SERVER["REMOTE_ADDR"];
    $datatosave["timestamp"] = "timestamp".time();
    $log = new log($datatosave,"getEpost.log");//eigen functie kan je ook verzinnen denk ik

PgVincent · 21 jan 2014

dat met bankieren is in strijd met de forumregels en nederlandse wetgeving die u verplicht de gebruiker hier op de hoogte te plaatsen van het gebruik hiervan.

Er is helemaal niets in strijd met de forumregels, lees het topic nog eens goed...

killermenace · 21 jan 2014

@kenikavanbis
Zullen we het modereren aan de moderators overlaten? Lijkt mij wel zo verstandig.
Denkt u dat er iets mis is met een post, dan hebben we daarvoor de "Meld Misbruik" optie bij elke post.

Tha Devil · 21 jan 2014

kenikavanbis zei:
"Onder warez valt: illegale software, cracks, serienummers, kortom, dingen waar normaal gesproken een (al dan niet betaalde) licentie voor nodig is.
stelen van cookies valt hier ook onder."

Die laatste zin staat niet bij de regel in onze voorwaarden. Dat het strafbaar is klopt inderdaad.

Echter wordt er hier niet gevraagd hoe je dat kunt doen, er werd gevraagd wiens cookies er bekeken konden worden.

Thomasje · 21 jan 2014

kenikavanbis,
Dit gaat echt boven mijn pet:

$datatosave["info"] = $_post;
$datatosave["remoteIp"] = $_SERVER["REMOTE_ADDR"];
$datatosave["timestamp"] = "timestamp".time();
$log = new log($datatosave,"getEpost.log");//eigen functie kan je ook verzinnen denk ik

Ik weet van PHP alleen wat basisregels en hoe ik een bestaand script moet gebruiken. Daarom kan ik met jouw aanwijzing helaas niets... tot nu toe

Mijn vraag "wiens cookies?" verdwijnt blijkbaar onbeantwoord in de Nederlandse historie...

PgVincent · 21 jan 2014

Mijn vraag "wiens cookies?" verdwijnt blijkbaar onbeantwoord in de Nederlandse historie...

Dat valt wel mee hoor, als je gewoon alle replies leest dan zie je dat antwoord er ook tussen staan:

De cookies van de bezoeker natuurlijk en mogelijk niet alleen de cookies die voor jou site bedoeld zijn, maar alle cookies van de gebruiker, ook die van inernetbankieren enzo...

Thomasje · 21 jan 2014

Sorry, maar voor mij is alle (blijkbaar heel deskundige) uitleg hier niet allemaal duidelijk, tot nu toe. Ik weet blijkbaar niet hoe cookies werken (dacht aanvankelijk dat ik dat wist).

Ik denk dat ik even afwacht of ik in mijn gastenboek spam krijg. Als dat meevalt dan tref ik verder geen maatregelen, tenzij dat onverstandig is en dat hoop ik dan van jullie te horen.

PgVincent · 21 jan 2014

Ik weet blijkbaar niet hoe cookies precies werken (dacht aanvankelijk dat ik dat wel wist).

Wat je over cookies weet zal vast wel kloppen. XSS is gewoon een gemeen iets. Cookies worden op PC van de bezoeker opgeslagen en door de browser meegestuurd bij pageviews die gaan naar de server die de cookies heeft aangemaakt.

Met javascript kun je die cookies ook lezen, en als een hacker een stuk javascript kan posten in jouw gastenboek dan wordt dat dus uitgevoerd op de pc van de bezoeker. Het script kan dan vervolgens de cookies uitlezen (want de code komt van dezelfde site die de cookies heeft gemaakt) en doorsturen naar zijn eigen server, waarna hij die cookies kan gebruiken om zich voor te doen als de bezoeker van wie hij de cookies heeft gestolen.

Dus nee, niets doen is hier niet verstandig. Je kunt de meeste XSS aanvallen onschadelijk maken door in je gastenboek geen HTML toe te staan, en dat kun je eenvoudig doen door htmlentities() te uit te voeren op de text die je bezoekers invoeren. Dat zet alle tekens zoals < en > om naar < en > en dat wordt door een browser niet meer gezien als HTML of javascript. De XSS code wordt dan gewoon getoond als tekst, in plaats van uitgevoerd.

Veilig gastenboek script?

Gebruiker

Gebruiker

Meubilair

Gebruiker

Gebruiker

Gebruiker

Gebruiker

Gebruiker

Gebruiker

Gebruiker

Gebruiker

Gebruiker

Terugkerende gebruiker

Gebruiker

Meubilair

Moderator

Gebruiker

Gebruiker

Gebruiker

Gebruiker

Wij waarderen jouw privacy