|
Extrák minden csomaghoz: |
|
|
|
Biztonságtechnika – SPAM a kapcsolattartó mezőkön keresztül |
|
. |
|
Világszerte növekvő problémát jelent az úgynevezett SPAM-ek, azaz kéretlen levelek terjedése. Bárki, aki rendelkezik internet-hozzáféréssel, már biztosan találkozott ilyen e-maillel, így nem lehet eléggé hangsúlyozni a probléma megoldásának fontosságát.
Ennél is fontosabb azonban tudomásul venni és szem előtt tartani azt, hogy az ilyen jellegű elektronikus levelek küldői sem alszanak, így a weboldal-tulajdonosokra, készítőkre és üzemeltetőkre is nagy felelősség hárul a kellemetlenségek megelőzéséért. |
|
|
|
|
|
|
|
|
|
|
|
Mindannyian találkoztunk már különböző weboldalakon a képen láthatóhoz hasonló mezőkkel. Egyszerű és közkedvelt módot kínál a kapcsolattartásra, hiszen a látogatók e-mail írása nélkül, könnyen és gyorsan tudnak kommunikálni az oldal üzemeltetőivel. Pontosan ebből a megfontolásból alkalmazzák egyre szélesebb körben. Azonban – még ha nem is sejtjük – a megfelelő elővigyázatosság nélkül az ilyen űrlapok – úgynevezett form-ok – nagy veszélyt rejtenek, ugyanis a megfelelő webprogramozói tudással a SPAM-ek feladói igen könnyen a saját céljukra tudják fordítani őket. |
|
|
|
|
|
Hogyan csinálják? |
|
|
|
|
|
Az ilyen űrlapok rendszerint úgy vannak programozva, hogy a beírt információkat és üzeneteket egy előzetesen beállított e-mail címre továbbítják. Mindez előre programozottan, a weblap forráskódjában megadottak szerint zajlik. Az üzenetküldés forráskódbeli programutasításai a megfelelő mezőbe írt megfelelő utasítással könnyen manipulálható. Például ha a „Feladó” mezőbe egy üzenetküldő utasítás megfelelő részletét helyezik, lehetőség nyílik arra, hogy a kódban előre beállított címen kívül tetszés szerinti egyéb e-mail címekre is elküldésre kerüljön az üzenet. (Az eljárás sikerességéhez az utasítást legtöbbször a feladó e-mail-címét vagy nevét tartalmazó mezőben szokták elhelyezni.)
Ez mind a kéretlen levelek áldozatául esők, mind pedig az internetes szolgáltatásokat nyújtók számára hatalmas problémát jelent, ugyanis a webes szolgáltatások üzemeltetői felelősségre vonhatók, és világhálós szinten korlátozásokkal sújthatók az ilyen sajnálatos események meg nem akadályozása miatt. Ezen okoknál fogva a weboldalak működtetőinek kötelessége mindent megtenni azért, hogy a rosszindulatú tevékenységek ne nyerhessenek teret. |
|
|
|
|
|
Hogyan lehet megelőzni? |
|
|
|
|
|
Sokféle módszer létezik arra, hogy megakadályozzuk a kapcsolattartó űrlapokkal való visszaélést. Ebben az útmutatóban segítséget adunk az első lépések megtételéhez. A biztonság megteremtéséhez elegendő néhány kisebb módosítást végrehajtanunk, legtöbb esetben az üzenet elküldését végző lap forráskódjában. Kérjük, ha Ön nem járatos a PHP és más webes programozási formákban, lehetőség szerit kérje meg webfejlesztőjét, hogy haladéktalanul hajtsa végre a megfelelő módosításokat, ha mindeddig nem tette volna meg!
Mivel a legtöbb ilyen visszaélést kifejezetten erre fejlesztett programokkal (robotokkal) végzik, melyek elvégzik az előzetes utasítások alapján a kódrészletek beillesztését, az egyszerű óvintézkedések is hatékonynak bizonyulnak.
Az egyik legalapvetőbb megelőzési módszer az, ha eredendően kiszűrjük a küldendő üzenetek közül azokat, melyeket kártékony célzattal kísérelnek meg postázni. Ezeket viszonylag könnyű felismerni; elegendő olyan szövegekre keresni a küldendő információkban, melyek csakis egy üzenetküldő utasításban fordulhatnak elő. Így elejét vehetjük a kéretlen leveleket kipostázó programutasítás lefutásának.
A kártékony utasítások között az alábbiak közül legalább az egyik kifejezés egészen biztosan előfordul:
- Cc
- Bcc
- Mime-Type
- Content-Type
A teendő nem más, mint egy PHP utasítássorozat segítségével ellenőrizni, hogy szerepelnek-e ezek a kifejezések az űrlapmezők bármelyikében (ez alól kivételt képez az üzenet szövegét tartalmazó mező). Tehát a feladóra vonatkozó információk és esetlegesen a téma megjelölésére szolgáló szövegbeviteli mezőket kell ellenőrizni akkor, amikor már azok változókban vannak tárolva, majd pedig ha bármelyik is „megbukott a teszten”, megakadályozni az üzenetküldési folyamat lefutását.
Segítségképpen íme az „$mail” változóban tárolt, a feladó e-mail címét tartalmazó szöveg ellenőrzését segítő PHP kódsor, melyet a feldolgozást végző oldal kódjának elején kell alkalmazni: |
|
|
|
|
|
|
|
|
|
|
|
Ugyanezzel a módszerrel ellenőrizni kell valamennyi szövegbeviteli mezőt – az üzenet szövegét tartalmazó mezőn kívül. Szükség esetén további tájékoztatást talál az strpos(); függvény használatáról a http://www.php.net/ oldalon. |
|
|
|
|
|
Egy másik egyszerű és kedvelt módszer az ellenőrző számsor bekérése. E módszer lényege abban rejlik, hogy az üzenni kívánó felhasználók számára az űrlapot tartalmazó oldal egy megfelelő utasítássorozat segítségével generál egy véletlenszerű számot, melyet képformátumban jelenít meg. Ezt a számot kell a látogatónak egy megadott szövegmezőbe gépelni, hogy az üzenet elküldhető lehessen.
Ez a módszer kifejezetten a robotok működési sajátosságaira építve állít akadályt a kéretlen üzenetek küldése elé. Mivel a robotok nem képesek a megjelenített képfájlról leolvasni az ellenőrző számsort, nem tudják helyesen kitölteni az erre szolgáló szövegmezőt. Így a SPAM nem kerülhet elküldésre, valamint biztosítva lesz, hogy csakis valódi felhasználók által küldött üzenetek kerülnek továbbításra. |
|
|
|
|
|
Kérjük, ha weboldalán Ön is üzemeltet ilyen vagy ehhez hasonló kapcsolattartó űrlapot, és eddig nem tett megelőző lépéseket a SPAM-mel szemben, fontolja meg a megfelelő módosításokat. Szükség esetén konzultáljon webfejlesztőjével. Közös felelősségünk és kötelességünk a SPAM-küldés visszaszorítása, nem utolsó sorban pedig közös érdekünk az, hogy sem a weboldalakat, sem pedig a tárhelyszolgáltatást ne sújtsák korlátozásokkal a SPAM-küldésben való - akár vétlen - közreműködés miatt. |
|
|
2007.01.18 |
|
|
|
|
|
|