12 мая 2008 в 10:22
Вот интересную недоработку обнаружил.
Drupal 6.2
При разрешенной роли (не)зарегистрированному пользователю.
Пользователь может отослать спам из формы контакта путем замены E-maila и установки галки "Прислать мне копию".
Письмо соответственно отсылается уходит на левый адрес и админу.
ТОлько что проделал такую бяку c Drupal.ru. В качестве теста!
Письмо пришло на левый адрес!
Как решать такую дырку ?
Комментарии
проводить идентификацию по отпечаткам пальцев и сканированию радужной оболочки глаза
Freedom, это вы к чему?
Капчу туда воткнуть?
Не понимаю проблемы?
Я к тому, что определить слёту принадлежит ли указанный адрес ему невозможно. Написать можно всё что угодно. Другой вопрос чтобы сначала отправить по этому адресу письмо с каким то параметром (паролём например), и вписать его при отправке самого письма. Но это опять же отправка системой письма по "левому" адресу.
Можно установить разршение на отправку писем только зарегистрированным пользователям - 100% рабочее решение.
А капчу прикреплять - ну введёт он сумму, картинку..... и укажет "левый" адрес.... С капчей просто больше времени займёт отправка сообщения.
Freedom пишет:
'Можно установить разршение на отправку писем только зарегистрированным пользователям - 100% рабочее решение.'
Да нет, как раз это не нужно. Ведь эта форма существует как бы только для 2х людей - админа и пользователя. Зачем сюда третьего примешивать?
Определять адрес для анонима и не нужно, а для зарегенного он известен.
Спам вручную, с вводом капчи - пока что всё-таки редкость, т.к. спам проще рассылать автоматически. При рассылке спама, насколько я понимаю, из спамящей сети уходят как минимум десятки писем в минуту - вариант с вводом капчи просто неактуален.
Правда, есть разные схемы, где капчу вводит человек (за деньги или еще как), но это когда речь идет о спаме в комментах, форумах и пр. Емэйлы же можно отсылать гораздо проще.
Ну спам - это громко сказано. Я имею ввиду что можно отослать например гадость какую-нибудь. Будет не очень приятно. Конечно, такой пользователь будет отключен. Но админу это ведь лишний гемморой.
Нет, капча она конечно хорошо. Да и ограничение на отсылку сообщений в час можно выставить на минимум, но это не выход
Мне видится решение проблемы так
Запретить
пользователю менять поля имя и емаил в этой форме.
Вопрос - где это можно отключть-настроить?
Вот посмотрите в чем проблема
Просто я дырки тут в упор не вижу.
Ну не дырка, а дырочка. Хотя что вы имеете ввиду под термином "дырка"?
Как начнут посылать, так сразу увидите!
Я же Вам в личку написал как действует на примере drupal.ru !
убрать птичку из формочки "прислать мне копию" - это делается в themplate.php через unset ненужного поля - примерно так http://drupaldance.com/blog/tuning-comments-form
Так если можно менять форму (а менять можно), то можно сделать более гибко: если пользователь залогинен - менять тип поля "почта" с 'textfield' на, например, 'item'. Если нет - убрать галочку "отправить копию".