Hallo!
Als noch relativ unerfahrener Webmaster würde es mich mal interessieren, ob irgendwas dagegen spricht, dass ich mein Kontaktformular auf eine passwortgeschützte Seite lege, die damit nicht für Spambots erreichbar ist.
Zu dem auf die geschützte Seite führenden Link "Zum Kontaktformular" würde ich dann den Hinweis schreiben, dass aus Spamschutzgründen eine Authentifizierung erforderlich ist, wobei einfach in beide Eingabefelder z.B. das Wort Kunde einzugeben ist.
Das hab ich bis jetzt zwar noch nirgends erlebt, aber beim Testen und den damit verbundenen Sicherheitsüberlegungen kam mir die Idee, und es scheint mir für den Benutzer auch kein unzumutbarer Aufwand zu sein.
Was meint Ihr?
Zu dem auf die geschützte Seite führenden Link "Zum Kontaktformular" würde ich dann den Hinweis schreiben, dass aus Spamschutzgründen eine Authentifizierung erforderlich ist, wobei einfach in beide Eingabefelder z.B. das Wort Kunde einzugeben ist.
Steht diese Eingabe sichtbar auf der Seite - also handelt es sich um eine Art Captcha?
Dieses bietet keinen hundertprozentigen Schutz - zumindest sollte das Kontaktformular in dem Fall noch gegen
Email-Header-Injection geschützt werden.
Hallo Jörg,
danke für Deine Antwort.
Das Kontaktformular ist schon gegen Email-Header-Injection geschützt. Meine Überlegung war, dass die Formularseite durch die zusätzliche Authentifizierung weniger anfällig ist gegen die auf der von Dir genannten Wikipedia-Seite angesprochenen Bot-Überprüfungen hinsichtlich Sicherheitslücken.
Ich weiß nicht, ob die Bots unter anderem sämtliche Wörter einsetzen, die sie auf der entsprechenden Seite finden; dann wäre meine ursprüngliche Idee, den Kunden einfach im Volltext zu sagen, bei der Authentifizierung beide Male (z.B.) das Wort Kunde einzugeben, nicht so gut.
Aber man könnte ja die Authentifizierung auch durch eine Wissensfrage erreichen, z.B.: Bitte geben Sie in beide Felder das Lösungswort folgender Rechenaufgabe ein: 66 minus 55 ist gleich...? (bitte Zahl als Wort in Kleinschreibung eingeben) etc.
Ich wollte halt grundsätzlich mal wissen, ob irgendwas gegen die angedachte Vorgehensweise spricht, die Formularseite zusätzlich noch durch Passwortabfrage zu schützen.
Gruß, Steff
Ich würde unterscheideen zwischen 1. Maßnahmen, die die Sicherheitslücken zuverlässig schließen und 2. Maßnahmen, die den Bot daran hindern sollen, die Formulardaten zu übermitteln. 1. ist hierbei eine Notwendigkeit, da 2. nie einen hundertprozentigen Schutz geben können. 1. kann man m.E. nur zuverlässig, indem Umbrüche ("\n" und "\r") in den Email-Headern gefiltert werden.
Du kannst noch ein Captcha einbauen, nur sollte dies kein Ersatz für eine Sicherungsmaßnahme sein. Die Frage ist dann natürlich, ob so ein Captcha dann überhaupt noch Sinn macht.
Ich handhabe das so, dass die relevanten Eingaben geprüft und Umbrüche gefiltert werden - so ist es ausgeschlossen, dass das Formular als Spamschleuder missbraucht wird. Darüber hinaus gibt es dann "nur" noch das Problem, dass einige Dummbots das Kontaktformular mit einem Eingabefeld für Blogkommentare verwechseln. Ein Captcha könnte hier vielleicht helfen, aber man muss imer auch mit Besuchern rechnen, für die Captchas eine Barriere darstellen. Ich überprüfe die Eingaben auf das Vorhandensein bestimmter HTML-Tags (z.B. "</a>") und gebe gegebenenfalls die Fehlermeldung aus, dass HTML-Tags nicht erlaubt sind (die entferne ich anschließend zwar sowieso mit strip_tags(), aber durch diesen Mechanismus hindere ich die Dummbots daran, das Formular abzusenden).
Hallo Jörg,
vielen Dank für die Infos!
Gruß, Steff
Hallo Allek, ich habe deine Frage in einen eigenen Thread verschoben:
Kann man sehen wer,wo Formular ausgefüllt hat