Ich möchte, daß meine e-mail-Adresse, die in FormMail anzugeben ist, nicht ausgelesen werden kann.
Dazu habe ich den Tipp bekommen, nachfolgende Statements zu verwenden.

my @allow_mail_to;
my @SomeValues = (100,101,105,110,101,64,101,109,97,105,108,46,101,120,97,109,112,108,101); // Ascii-Werde
$allow_mail_to[0] = pack("C*",@SomeValues);

Das Script sieht daher so aus:



.......
.......
# USER CONFIGURATION SECTION
# --------------------------
# Modify these to your own settings. You might have to
# contact your system administrator if you do not run
# your own web server. If the purpose of these
# parameters seems unclear, please see the README file.
#
BEGIN
{
$DEBUGGING = 1;
$emulate_matts_code= 0;
$secure = 1;
# $allow_empty_ref = 0; *** Standardwert 0 nicht möglich, da kein HTTP_REFERER gesendet wird (siehe auch referers)
$allow_empty_ref = 1;
$max_recipients = 1;
$mailprog = 'SMTP:localhost';
$postmaster = 'postmaster@localhost';
# @referers = qw(http://www.beinahe-gratis.de http://www.allraith.de http://www.all-raith.de localhost); Angabe wird ignoriert wegen $allow_empty_ref = 1; (siehe dort)
@referers = qw();



my @allow_mail_to;
my @SomeValues = (100,101,105,110,101,64,101,109,97,105,108,46,101,120,97,109,112,108,101); // Ascii-Werde
$allow_mail_to[0] = pack("C*",@SomeValues);


# @allow_mail_to = qw(admin@localhost);



@recipients = ();
%recipient_alias = ();
@valid_ENV = qw(REMOTE_HOST REMOTE_ADDR REMOTE_USER HTTP_USER_AGENT DOCUMENT_ROOT HTTP_HOST HTTP_USER_AGENT
SERVER_ADDR SERVER_NAME SERVER_PROTOCOL);
$locale = 'de_DE';
$charset = 'iso-8859-1';
$date_fmt = '%A, dem %d.%m.%Y, um %H:%M:%S';
$style = '';
$no_content = 0;
$double_spacing = 1;
.......
.......


Wenn ich dies verwende kommt die Meldung:

Error: Bad or Missing Recipient

There was no recipient or an invalid recipient specified in the data sent to FormMail. Please make sure you have filled in the recipient form field with an e-mail address that has been configured in @recipients or @allow_mail_to. More information on filling in recipient/allow_mail_to form fields and variables can be found in the README file.

The recipient was: [ ]

FormMail © 2001-2003 London Perl Mongers



Kennt sich jemand mit dem Script und mit Perl aus, so daß er mir weiterhelfen kann. Ich bin nämlich ein totaler Anfänger - danke

Hallo jsnewuser,

wenn die E-Mail-Adresse im Script steht,
dann kann sie auch nicht von Fremden ausgelesen werden.

Du kannst das Orginalscript von den Perl Mongers verwenden so wie es ist.

Gruß Sabine

... allein mir fehlt der Glaube.
Man hört leider allzu oft von Fehlern bei den Providern, so daß wie bei EBAY jede Menge Daten offengelegt wurden. Was ist, wenn durch ein Versehen das CGI-Verzeichnis nicht geschützt ist.
Daher mein Wunsch nach ein wenig höherer Sicherheit. Von den ekelhaften Spamversendern habe ich nämlich die Nase voll.

Falls daher jemand eine Idee hat, wäre ich ihm/ihr dankbar.

Überleg mal.
Wenn Du die E-Mail im Script verschlüsselst, dann muß das Script sie auch wieder entschlüsseln.
Sonnst würde Dein Script nicht mehr funktionieren.

ASCII-Zeichen wie diese
(100,101,105,110,101,64,101,109,97,105,108,46,101,120,97,109,112,108,101)
haben nichts mit Verschlüsseln zu tun.

deine@email.example

Jeder der Dein Script in die Finger bekommt, kann also auch Deine E-Mail lesen.

Gruß Sabine

Es geht mir weniger um den einzelnen bösen Menschen, der die e-mail-Adresse liest und sie ggf. entschlüsselt, sondern um die Robots und Suchprogramme, die systematisch nach e-mail-Adressen suchen. Und genau so wie es für HTML empfohlen wird, möchte ich auch serverseitig eine Verschlüsselung vornehmen.

Der Anonym war natürlich ich.

Und woher haben die Roboter und Suchprogramme Deine Zugangsdaten für Deinen Webspace?
Gruß Sabine

Nun war ich auch rausgeflogen.
Ich meine zum Beispiel die FTP-Zugangsdaten oder Telnet-Zugangsdaten (Benutzername/Passwort).
Auf anderem Weg kann man den Quellcode des Scriptes nicht sehen.

Gruß Sabine

Wenn ich irgend eine Website aufrufe ..../cgi-bin oder ....cgi-bin/FormMail.pl so erhalte ich im allgemeinen die Meldung


error 403: Forbidden!
Verboten!
Es sind nur ungenügende Zugriffsrechte gesetzt. Bitte ändern Sie die Rechte mit Ihrem FTP-Programm.


D. h. aber doch, wenn versehentlich die Rechte gewährt werden, kann ich und die Spyprogramme, die zig-Tausende von Zufallsadressen versuchen, auf das cgi- oder auch anderes Verzeichnis zugreifen.

Ich rede daher immer von Ausnahmefällen und nicht vom Normalfall.
Wenn alle fehlerfrei arbeiten würden und es keine böse Menschen gäbe, könnte ich meine Daten auch an der Uni aushängen !

>> ....cgi-bin/FormMail.pl so erhalte ich im allgemeinen die Meldung error 403: Forbidden!

Dann funktioniert das Script nicht. Die Rechte wurden falsch vergeben. Das Script kann nicht ausgeführt werden.

>> wenn versehentlich die Rechte gewährt werden

Wer sollte dem Script versehentlich irgendwelche anderen Rechte gewähren als die Rechte, die Du selbst vergeben hast?

Gruß Sabine

Ja auch gegen eigene Fehlern sollte man sich schützen - aber nicht dagegen, denn nur ich kann die Rechte versehentlich falsch vergeben, sondern auch der Webspace-Anbieter oder ein Fehler in deren Programm oder ein Hacker der sich in das Providersystem einloggt usw.


Schade, daß nicht weitere Forumsteilnehmer ihre Meinung mitteilen !

Wenn der Webspace-Anbieter die Rechte meiner Scripte ändern würde
oder wenn das System des Providers offen für Hacker wäre,
dann würde ich schnellstens den Provider wechseln.

Gruß Sabine

Jetzt wird es mir zu trivial !
Wenn ein Hacker Dein Bankkonto ausspäht und das Konto ausräumt, kannst Du natürlich die Bank wechseln ! Die neue Bank wird aber nicht den Vorgang ungeschehen machen und sie wird Dir auch den Schaden nicht ersetzen. Tatsache ist, dass sich im Web zig-Tausende von Gaunern tummeln, Hunderttausende Programmierer und Kids entwickeln und dabei Fehler machen.

Ich hoffe, daß jemand auf das Problem eingeht und es nicht wegzureden versucht.

hi jsnewuser,

Du verhinderst also das Ausspähen deiner Bankdaten, indem Du Deine Kontonummer rückwärts aufschreibst?

Nun mal im Ernst, das was du Verschlüsselung nennst, ist eine einfache ASCII Codierung. Wenn erstmal ein Hacker bei Dir eingedrungen ist, hast Du ganz andere Probleme als die Sicherheit der Email.

Verwende einfach das original Script von den Perl Mongers, die haben etwas mehr Erfahrung als Du.

Du solltest aber sicherstellen, das Du alles mögliche tust um maximale Sicherheit zu erzielen.

z.B. wäre es interessant zu wissen, mit welchen Rechten der Webserver bei Deinem Provider läuft und ob es möglich ist, daß andere Kunden Deines Providers Deine Verzeichnisse lesen können (Sowas kommt häufiger vor als man denkt).

Weiterhin ist zu prüfen, ob man bei dir von außen Scripte hochladen kann (z.B. mit WEBDAV oder mit PUT). Dann können bei Dir selbst auch noch unsichere Scripte installiert sein(beste Beispiele dafür waren in letzter Zeit PHPBB und Coppermine). In Script Kiddy Kreisen wurden sogar interne Wettbewerbe gestartet, wer die meißten Webseiten innerhalb eines Tages verunstaltet.

Fazit:
Eine ASCII Codierung von Email Adressen in Perl-Scripten verbraucht nur sinnlose Rechenzeit.

Wenn Du ernsthaft etwas verschlüsseln willst, kannst Du Dich hier in einen einfachen Algorithmus einarbeiten, der bei richtiger Anwendung so sicher ist, daß selbst professionelle Schnüffler sich die Zähne ausbeißen.

http://vsrv.de/cs2.html


Grüße Oesi
Ich weiß, dass ich nichts weiß... (Sokrates)

<Du verhinderst also das Ausspähen deiner Bankdaten, indem Du Deine <Kontonummer rückwärts aufschreibst?
Was soll die Polemik. Ich wollte nur darauf hinweisen, daß überall im Netz Lücken sind und Fehler passieren.
Die Primitiv-Verschlüsselung war auch nur ein Beispiel und soll das automatisierte Ausspähen etwas erschweren. Falls es prinzipiel in dem Script geht, kann man sich natürlich beliebig komplexe Algorithmen ausdenken. Zunächst wollte ich nur wissen ob es überhaupt geht. Es nützt mir dann nich viel, wenn Moderatorinnen und andere das Sicherheitsproblem im Netz bagatellisieren.

<Nun mal im Ernst, das was du Verschlüsselung nennst, ist eine <einfache ASCII Codierung. Wenn erstmal ein Hacker bei Dir <eingedrungen ist, hast Du ganz andere Probleme als die Sicherheit der <Email.
Siehe oben - in der ursprünglichen Fragestellung war nicht von Hackern die Rede. Dies kam erst zur Sprache als behauptet wurde alles sei so sicher !


>Verwende einfach das original Script von den Perl Mongers, die haben >etwas mehr Erfahrung als Du.
Das werde ich prüfen. Wenn allerdings e-mail-Adressen unverschlüsselt anzugeben sind habe ich dort das gleiche Problem

<Du solltest aber sicherstellen, das Du alles mögliche tust um <maximale Sicherheit zu erzielen.
Das wolte ich ja mit dieser Aktion


>z.B. wäre es interessant zu wissen, mit welchen Rechten der Webserver >bei Deinem Provider läuft und ob es möglich ist, daß andere Kunden >Deines Providers Deine Verzeichnisse lesen können (Sowas kommt >häufiger vor als man denkt).
Genau das sagte ich ja auch - Antwort war: Provider wechseln
Allerding erfährt man von Fehlern in der Regel erst, wenn sie aufgetreten sind. Das System bei meinem Provider mag heute sicher sein und morgen durch einen Leichtsinnsfehler nicht mehr

Weiterhin ist zu prüfen, ob man bei dir von außen Scripte hochladen kann (z.B. mit WEBDAV oder mit PUT). Dann können bei Dir selbst auch noch unsichere Scripte installiert sein(beste Beispiele dafür waren in letzter Zeit PHPBB und Coppermine). In Script Kiddy Kreisen wurden sogar interne Wettbewerbe gestartet, wer die meißten Webseiten innerhalb eines Tages verunstaltet.

>Fazit:
>Eine ASCII Codierung von Email Adressen in Perl-Scripten verbraucht >nur sinnlose Rechenzeit.
siehe oben (wenn ich einen komplexen Algorithus angegeben hätte, hätte ich die Problemstellung nur verkompliziert


<Wenn Du ernsthaft etwas verschlüsseln willst, kannst Du Dich hier in <einen einfachen Algorithmus einarbeiten, der bei richtiger Anwendung <so sicher ist, daß selbst professionelle Schnüffler sich die Zähne <ausbeißen.
Das habe ich am Großrechner zur Genüge getan.
Gruß
jsnewusr