Sonstiges > Offtopic

ATNOTES Forum - Spamverdacht?

<< < (2/6) > >>

TMC:
Wir hatten vor einigen Wochen das Thema im Moderatoren-Board.

Problem war, dass jeder Spider, der über das Board geht, die email-Adressen auslesen konnte, welche die User im Profil hinterlegt hatten.


Arne hatte dann die Settings des Boards geändert:
Seit ein paar Wochen muss man angemeldet sein, damit man die eMail-Adressen lesen kann.
Somit sollten Spider keine Chance mehr haben.

Heiggo:

--- Zitat von: TMC am 24.01.05 - 20:34:11 ---Arne hatte dann die Settings des Boards geändert:
Seit ein paar Wochen muss man angemeldet sein, damit man die eMail-Adressen lesen kann.
Somit sollten Spider keine Chance mehr haben.

--- Ende Zitat ---

Na ja, irgendwo sind die Mailaddressen schon hinterlegt in irgendwelchen Verzeichnissen (z.B. im cgi-bin etc). Ich kenne jetzt SMF als Forensoftware nicht wirklich, aber das kann Arne ja beurteilen. Wenn Spider potentiell die Verzeichnisse durchwühlen dürfen, dann finden die auch Textdateien oder ähnliches.
Deswegen hab ich bei mir eine robots.txt im Root hinterlegt, die eventuell relevante Verzeichnisse sperrt via

Disallow: /cgi-bin/XYZABC123

Das macht die Sache nicht wirklich sicher, aber zumindest die Standard-Spider halten sich daran, was da steht.

Eine robots.txt ist normalerweise durch jeden lesbar (logisch, sonst könnte ien Spider ja nicht schauen was erwünscht ist und was nicht, da der sich nicht irgendwo automatisch anmelden kann), auf atnotes.de hab ich jedoch keinen gefindelt.

PeEs (@DigitDani): Yes Sir, you´re right, ich hab nix gemacht, würde mich aber nicht wundern, wenn ganz bestimmte Herren aus gegebenem Anlaß meine email-Adresse recherchiert und einem Spam-Fooder "wohlwollend" bereitgestellt haben  ;D Ich könnte damit leben, da ich eine zumindest perlmutt-farbene Weste habe ;D

PePeEs: Wer unter uns eine weiße Weste hat werfe den ersten Stein ;D

TMC:
Heiko, nachdem das Board auf PHP/MySQL basiert, liegen die eMail-Adressen erstmal in dieser MySQL-DB. Keiner kann darauf zugreifen außer Arne und seine PHP Scripts. Nada. Nix geht. null.
Erst wenn ein PHP-Script, welches auf dem Server (!) läuft, angestoßen wird, gibt es Inhalte an Webbrowser (oder Spider). Das PHP-Script holt sich aus PHP-Umgebungsvariablen (die in der Regel global definiert sind) den MySQL-Account (User / Passwort), und greift damit auf MySQL-Tables zu.
Direkten Zugriff auf die MySQL-Tables ohne Passwort hat keiner. PHP-Code kann nur auf dem Server laufen, selbst wenn man die Variablen-Bezeichnungen wüsste, bringt einen das nicht weiter. Wäre ja auch noch schöner, könnte ja dann auch jeder z.B. die PM's lesen.
Du kannst auch keinen php-Code downloaden. Z.B. ein atnotes.de/pw.php - Aufruf würde nix bringen. Selbst wenn dort in dieser php-Datei alle Passwörter gespeichert sind. Der Webserver lässt das nicht zu, sondern wird dann das PHP-Script ausführen und Dir entsprechend was anzeigen (HTMLs bzw. Echos im PHP-Code vorausgesetzt).


Somit ist erstmal diese PHP/MySQL komplett abgeschottet.

Daher: Keine Chance für Spiders, das auszulesen, wenn Arne das via PHP dicht macht. Und genau das hatte er gemacht: Haken gesetzt, und nun wertet der PHP-Code aus, ob ein User online ist. Wenn ja: dann zeige eMail aus MySQL-DB an, wenn nein: zeige nicht an.

Eigentlich verdammt sicher.

Dies aber nur zur allgemeinen Erklärung der Sicherheit :-)


Matthias

koehlerbv:
Ich würde auch mal sagen: Das ist sicher, was hier läuft.
Aber immer war das wohl nicht so, wie Google sagt (siehe Bild).
Gut, dass meine GMX-Adresse maustot ist  ;D

Bernhard

Heiggo:
Hihi, sporn mich nicht an, ich bin nicht unbedarft wenn es um einfache DB-Lösungen geht á la MySQL und Co. *kicher* Leider fehlt mir die Zeit mich abzumelden und nach Ascii-Infos etc. auf dem Server (ohne Rechte) manuell zu scannen.
Du hast natürlich recht. Momentan sind die Dinger auch nicht intelligent genug um in die tieferen Ebenen vorzugehen, aber viel Zeit gebe ich denen nicht um mich in Sicherheit zu wiegen.
SMF ist ein recht gewachsenes System (was´n Glück) und der Ursprungsautor ist auch recht kommunikativ (und schnell) wenn es um offene Fragen geht. Aber in diesem Thread sehe ich auch andere artverwandte Foren, die andere nicht ganz so gewachsene Software verwenden.

Navigation

[0] Themen-Index

[#] Nächste Seite

[*] Vorherige Sete