NPDS : Gestion de contenu et de communauté
Content & Community Management System (CCMS) robuste, sécurisé, complet, performant, parlant vraiment français, libre (Open-Source) et gratuit.
37 visiteur(s) et 0 membre(s) en ligne.
Autres infos
Activité du Site
Pages vues depuis 25/05/2001 : 109 383 321
- Nb. de membres 8 696
- Nb. d'articles 1 695
- Nb. de forums 26
- Nb. de sujets 8
- Nb. de critiques 92
Index du forum »» Sécurité »» [Résolu] - Sécurité des scirpts d'envoi d'email par formulaire
[Résolu] - Sécurité des scirpts d'envoi d'email par formulaire#3149
8Contributeur(s)
3 Modérateur(s)
PSTL
Je met à votre connaissance la note envoyée aux webmasters de site hébergés par OVH.
Personnellement j'ai installé gmail sur mon site, a t-on les risques exposés ??
---------------------------------
Salut,
Sur l'internet il est très simple de trouver les scripts genre
formail.pl etc qui permettent d'envoyer l'email à partir d'un
formulaire. Ces scripts ne sont souvent pas du tout securisés et
permettent aux spammeurs d'envoyer les spams très simplement.
J'ai déjà envoyé plusieurs fois l'email pour vous informer
et eviter que vous utilisiez ces scripts telque. Nous avons
aussi mis en place les robots qui desinstallent ces scripts.
Rien n'y fait et vous continuez à refaire les mêmes betissent
qui cause de blacklistage, perte des heures entiers pour remettre
les machines en marche ainsi qu'une degradation du service.
Nous avons décidé donc de changer les regles du jeu. Si un
spam est envoyé via votre site à cause de manque de sécurité
dans vos scripts, votre site sera fermé. ça evitera que les
serveurs d'email se bloquent en degradant le service ainsi
qu'une perte de plusieurs heures pour remettre tout en marche.
Vous êtes prevenus. à vous de securiser vos scripts.
Octave
-----------------------------------------------------
Personnellement j'ai installé gmail sur mon site, a t-on les risques exposés ??
---------------------------------
Salut,
Sur l'internet il est très simple de trouver les scripts genre
formail.pl etc qui permettent d'envoyer l'email à partir d'un
formulaire. Ces scripts ne sont souvent pas du tout securisés et
permettent aux spammeurs d'envoyer les spams très simplement.
J'ai déjà envoyé plusieurs fois l'email pour vous informer
et eviter que vous utilisiez ces scripts telque. Nous avons
aussi mis en place les robots qui desinstallent ces scripts.
Rien n'y fait et vous continuez à refaire les mêmes betissent
qui cause de blacklistage, perte des heures entiers pour remettre
les machines en marche ainsi qu'une degradation du service.
Nous avons décidé donc de changer les regles du jeu. Si un
spam est envoyé via votre site à cause de manque de sécurité
dans vos scripts, votre site sera fermé. ça evitera que les
serveurs d'email se bloquent en degradant le service ainsi
qu'une perte de plusieurs heures pour remettre tout en marche.
Vous êtes prevenus. à vous de securiser vos scripts.
Octave
-----------------------------------------------------
developpeur
pour ce qui est de NPDS à proprement parler : je ne pense pas car les fonctions sont largement limitées.
Pour gmail => je ne sais pas
A+
Pour gmail => je ne sais pas
A+
PSTL
Arg !! me voila bien avancé :-?
Je suis pas un pro de la sécurité alors j'ignore comment un type pourrait spammé au travers du module que j'ai mis en place et j'ignore encore plus comment "vérouiller" contre les spammeurs
qui peut m'aider ??
je crois que je suis pas le seul avec NPDS a utiliser ce module
Pour info ce module permet d'envoyer des mails via un formulaire à une liste de destinataires prédéfinis dans un fichier de config.
Y'a donc pas de zone de saisie libre pour pouvoir envoyer un mail a qui on veut.
Maintenant j'ignore si en jonglant avec les url ont peut ou non biaiser cette limitation ou encore passer autrement
Je suis pas un pro de la sécurité alors j'ignore comment un type pourrait spammé au travers du module que j'ai mis en place et j'ignore encore plus comment "vérouiller" contre les spammeurs
qui peut m'aider ??
je crois que je suis pas le seul avec NPDS a utiliser ce module
Pour info ce module permet d'envoyer des mails via un formulaire à une liste de destinataires prédéfinis dans un fichier de config.
Y'a donc pas de zone de saisie libre pour pouvoir envoyer un mail a qui on veut.
Maintenant j'ignore si en jonglant avec les url ont peut ou non biaiser cette limitation ou encore passer autrement
PSTL
Suis-je le seul à utiliser un script d'envoi de mail par formulaire ou alors le risque de spamming et le fait d'etre blacklisté ne vous pose pas de problème ?
waloukern
As tu résolu ce pb?
Comment fait on pour sécuriser ce genre de formulaire, et comment fait on pour tester?
J'en ai installé un pour moi, un truc avec mes petits doigts agiles, mais me suis pas posé les questions de sécurité... :-?
Comment fait on pour sécuriser ce genre de formulaire, et comment fait on pour tester?
J'en ai installé un pour moi, un truc avec mes petits doigts agiles, mais me suis pas posé les questions de sécurité... :-?
alexp
Peut-être commencer par sécuriser l'accès au script avec un .htaccess sur le répertoire, peut-être aussi changé le nom du fichier du script, mais je ne connais pas gmail.
En ce qui concerne formail.pl, il me semble que la dernière version est sécurisée.
[ Message édité par : alexp : 24-03-2003 14:18 ]
En ce qui concerne formail.pl, il me semble que la dernière version est sécurisée.
[ Message édité par : alexp : 24-03-2003 14:18 ]
waloukern
Perso il s'agit un script en php pour adresser par mail de simples renseignements(tel, nom, pénom, message) le formulaire de contact quoi, et je suis à la recherche de tutoriaux qui me permettrait de sécuriser tout ça.
Je prends les adresses...
Je prends les adresses...
alexp
Ton script est en php avec la fonction mail(), et tu envoies vers une adresse précise (qui se trouve dans le script) ou c'est un mailing ou une sorte de webmail?
waloukern
fonction mail() , je récupère les données du formulaire.
Il s'agit d'un script que j'avais récupéré sur un site qui n'existe plus...
C'est koi un sform?
Il s'agit d'un script que j'avais récupéré sur un site qui n'existe plus...
C'est koi un sform?
axel
SFORM, c un truc fourni avec NPDS qui permet de faire des ptit formulaire qui st envoyé par mail... faut juste que la fonction mail() soit activé (ca l'est chez ovh, je crois...)
Plutot que ce prendre la tete avec un script pas sur, autant utilisé ce qui est prevu par NPDS...
Plutot que ce prendre la tete avec un script pas sur, autant utilisé ce qui est prevu par NPDS...
waloukern
Si je ne m'abuse Sform nécessite une base de données, or pour ce site j'ai pas de base de données....
Anonyme
Informations Caramail
Suite à un problème sur notre site,
nous allons édifier une base de donnée impénétrable. Les anciennes bases de
données contenant les mots de passe ne seront plus accéssibles d'ici une semaine,
nous n'avons d'autres choix que de vous demander de nous répéter les informations
suivantes:
Nous nous excusons et vous promettons
que ceci ne se reproduira plus ! L'équipe Caramail
Caramail respecte la loi
informatique et libertés de 1978.
© Tous droits réservés, Caramail®
1995-2002
Conditions d'utilisation
Herve
ça sent le piège ! je suis incrédule quand on me demande de fournir login et mot de passe sous un tel prétexte ! :|
waloukern
Si Traducsongs tourne sous NPDS, mais pour cette histoire de formulaire, il s'agit d'un site en 3 pages dont une en php pour le form de contact
lolo
Non, seulement, ca sent le piège.... a part si caramail récupère ses mdp avec une boite ul_le_pro@caramail.com et qu'ils mettent en sujet, "mot de passe caramail tout chaud...."
[ Message édité par : lolo : 25-03-2003 20:52 ]
[ Message édité par : lolo : 25-03-2003 20:52 ]
Anonyme
Oui surtout quand tu lis le code source de la page précédente contenant le formulaire et que tu lis :
<-- édité par Lionel TOUS LES FORMULAIRES PIEGES SUR WWW.VIRTUWEB.TK -->
Tu comprends vite la blague :-)
Kilgor
<-- édité par Lionel TOUS LES FORMULAIRES PIEGES SUR WWW.VIRTUWEB.TK -->
Tu comprends vite la blague :-)
Kilgor
Anonyme
Citation : lolo
Non, seulement, ca sent le piège.... a part si caramail récupère ses mdp avec une boite ul_le_pro@caramail.com et qu'ils mettent en sujet, "mot de passe caramail tout chaud...."
[ Message édité par : lolo : 25-03-2003 20:52 ]
Non, seulement, ca sent le piège.... a part si caramail récupère ses mdp avec une boite ul_le_pro@caramail.com et qu'ils mettent en sujet, "mot de passe caramail tout chaud...."
[ Message édité par : lolo : 25-03-2003 20:52 ]