FWX Seiten als Spamschleuder

[jpwfour]

Bei den meisten FWX Seiten kann man an beliebige Empfänger EMails mit beliebigem Text verschicken, und das ohne eingeloggt zu sein, auch in der neuesten Version.

Das

From: <>

Feld ist dann zwar leer, weswegen es viele Mailserver eh schon als Spam einstufen dürften, dennoch sieht man natürlich, von welchem Server die Mail kommt.

Meiner Meinung nach eine nicht zu tolerierende Lücke, da dies schon fast einem Open Relay gleichkommt.

Warum schreib' ich das hier rein?

a) Hab kein wirklich passendes Unterforum dafür gefunden
b) Die Erfahrung hat mir gezeigt, das solche Meldungen von den Verantwortlichen meist heruntergespielt werden, der Fix mehrere Wochen auf sich warten lässt, und man sowas wie: "Ach das nutzt doch eh keiner aus" oder "Bisher hat das noch niemand ausgenutzt" zu hören bekommt.

Wenn ich aber als "Nicht- FWXler" sofort voll "mit dem Kopf dagegen" stoße, ohne ansatzweise suchen oder probieren zu müssen, wissen das einige Andere auch schon.
Also auch nur eine Frage der Zeit, bis wer sich ein kleines Script schreibt, welches dann mal eben 100.000 Mails über eine FWX Seite raushaut, so schnell können die Betreiber dann in den Logs nicht mitlesen.

Hab das dem neuen Eigentümer des Scriptes schon zukommen lassen, wer nicht warten will, macht das:

$mail->Send();

um Zeile ~340, Datei mods/default.inc.php raus (Zeile kann je nach Version leicht abweichen, sollte aber in dem Bereich sein )

 

[EselDompteur]

Hast du vollkommen recht mit ...

... werde diese Lücke schliessen und den Programmteil anders lösen ...

 

[my_baby]

Mein Vorschlag wäre:

    if ($loggedon == 1)
    {

....

    }
    else
    {
      $output = "Diese Funktion steht nur eingeloggten Mitgliedern zur Verfügung.";
    }

 

[raven]

Mein Vorschlag wäre:

Und das ändert was, wenn man als eingeloggter User (am besten mit freemail-Adresse) immernoch soviele Mails verschicken kann, wie man möchte?

Ein Flood-Schutz tut da viel eher Not - ich glaube nicht, dass viele Webmaster regelmäßig ihre Logs checken.

 

[my_baby]

Da hast Du sicherlich nicht ganz unrecht. Und da ich dieses "Feature" eigentlich ziemlich unnötig finde, habe ich gleich mal ganz abgestellt bei mir.

 

[SunnyDreamer]

Nja FWX halt... hatte letzens nen Problem das mein ganzer Server mit sinnlosen sessions zu war, die innerhalb von paar Minuten generiert worden sind...

 

[EselDompteur]

Ein Flood-Schutz tut da viel eher Not - ich glaube nicht, dass viele Webmaster regelmäßig ihre Logs checken.

Sehe ich auch so. Ich werde diese Funktion über den Admin steuerbar machen. Sprich dieser muss die Mails freigeben. Und ein Autoeintrag mit Floodschutz verhindern.

 

[traxtrax]

@Esel

wäre super wenn es auch ein Kostenloses Update für die 2.2er Version gibt.

Hab leider kein Update recht mehr aber ich denke so was ist schon wichtig um Missbrauch vorzubeugen.

Danke im Voraus.

mfg

traxtrax

 

[EselDompteur]

ja natürlich ...

... ich hab für die 2.3 einen workaround beireits online gestellt, der diese Funktion deaktiviert. Mit der Eintragung der anderen ( niedriegeren ) Versionen werde ich für diese auch das entsprechend bereitstellen.

Grundsätzlich ist es aber für diejenigen die es sich zutrauen am einfachsten in der Datei mods/default.inc.php die von jpwfour vorgeschlagene Zeile einfach dur // auszukommentieren. Die funktion ist dann noch im Menu sichbar, es wird aber keine Mail mehr versendet. Bei dem Workaround habe ich aus den beiden Templates noch die funktion und den Link entfernt.
In der nächsten Version wird dann eine entsprechend gesicherte Funktion bereitgestellt ...