Veilig gastenboek script?

[Thomasje]

Sorry, maar voor mij is alle (blijkbaar heel deskundige) uitleg hier niet allemaal duidelijk, tot nu toe. Ik weet blijkbaar niet hoe cookies precies werken (dacht aanvankelijk dat ik dat wel wist). Maar ik denk dat ik even afwacht of ik in mijn gastenboek spam krijg. Als dat meevalt dan tref ik verder geen maatregelen, tenzij dat onverstandig is.

 

[Thomasje]

Ik heb dit in het gastenboek gepost:
<b>vette tekst</b>
en dat wordt niet vet. Blijkbaar laat dit script al geen HTML toe.

 

[PgVincent]

Inderdaad, dat scheelt weer een hoop gedoe.

PS: iets te snel gezegd, want dat een tekst niet vet wordt kan ook komen omdat er een stuk CSS in je site zit die de stijl verandert.

Probeer het nog eens met een echt stuk javascript:

<script>alert('Dit is een stuk javascript');</script>

Als dat geen popup opent zou je veilig moeten zijn...

 

[Thomasje]

Nadat ik dat deed was het gastenboek leeg. Er kwam geen pop-up.

P.S. Er zit geen CSS in het gastenboek.

 

[PgVincent]

Nadat ik dat deed was het gastenboek leeg. Er kwam geen pop-up.

Dat ziet er goed uit.

P.S. Er zit geen CSS in het gastenboek.

De CSS kan in principe overal zitten, als er om welke reden dan ook een CSS bestand wordt geladen op de pagina waar het geastenboek staat dan kan het al een oorzaak zijn.
Afijn, dat zijn details, het gaat erom dat er geen popup kwam.

 

[Thomasje]

Mooi.
Nog een vraag: het PHP-script heb ik ingepast in een HTML-pagina waar CSS in wordt toegepast, maar er bestaat geen apart CSS-bestand. Kan deze CSS ook misbruikt worden?

 

[PgVincent]

CSS kan niet op een echt foute manier misbruikt worden, het geeft alleen aan hoe de site eruitziet. In het ergste geval zou iemand iets kunnen doen als:

<div style="font-size:1000;color:red; height:10000;width:10000">POEP</div>

wat in feitte je hele pagina zou vullen met een knalrood "poep" wat veertien keer groter is dan je scherm.
Dat is niet leiuk maar ze komen geen geheimen te weten. Maar als de <b> al weggefilterd wordt dan zal dat voor CSS ook vast wel gelden.

 

[Thomasje]

Dit in het gastenboek gepost:
<div style="font-size:1000;color:red; height:10000;width:10000">POEP</div>
geeft in het bericht het zelfde:
<div style="font-size:1000;color:red; height:10000;width:10000">POEP</div>

 

[PgVincent]

Ze hebben een enigszins aparte manier van werken, maar het ziet er niet perse gevaarlijk uit dus ik gok dat je wel goed zit.

 

[Thomasje]

Okay. Dank!

 

[kenikavanbis]

Sorry, maar voor mij is alle (blijkbaar heel deskundige) uitleg hier niet allemaal duidelijk, tot nu toe. Ik weet blijkbaar niet hoe cookies werken (dacht aanvankelijk dat ik dat wist).

Ik denk dat ik even afwacht of ik in mijn gastenboek spam krijg. Als dat meevalt dan tref ik verder geen maatregelen, tenzij dat onverstandig is en dat hoop ik dan van jullie te horen.

Ik heb ook een vrij open gastenboek maar ik houd alles op de achtergrond bij.Bij elke spam met crimineel karakter doe ik een digitaal aanklacht met alle kennis van de gebruiker en liefst zo min mogelijk te zien van gebruikers zijde.
cookies gaat niet veel uithalen en niet te controleren op juistheid en zeker geen identiteit aan te koppelen zie (high jacking) enz iets dat in de jaren 2000 meer voor kwam maar blijkbaar niet meer gekend is.

Best kijk je elke dag eens maak dat je zeker het remote ip opslaat dan kan je ipranges gaan afblocken op je site en ben je het probleem ook kwijt om dat het toch altijd zelfde kanten zijn
koplopers in spam zijn san fransico , boston , china peking,australia maar die ipranges zal je snel kennen met een open gastboek

 

[PgVincent]

zie (high jacking) enz iets dat in de jaren 2000 meer voor kwam maar blijkbaar niet meer gekend is.

Hijacking is nog steeds een belangrijk gevaar op het internet, het is de reden waarom steeds meer websites standaard op SSL draaien en waarom PHP de session_regenerate_id() heeft gekregen.

dan kan je ipranges gaan afblocken

Op je eigen website kan dat wel, want daar merk je er toch niets van als je een paarduizend mensen de toegang ontzegt.

Voor bedrijven wordt het een heel ander verhaal. Als jij spam ontvangt van een IP adres in de range van KPN en jij blokkeert de hele range van KPN
dan sluit je in één klap 30% van al het mobiele internet van Nederland uit. Dat zal je opdrachtgever je niet in dank afnemen.

IP-ranges blokkeren deden we al niet meer toen we nog met inbelverbindingen werkten, toen kregen we een tijdje ADSL met vaak een vast IP en toen haalde het wel iets uit,
maar nu zitten we weer via kabel en telefoon, wat ook weer op grote schaal gebruik maakt van DHCP. Je kunt wel loggen welk IP verantwoordelijk is voor een bericht
maar morgen is dat IP toegekend aan iemand anders en er wordt nergens opgeslagen bij wie dat IP hoorde ten tijden van jouw klacht.

Vergeet ook niet dat de meeste spam wordt verstuurd via botnets die als virussen draaien bij onschuldige internet gebruikers. Je kunt dus wel een klacht indienen met zelfs als het IP tegen die tijd nog bij dezelfde gebruiker hoort en ze de moeite zouden nemen om die PC te onderzoeken dan vinden ze daar alleen een virus waar de afkomst niet valt te achterhalen.


De beste maatregelen tegen spam blijven zaken als captcha en het goede oude inloggen.

 

[Tha Devil]

cookies gaat niet veel uithalen en niet te controleren op juistheid en zeker geen identiteit aan te koppelen zie (high jacking) enz iets dat in de jaren 2000 meer voor kwam maar blijkbaar niet meer gekend is.

Je blijft de hele tijd maar beginnen (en melden) over cookies terwijl die alleen naar boven kwamen toen het over de risico's van XSS ging.

Er is nooit gesuggereerd om cookies in te zetten voor beveiliging van het gastenboek.

 

[kenikavanbis]

..zie vorige post..

Klopt maar maar niemand die zegt welk risico het inhoud

Sorry, maar voor mij is alle (blijkbaar heel deskundige)

er is niets moeilijk aan, offline merk je van $_SERVER["REMOTE_ADDR"];in vele gevallen niets maar online verandt dit en bevat dit het ip van de bezoeker. zie php handleiding.En weet dat dit een begin(en het begin is meestal al voldoende) is zie https en ssl certificaten sleutel systemen al dan niet met percentage fout om dan de sleutel te beveiligen ectra ectra.

Voor bedrijven wordt het een heel ander verhaal. Als jij spam ontvangt van een IP adres in de range van KPN en jij blokkeert de hele range van KPN
dan sluit je in één klap 30% van al het mobiele internet van Nederland uit. Dat zal je opdrachtgever je niet in dank afnemen.

Dit zal nu nog niet veel voorkomen en is ook via rechtelijke weg op te lossen (en je moet al uitvoerder zijn om voor die situatie te staan, en dan moet er wel geld voor vrijgemaakt worden voor beveiliging).

 

[PgVincent]

Klopt maar maar niemand die zegt welk risico het inhoud

De risico's waarvan, de cookies die hier helemaal niet worden gebruikt?

er is niets moeilijk aan, offline merk je van $_SERVER["REMOTE_ADDR"];in vele gevallen niets maar online verandt dit en bevat dit het ip van de bezoeker.

Het bevat het IP van datgeve wat contact maakt met jouw server. Dat is dus meestal een geinfecteerde PC, of het adres van een proxy en proxies wil je al helemaal niet blokkeren want daar zitten somsd complete providers achter.

zie php handleiding.En weet dat dit een begin(en het begin is meestal al voldoende) is zie https en ssl certificaten sleutel systemen al dan niet met percentage fout om dan de sleutel te beveiligen ectra ectra.

en... uhm... waar *heb* je het over?

Dit zal nu nog niet veel voorkomen en is ook via rechtelijke weg op te lossen (en je moet al uitvoerder zijn om voor die situatie te staan, en dan moet er wel geld voor vrijgemaakt worden voor beveiliging).

Een rechter gaat geen enkele actie ondernemen omdat iemand berichtjes op een website plaatst. Zelfs als er tienduizenden emails worden verstuurd vanaf de server van de spammer zelf, met zijn naam als technical contact in de DNS, dan nog is het zeer de vraag of hij veroordeeld kan worden.
Je eigen provider is misschien wel te porren om een vraag te stellen bij de provider van degene die jij verdenkt als jij echt plat wordt gespammed, maar ook dat zal niet verder gaan dan een beleefd verzoek of hij wil stoppen. Hij moet het echt buiten alle proporties maken om afgesloten te worden.

En daarom gebruiken spammers dus ook botnets en proxies, die jij maar al te graagt allemaal afsluit onder de illusie dat je echt iets aan spam aan het doen bent.

 

[Tha Devil]

En nu vind ik het wel welletjes geweest, ik heb de bovenstaande opmerkingen verwijderd.

In diverse topics wordt er nu een "wellus-nietus" discussie gevoerd.

Aan "kenikavanbis" het verzoek de reacties beter te lezen, want in dit geval zit je er echt naast en wil je van 3 mensen niets aannemen.
Aan "PgVincent" het verzoek minder aanvallend te reageren richting "kenikavanbis".

Ik snap dat het vaak actie-reactie is maar de manier waarop het de laatste dagen gaat is niet de bedoeling.

Uiteindelijk heeft de vraagsteller er niks aan.

Ben je van mening dat iemand een onwaarheid verkondigd, dan is het prima hem hier op te wijzen op een onderbouwende en constructieve manier.
Kun je dat niet dan heeft het weinig zin om te reageren, scheelt een boel irritatie van beide kanten heb ik het idee.

Het doel van Helpmij is mensen te helpen met computer-gerelateerde problemen. Niet om te laten zien wie de beste is.