Mail an Mitglied und Bearbeiten von Profilen einer Gruppe

Alles, was nicht in die anderen Foren passt, kannst du hier loswerden.
bettes
Beiträge: 65
Registriert: 12. Mai 2008, 23:33
Kontaktdaten:

Beitrag von bettes »

Hallo ise,

das sollte auch nicht böse gemeint sein. Ich bin bisher der Auffassung, das avolkmer halt keine allgemeinen Mails versenden wollte sonder als Einzelmail.

Vielleicht sollte das avolkmer halt nochmal klar stellen.

Und davon abgesehen, ich wollte Dich mit meinem Post auch nicht angreifen, sondern nur durch die Weiterführung der Diskussion eine Hilfe für avolkmer darstellen.

Also lassen wir es gut sein. Es ist schließlich alles gesagt, was zu sagen ist.

Wollen wir uns lieber dem nächsten Problem zuwenden. Es gibt ja noch andere Posts, wo wir zum Wohle der anderen trefflich "streiten" :wink: können.

Gruß
Bettes :lol:
avolkmer
Beiträge: 13
Registriert: 10. Jan 2010, 21:12

Beitrag von avolkmer »

Hallo,

nicht streiten...

Aber es ist schon richtig. Ich möchte gerne der Internetwelt die Möglichkeit geben, meinen Mitgliedern Mails zuschreiben, ohne die Mailadresse nach draussen zu geben.
Wir wissen ja alle, was damit dann gemacht wird.

Also ja ich möchte das Mail Modul aufrufen und eine Mail an einen bestimmten Kontakt schicken.

Vielleicht können wir ja ein neues Modul dafür schreiben, dann müssen wir das Standard Modul nicht ändern.

Ich werde mir mal den Code anschauen. Aber auf die schnelle habe ich noch keine Lösung gesehen.
Der Code ist mit den vielen Variablen, die mir nicht klar sind, wo sie versorgt werden, schwer lesbar.

Vielleicht finden wir ja eine Lösung, denn ich denke die Funktion wäre sehr wichtig, in der heutigen Zeit der Spammer.

Schönen Abend!

Alex
bettes
Beiträge: 65
Registriert: 12. Mai 2008, 23:33
Kontaktdaten:

Beitrag von bettes »

Wir streiten nicht, wir diskutieren nur ausführlich :wink:
Benutzeravatar
fasse
Administrator
Beiträge: 6170
Registriert: 12. Nov 2005, 16:06

Beitrag von fasse »

Hallo zusammen,

wir haben das Mailmodul absichtlich so programmiert, dass keine User direkt von Extern angeschrieben werden können. Die Gründe hat Bettes hier schon genannt. Auch wenn man es mit einem Captcha sichert, so könnte dies geknackt werden und dann hätte jeder die Möglichkeit E-Mails an alle Mitglieder von X Admidio-Installationen zu schicken. Mit der jetzigen Rollenvariante kann man dies direkt schnell einschränken und zur Not nur den Webmaster für externe sichtbar machen.

zu Punkt 2:
Dies war mal möglich. Werde es mal im Hinterkopf behalten. Evlt. bauen wir das dann wieder ein.

Gruß
Fasse
avolkmer
Beiträge: 13
Registriert: 10. Jan 2010, 21:12

Beitrag von avolkmer »

Könnt ihr noch einmal sagen, was passieren kann.

Ich habe seit langen mein Eigenes geschriebenes Portal im Einsatz gehabt (war mir zu Zeitaufwendig, das weiter allein zu programmieren und weiterzuentwickeln).
Dort habe ich ein Mailformular gehabt ohne Captcha, das ohne die Mailadresse nach draussen sichtbar zu machen, die Möglichkeit gibt, den Mitglieder Mails zu senden. Ich sehe keine Möglichkeit, wie durch ein Angriff die Mailadresse zum Absender gelangen soll.
Ich hatte ein- zweimal Angriffe von Aussen ohne Erfolg.

Da die Mail immer an gültige Adressen von Intern geschickt wird.
Missbrauch oder zuspammen über das Formular gab es nicht.

Alex
bettes
Beiträge: 65
Registriert: 12. Mai 2008, 23:33
Kontaktdaten:

Beitrag von bettes »

So wie ich fasse verstanden habe, befürchtet er bei einer allgemeinen Änderung von admidio, dass alle von uns irgendwo installierten Auftritte dann angreifbar werden.

Daher wurde bewusst die Einschränkung nur auf angemeldete Mitglieder vorgenommen. Vielleicht war Dein selbst geschriebenes Portal so "exotisch", dass sich kein Hackerbot dafür interessiert hat, aber sicherlich gibt es bereits eine Vielzahl von admidio-Installationen.
Mit meinem CMS protokolliere ich immer wieder einige flooding-Angriffe und auch über die Suchfunktionen werden durchaus gezielte versionsabfragen an meine website gemacht. Häufig kann ich auch feststellen, dass bots bewusst die Kontaktseiten aufrufen. Nun ist sicherlich das von mir eingesetzte Joomla etwas weiter verbreitet, aber immerhin kann ich für mich feststellen, dass ich nicht auf einer einsamen Insel sitze. Ich weiß jetzt nicht, wie das bei anderen Anwendern ist, aber ich halte es immer wieder für sinnvoll, dass man keine bewussten Sicherheitslücken zulässt.

Im übrigen möchte ich von einem Alleingang zum umschreiben des Mail-Moduls abraten, da man dann schnell in die Updatefalle läuft.

Gruß
Bettes
avolkmer
Beiträge: 13
Registriert: 10. Jan 2010, 21:12

Beitrag von avolkmer »

Hallo,

ich kann mir nicht vorstellen, dass mit einem Angriff alle Admidio Installationen betroffen sind.
Aber vielleicht sehe ich das ja nicht.

Gibt es denn Sicherheitslücken im Mailmodul?

Ich werde mir den Code mal anschauen und vielleicht in einem neuen Modul umbauen.

Alex
bettes
Beiträge: 65
Registriert: 12. Mai 2008, 23:33
Kontaktdaten:

Beitrag von bettes »

Ob es Sicherheitslücken in dem Modul gibt, weiß ich nicht.

Aber man kann schnell über Google feststellen wie viele Admidio-Installationen existieren. Beim Suchbegriff adm_program/modules/mail/mail.php erhalte ich eine ungefähre Angabe von fast 10.000 Treffern. Sicherlich ist die installierte Basis deutlich kleiner. Aber warum sollte ein spammer-bot-Netzwerk nur eine einzige Installation benutzen, wenn es vielmehr Installationen nutzen kann. Ein spambot ist ein Programm, welches stupide das www absucht und die gefundenen sicherheitslücken brav nach Hause meldet. Es hat ja schließlich alle Zeit der welt.

Wenn nun schließlich dein Webauftritt mit einer lücke identifiziert und für den Versand von Mails misbraucht wird, dann muss dein Hoster irgendwann reagieren. Damit nämlich nicht sein gesamtes gehostetes Portfolio von anderen Mailgateways blockiert wird, muss er die Schwachstelle finden und schließen. Das heißt er wird Dir Deine Mailfunktionalität blockieren. Damit nicht jeder beliebige Server Mails ohne Authentifizierung versenden kann, verlangen fast alle Provider bei der Einlieferung von Mails die Angabe der Anmeldedaten. Und die sind im Falle von Admidio, so vermute ich mal, so wie bei mir, die von Dir oder Deinem Webmaster-Zugang, zumindest aber an die Webadresse gebunden. Wenn Du mal eine an dich über Admidio versendete Email als Quelltext ansiehst, kannst Du die in Admidio hinterlegte Mailadresse für Systemmails erkennen.

Wie das ist, wenn eine Servergruppe durch die anderen Provider auf die Blackliste gesetzt wurde, habe ich in unserem Unternehmen schon erfahren. Unser Rechenzentrum wurde aufgrund eines Fehlers mal auf die Black-Liste gesetzt. Die Mailgateways der anderen Provider blockierten die Weitergabe der eigenen Mails. Da hat sich innerhalb von 2 Tagen - die man benötigte um das Problem zu beseitigen - eine unglaubliche Anzahl von nicht zustellbaren Mails angesammelt.

Ich will aber hier keine Paranoia verbreiten oder gänzlich blocken, sondern nur auf Deine Frage ein mögliches Szenario aufzeigen. Wie ich ausgeführt habe, Dein oder mein Webauftritt befindet sich nicht auf einer einsamen Insel und wir stehen beim denic als webmaster und technischer Ansprechpartner (admin-c) in der juristischen Verantwortung. Und da - vermute ich mal - dein und mein Wohnsitz nicht in der Südsee ist, können die gesetzlichen Verfolgungsbehörden uns auch immer erreichen. Das sollte man immer wieder bedenken, wenn man im Internet unterwegs ist oder einen Webauftritt verantwortet.

Wenn Du wie du schreibst allerdings das Modul umschreibst, dann bist du mit der Version natürlich auf einer Insel. Die Lösung gibt es dann nur bei Dir.

So nun habe ich genug geschrieben und meine Standpunkte dazu verdeutlicht. Das soll nun von mir auch reichen. Alles weitere würde nur eine Wiederholung bedeuten.

Alex, nichts für ungut. Jeder hat seine Meinung und darf sie auch vertreten. Ich respektiere gerne Deine Meinung hierzu. Vielleicht ändert sich ja meine Meinung irgendwann einmal.

Auf bald und nicht persönlich nehmen. Bitte!!!

Bettes :lol:
Benutzeravatar
fasse
Administrator
Beiträge: 6170
Registriert: 12. Nov 2005, 16:06

Beitrag von fasse »

Hallo Alex,

noch eine Anmerkung von mir.

Es geht nicht nur darum, dass E-Mail-Adressen nach außen sichtbar sind, das kann man unterbinden und dies über IDs oder so lösen. Allerdings kann dann jemand anfangen und auf gut Glück IDs generieren und auf das Formular loslassen.

Durch das direkte Anschreiben als Externer von Mitgliedern eröffnen wir einfach Begehrlichkeiten. Sowas suchen Spammer und wollen da auch Lücken finden. Bei Rollen ist es ja meist so, dass dort meist ja nur wenige Rollen öffentlich per Mail zugänglich sind.

Umbauen kannst du das Mailmodul für deine Wünsche wie du möchtest. Im Admidio-Standard will ich aber lieber auf einer etwas sichereren Seite sein und deshalb kommt sowas auch erst einmal dort nicht hinein.

Gruß
Fasse
avolkmer
Beiträge: 13
Registriert: 10. Jan 2010, 21:12

Beitrag von avolkmer »

Hallo bettes,

na ja so einfach ist das nicht.
Das Mailformular tut erstmal nur das, was du willst und auch nur das kann manipuliert werden.
Es gibt nur Probleme, wenn du über das Formular z.B. durch Manipulation Spammails senden kannst.
Das kann durch die Manipulation im Body, Subject, an und von Feld erfolgen, in dem du weisst, wie das textbasierte smtp Protokol bestimmte Sachen interpretiert.

Ich sehe also zwei Sicherheitsrelevante Fragen:
1. Wie sichere ich das Mailformular ab, so das es nicht manipuliert werden kann und nur das macht was ich will. (Dafür gibt es viele Beiträge im Internet.)
Das hatte ich mir alles mal angeschaut, wo ich mein Email Formular geschrieben habe. Leider schon eine Weile her und eigentlich wollte ich ja nicht mehr so viel programmieren. :lol:
2. Wie sichere ich die Mailadresse des Empfängers z.B. bei Optionen wie Mail auch an mich senden.

Ich habe auch gesehen, das die Systemmail von meinem hinterlegten webmaster email adresse kommen.

Mit dieser Adresse kann noch niemand etwas anfangen und kann auch jeder ohne viel Wissen erfahren webmaster@domaine.de.

Wie gesagt, ich werde mir das MailForm mal anschauen, ob ich den Code wenn nötig sicherer machen muss und dann auch für den Mailversand an einzelne Personen freigeben kann.

Für Vorschläge und Einwendungen bin ich immer dankbar!

Schönen Abend!
alex
bettes
Beiträge: 65
Registriert: 12. Mai 2008, 23:33
Kontaktdaten:

Beitrag von bettes »

Natürlich kann nur das eigentliche Mailmodul kompromitiert werden. Da gebe ich Dir recht. Ich weiß auch dass das keine einfache Materie ist, man muss bei dem Thema natürlich wesentlich tiefer in das Thema einsteigen. Das muss jetzt aber nicht mehr sein. Wir wissen beide relativ gut zu dem Thema Bescheid.

Aber wie ich das so Deinen Äußerungen entnehme, scheinst Du da bei der Programmierung fitter zu sein. Dann habe ich bei deinem Auftritt auch keine Bedenken.

Ich wünsche Dir ebenfalls noch einen schönen Abend.

Gruß
Bettes
avolkmer
Beiträge: 13
Registriert: 10. Jan 2010, 21:12

Beitrag von avolkmer »

Ebenso!

Schönen Abend!

Alex

PS: Gibt es Interesse an Den Sachen die ich vielleicht finde und an den Änderungen?[/code]
Antworten