Bei den meisten FWX Seiten kann man an beliebige Empfänger EMails mit beliebigem Text verschicken, und das ohne eingeloggt zu sein, auch in der neuesten Version.
Das
Meiner Meinung nach eine nicht zu tolerierende Lücke, da dies schon fast einem Open Relay gleichkommt.
Warum schreib' ich das hier rein?
a) Hab kein wirklich passendes Unterforum dafür gefunden
b) Die Erfahrung hat mir gezeigt, das solche Meldungen von den Verantwortlichen meist heruntergespielt werden, der Fix mehrere Wochen auf sich warten lässt, und man sowas wie: "Ach das nutzt doch eh keiner aus" oder "Bisher hat das noch niemand ausgenutzt" zu hören bekommt.
Wenn ich aber als "Nicht- FWXler" sofort voll "mit dem Kopf dagegen" stoße, ohne ansatzweise suchen oder probieren zu müssen, wissen das einige Andere auch schon.
Also auch nur eine Frage der Zeit, bis wer sich ein kleines Script schreibt, welches dann mal eben 100.000 Mails über eine FWX Seite raushaut, so schnell können die Betreiber dann in den Logs nicht mitlesen.
Hab das dem neuen Eigentümer des Scriptes schon zukommen lassen, wer nicht warten will, macht das:
um Zeile ~340, Datei mods/default.inc.php raus (Zeile kann je nach Version leicht abweichen, sollte aber in dem Bereich sein )
Das
Feld ist dann zwar leer, weswegen es viele Mailserver eh schon als Spam einstufen dürften, dennoch sieht man natürlich, von welchem Server die Mail kommt.From: <>
Meiner Meinung nach eine nicht zu tolerierende Lücke, da dies schon fast einem Open Relay gleichkommt.
Warum schreib' ich das hier rein?
a) Hab kein wirklich passendes Unterforum dafür gefunden
b) Die Erfahrung hat mir gezeigt, das solche Meldungen von den Verantwortlichen meist heruntergespielt werden, der Fix mehrere Wochen auf sich warten lässt, und man sowas wie: "Ach das nutzt doch eh keiner aus" oder "Bisher hat das noch niemand ausgenutzt" zu hören bekommt.
Wenn ich aber als "Nicht- FWXler" sofort voll "mit dem Kopf dagegen" stoße, ohne ansatzweise suchen oder probieren zu müssen, wissen das einige Andere auch schon.
Also auch nur eine Frage der Zeit, bis wer sich ein kleines Script schreibt, welches dann mal eben 100.000 Mails über eine FWX Seite raushaut, so schnell können die Betreiber dann in den Logs nicht mitlesen.
Hab das dem neuen Eigentümer des Scriptes schon zukommen lassen, wer nicht warten will, macht das:
PHP:
$mail->Send();