Envois non sollicités !!!

Le
METIS
Bonjour,
j'ai plusieurs petits sites à mon actif (rien
d'extraordinaire, ce sont des sites simples pour
particuliers qui lancent une activité)
Pour les formulaire de contact, j'utilise le système
captcha. L'image à copier est parfois tellement trouble que
l'on doit en générer une autre.

Malgré cela, sur un de ces sites, les robots ont trouvé le
moyen de capter les adresses d'envoi qui sont sur un fichier
.php à part.
Trop forts ces programmeurs !!!

--
<|[;o)) METIS
http://www.graphM.com
Pour m'écrire en privé, mettez-moi des oranges
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Sergio
Le #22068291
METIS a présenté l'énoncé suivant :
Bonjour,
j'ai plusieurs petits sites à mon actif (rien d'extraordinaire, ce sont des
sites simples pour particuliers qui lancent une activité...)
Pour les formulaire de contact, j'utilise le système captcha. L'image à
copier est parfois tellement trouble que l'on doit en générer une autre.

Malgré cela, sur un de ces sites, les robots ont trouvé le moyen de capter
les adresses d'envoi qui sont sur un fichier .php à part.
Trop forts ces programmeurs !!!



La solution imparable que j'ai trouvée :
Le formulaire envoie sur une adresse faite uniquement pour ça, avec un
filtre sur un header forgé pour la circonstance.

J'ai fait ça avec le mfilter de Free.

--
Serge http://leserged.online.fr/
Mon blog: http://cahierdesergio.free.fr/
Soutenez le libre: http://www.framasoft.org
Antoine
Le #22068281
Sergio
METIS a présenté l'énoncé suivant :
Bonjour,
j'ai plusieurs petits sites à mon actif (rien d'extraordinaire,
ce sont des sites simples pour particuliers qui lancent une
activité...) Pour les formulaire de contact, j'utilise le système
captcha. L'image à copier est parfois tellement trouble que l'on
doit en générer une autre.

Malgré cela, sur un de ces sites, les robots ont trouvé le moyen
de capter les adresses d'envoi qui sont sur un fichier .php à
part. Trop forts ces programmeurs !!!



La solution imparable que j'ai trouvée :
Le formulaire envoie sur une adresse faite uniquement pour ça,
avec un filtre sur un header forgé pour la circonstance.



Idem en un peu moins sauvage (sans conotation péjorative). L'objet
du mail comporte un tag "révélateur" de l'origine formulaire en
ligne. Et côté serveur de mail on gicle tout ce qui arrive et ne
comporte pas le fameux tag.

--
Antoine
docanski
Le #22068271
Alors que les eleveurs et agriculteurs polluent toujours la Bretagne,
Antoine ecrit ce qui suit en ce 18.09.2008 12:00 :

Idem en un peu moins sauvage (sans conotation péjorative). L'objet
du mail comporte un tag "révélateur" de l'origine formulaire en
ligne. Et côté serveur de mail on gicle tout ce qui arrive et ne
comporte pas le fameux tag.



Intéressant ! Il serait bien que tu développes un peu au sujet de cette
méthode, ça intéresserait pas mal de monde ... et moi aussi, évidemment
;-) Quel serait ce tag "révélateur", où et par quelle instruction (php,
je suppose) à insérer pour compléter le script de traitement.

Cordialement,
--
docanski

Portail et annuaire du nord-Bretagne : http://armorance.free.fr/
Guide des champignons d'Europe : http://mycorance.free.fr/
La vallée de la Rance maritime : http://valderance.free.fr/
Les côtes du nord de la Bretagne : http://docarmor.free.fr/
Sergio
Le #22068261
docanski a émis l'idée suivante :
Alors que les eleveurs et agriculteurs polluent toujours la Bretagne, Antoine
ecrit ce qui suit en ce 18.09.2008 12:00 :

Idem en un peu moins sauvage (sans conotation péjorative). L'objet
du mail comporte un tag "révélateur" de l'origine formulaire en
ligne. Et côté serveur de mail on gicle tout ce qui arrive et ne
comporte pas le fameux tag.



Intéressant ! Il serait bien que tu développes un peu au sujet de cette
méthode, ça intéresserait pas mal de monde ... et moi aussi, évidemment ;-)
Quel serait ce tag "révélateur", où et par quelle instruction (php, je
suppose) à insérer pour compléter le script de traitement.



Très bêtement. Par exemple :
mail ($to,"[docanski president]$sujet", $msg,$headers)

Et tu précise dans mfilter de rejeter tout message qui ne commence pas
par "[docanski president]".

--
Serge http://leserged.online.fr/
Mon blog: http://cahierdesergio.free.fr/
Soutenez le libre: http://www.framasoft.org
Olivier Miakinen
Le #22068251
Le 18/09/2008 14:25, Sergio a écrit :

Par exemple :
mail ($to,"[docanski president]$sujet", $msg,$headers)



Selon la version de PHP, cela peut être très dangereux de mettre dans un
champ d'entête quelque chose qui vient de l'extérieur, fût-il préfixé
par une chaîne fixe.

Il vaudrait mieux :
$msg = "Sujet: $sujetn" . $msg;
mail("", "[docanski president]", $msg)
Antoine
Le #22068241
Olivier Miakinen
Le 18/09/2008 14:25, Sergio a écrit :

Par exemple :
mail ($to,"[docanski president]$sujet", $msg,$headers)



Selon la version de PHP, cela peut être très dangereux de mettre
dans un champ d'entête quelque chose qui vient de l'extérieur,
fût-il préfixé par une chaîne fixe.

Il vaudrait mieux :
$msg = "Sujet: $sujetn" . $msg;
mail("", "[docanski president]", $msg)



Je confirme que c'est ce que je fais.

La méthode d'Olivier est sûre d'un point de vue sécurité ; on peut
tout de même envisager un "switch" côté interpréteur php pour
associer à un champ objet_du_mail (liste déroulante) de la page web
des valeurs en dur côté php et ainsi avoir des mails dont l'objet
est significatif sans pour autant prendre de risque.

--
Antoine
Olivier Miakinen
Le #22068231
Le 18/09/2008 16:59, Antoine a écrit :

[...] on peut
tout de même envisager un "switch" côté interpréteur php pour
associer à un champ objet_du_mail (liste déroulante) de la page web
des valeurs en dur côté php et ainsi avoir des mails dont l'objet
est significatif sans pour autant prendre de risque.



Entièrement d'accord.
Sergio
Le #22068191
Olivier Miakinen a exprimé avec précision :
Le 18/09/2008 14:25, Sergio a écrit :

Par exemple :
mail ($to,"[docanski president]$sujet", $msg,$headers)



Selon la version de PHP, cela peut être très dangereux de mettre dans un
champ d'entête quelque chose qui vient de l'extérieur, fût-il préfixé
par une chaîne fixe.



C'était un exemple "brut de fonderie". De plus le $to, $sujet etc. ont
déjà été nettoyés (en principe) par le script.

--
Serge http://leserged.online.fr/
Mon blog: http://cahierdesergio.free.fr/
Soutenez le libre: http://www.framasoft.org
Olivier Miakinen
Le #22068181
Le 19/09/2008 08:31, Sergio a écrit :

C'était un exemple "brut de fonderie". De plus le $to, $sujet etc. ont
déjà été nettoyés (en principe) par le script.



Oui. Tu n'es pas un débutant, et je me doutais bien que tu devais savoir
tout cela. Mais j'ai préféré le dire explicitement car un débutant
pouvait parfaitement tomber sur ce fil et ne pas être au courant de ces
risques concernant la fonction mail. En matière de sécurité, il n'est
pas forcément ridicule de mettre ceinture *et* bretelles.
Publicité
Poster une réponse
Anonyme