PHP e phishing

[ufino]

Ciao!

Qualche tempo fa ho messo online un modulo per l'invio automatico di mail, ma dopo un po' di tempo i gestori dell'hosting hanno bloccato il modulo perché qualcuno lo aveva usato per pratiche di phishing.
Esiste qualche trucchetto o qualche guida per migliorare la sicurezza di questi moduli?
Su alcuni siti, prima dell'invio di un form viene chiesto di copiare un codice random di una immagine in un campo. Questa misura può garantire maggiore sicurezza? Se sì, come si può implementare tale misura in un form?

grazie a tutti in anticipo per l'aiuto

[artorius]

ecco, questo è un errore classico di chi non è abituato, ci stavo per cascare anch'io, per fortuna ho avuto la consulenza di un mio collega parecchio in gamba.

Tu non puoi in nessun modo creare un relay di posta che invia e-mail agli indirizzi inseriti, se uno ti becca, lo usa per quello che ti è capitato. (e sei stato fortunato che non ti abbiano ritenuto corresponsabile...)

Il modo migliore per ovviare il problema è di associare SOLO un numero di indirizzi per il to limitato a pochi e controllare che l' HTTP_REFERRER sia la pagina che invia la form dal tuo sito.

Comunque, in nessun caso, puoi permettere che sia l'utente a decidere destinatario e testo del messaggio, finirai sempre col trovare il tipo che lo usa per spam o phishing

[ufino]

nel form in questione, l'utente poteva solo inserire i suoi dati
il destinatario era impostato automaticamente nel corpo del file, senza possibilità per l'utente di cambiarlo

[artorius]

li hai messi i riferimenti legali sulla privacy?

[ufino]

sì, c'era un controllo per il campo "accetta trattamento dati", con relativo link alle modalità di trattamento
se il campo non era selezionato, il modulo non poteva essere spedito

[Virus_101]

attendo che gli script possono essere invocati tranquillamente da una pagina html statica anche dal mio pc . e senza server.

nulla mi vieta di fare

<form name="asdasd" action="http://tuo_script.php" method="post">
....
replico i campi
....
</form>

E quindi invocare lo script senza dover cliccare nulla se non il bottone di invio.
SUla pagina e' giusto che ci sia tutto quello che hai messo.
Cmq usare un sistema che genera le stringhette per abilitare l'invio aumenta notevolmente la sicurezza. Inoltre potresti pure limitare il num di email/giorno per uno specifico ip.

[ufino]

scusa Virus, mi potresti dare qualche dettaglio in più?

se può essere utile, il codice era discusso in questo thread:
http://forum.html.it/forum/showthrea...readid=1270672

[Virus_101]

Uh volentieri, ma ora ho finito la pausa a lavoro.

Ho dato un occhio veloce al thread ma nn faccio a tempo a scriverti nulla ora sono incasinatissimo.

Dopo pranzo ci do un occhio.
Scusami.

[artorius]

sono esattamente i problemi che ti dicevo: devi assicurarti che SOLO la pagina con la form possa chiamare lo script per l'invio della mail e SOLO ad un determinato indirizzo vengano inviati i file e SOLO a quello.
Devi, inoltre, controllare OGNI campo che l'utente inserisce per evitare che ti riscriva l'header della mail come vuole lui.

[ufino]

x Virus:
grazie per l'aiuto!

x artorius:
molti dei campi non sono selezionabili dall'utente