Was es zu beachten gibt, wenn man eine Webseite hat und wo man sonst aufpassen sollte

FloHoCH

Stammgast
Der dritthäufigste Grund, wieso man Spam-Mails bekommt ist, weil die E-Mail-Adresse ungeschützt auf der eigenen Webseite liegt.

Es gibt verschiedene Lösungsansätze, welche helfen, dass die E-Mail-Adresse nicht mehr von so genannten Span-Bots gefunden wird.

Die krasseste und beste Methode, welche ich kenne ist die E-Mail-Adresse mit einer "div-Schrift" darstellen zu lassen, der Text wird in ganz viele <div>s gesplittet und ähnlich einem Hintergrund angezeigt. Das ist praktisch unknackbar!

Altbewährte Methoden sind etwa die "Java-Script-Verschlüsselung", mit welcher die E-Mail-Adresse gesplittet und beim Klick wieder zusammengesetzt wird. Oftmals wird die E-Mail-Adresse aber auf der Seite normal dargestellt, womit das Java-Script sowieso für den Hund ist. ich empfehle wenn immer Möglich auf der Seite (im Anzeigebereich) "E-Mail" zu schreiben oder anstatt einem @ das Copyrightzeichen zu verwenden. Weitere Nachteile der Java-Script-Methode sind, dass man JavaScript deaktivieren kann und dass es einige neuartige Bots schaffen, diesen Schutz zu umgehen.

Eine weitere Methode ist im Code nur ASCII-Zeichen zu verwenden, das sieht wirr aus und verwirrt somit auch die meisten Spam-Bots :) Ich empfehle aber bei dieser Variante gewisse Zeichen normal zu schreiben, um Bots noch mehr zu verwirren, doch genauso wie das "(at)" problemlos umgewandelt wird, ist auch diese Methode leicht zu knacken, sie ist also nur solange sicher, wie sie nicht viel verwendet wird (leider).

Am effektivsten (nach der div-Schrift) ist es, die E-Mail-Adresse in ein Bild zu speichern (möglichst keine Standardschrift verwenden). Dieses kann zwar analysiert werden, was aber viel Ressourcen braucht und daher kaum gemacht wird, ist es dazu noch keine Standardschrift wie Arial oder Times New Roman kann man davon ausgehen, dass die E-Mail-Adresse höchstens abgetippt wird, aber sicher keinem Spam-Bot zum Opfer wird.

Grundsätzlich gilt: Wenn keine Verlinkung vorhanden ist, so steigert man die Sicherheit des eigenen Spamschutzes. Hier beginnt aber die Überlegung , wieviel Komfort man dem gut gesinnten Seitenbesucher bieten will, was mit der eigenen Sicherkeit abzuwägen ist. Ein Bild bietet den klaren Nachteil, dass sich der Text nicht kopieren lässt. Dasselbe gilt für die div-Schrift.


Gefahren lauern aussredem an jedem anderen Ort, wo man seine E-Mail-Adresse im Internet preis gibt (Foren, Gästebücher etc.) diese müssen sich gleichermassen Gedanken zum Schutz dieser Daten machen, was leider nicht alle ernst nehmen. So kann es passieren, dass man zwar auf der eigenen Seite vor Spam geschützt ist, seine E-Mail-Adresse aber von Bots in einem Gästebuch aufgespührt wird. ich empfehle für solche Zwecke eine separate E-Mail-Adresse einzurichten.

Besonders beliebte Adressen für Span-Mails sind ausserdem info@... und support@.... Mit solchen Adressen kann es zu grösseren Spam-Attacken kommen, auch wenn diese nirgends im Internet ungeschützt ersichtlich ist, da in diesem Fall die Spam-Versender einfach wild drauf los probieren. Das Gleiche Problem ist auch nach dem @ zu beobachten. In diesem Fall sind Gratisanbieter besonders beliebt, dafür können sie nichts. Das ist der Grund, wieso ich meine E-Mail-Adresse(n) über eine eigene Domain laufen lasse.

Schlussendlich ist es immer von Nutzen, wenn gute Spamfilder im Einsatz sind. Aber als Webseitenbesitzer kann man diesen enlasten!
 

-ian

Stammgast
Wie geht das?

Hallo FloHoCh,
Wie kommt mann zu so einer <div-Schrift> ? Muss ich dann den
Besucher meiner Website drauf hinweisen das Er die Adresse
abtippen muss?
 

FloHoCH

Stammgast
Hallo FloHoCh,
Wie kommt mann zu so einer <div-Schrift> ? Muss ich dann den
Besucher meiner Website drauf hinweisen das Er die Adresse
abtippen muss?

Zum Beispiel hier: http://www.cssplay.co.uk/menu/cssfont.html

Den Hinweis kannst du dir spahren, sie werden schon selber merken, dass man einen Background nicht kopieren kann :)

Viele Webseitenbetreiber lösen die Spam-Problematik mit einem Kontaktformular, aber falsch programmiert kann auch dieses für Spam-Versand missbraucht werden, ausserdem sind Kontaktformulare nicht besonders beliebt.
 

Stromer92

Stammgast
ich denke anders. ein Kontaktformular ist sehr gut. wichtig ist einfach, das die felder nicht alle vorgegeben sind, sondern das nur 3 Inputs und eine Textarea hat

Absender-Name, Absender-Mail, Betreff und Nachricht (textarea)

falls man es für nötig hält halt nen captcha rein, aber recht wenige boots nutzen Kontaktformulare. Und für die meisten hilft es schon den Inputs/Area nicht namen wie "name" oder ählich zu geben, sondern "field01". dann weiss der bot ja nicht in welches feld er was eintragen soll! man muss dann nuüberprüfen ob im mail ein @ und ein . und mindestens 8 zeichen vorhanden sind, und im name ebenfalls ob ein lehrschlag und ein mindestens 5 buchstaben vorkommen
 

Dragonlord

PCtipp-Moderation
Teammitglied
SPAM-Mail

Ich bin der gleichen Meinung wie Stromer92. Ich arbeite schon seit 10 Jahren mit Webprogrammierung und habe noch nie übermässig viele SPAM-Mails erhalten.

Ich selber, habe seit 10 Jahren die gleiche Emailadresse und auch nicht übermassig viele SPAM-Mails erhalten.

lg Roger
 

FloHoCH

Stammgast
falls man es für nötig hält halt nen captcha rein, aber recht wenige boots nutzen Kontaktformulare. Und für die meisten hilft es schon den Inputs/Area nicht namen wie "name" oder ählich zu geben, sondern "field01". dann weiss der bot ja nicht in welches feld er was eintragen soll! man muss dann nuüberprüfen ob im mail ein @ und ein . und mindestens 8 zeichen vorhanden sind, und im name ebenfalls ob ein lehrschlag und ein mindestens 5 buchstaben vorkommen

Formulare werden dann unsicher, wenn man sie falsch programmiert. Wenn mit HTML&formail.cgi könnte ein Bot nach der E-Mail-Adresse im Code suchen (obwohl Bots vorallem die Seite selber durchsuchen), also entscheiden sich die Meisten für PHP und da leuten bei mir die Alarmglocken! Du sagst es richtig, es müssen die Eingaben überprüft werden, so dass kein Falschcode eingeschleust werden kann. Vorallem gilt es Steuerzeichen heraus zu filtern. Capcha ist eine weitere Möglichkeit. Doch auch mit Capcha kann man ein Formular unsicher machen ;) Immerhin schützt ein Chapcha vor den meisten Bots.
 
Formulare werden dann unsicher, wenn man sie falsch programmiert. Wenn mit HTML&formail.cgi könnte ein Bot nach der E-Mail-Adresse im Code suchen (obwohl Bots vorallem die Seite selber durchsuchen), also entscheiden sich die Meisten für PHP und da leuten bei mir die Alarmglocken! Du sagst es richtig, es müssen die Eingaben überprüft werden, so dass kein Falschcode eingeschleust werden kann. Vorallem gilt es Steuerzeichen heraus zu filtern. Capcha ist eine weitere Möglichkeit. Doch auch mit Capcha kann man ein Formular unsicher machen ;) Immerhin schützt ein Chapcha vor den meisten Bots.

Wer falsch programmiert ist selber schuld... ganz einfach... testen sollte man sowieso immer bevor man online geht... auch debuggen und all das sollte man vorher machen...
 

FloHoCH

Stammgast
Wer falsch programmiert ist selber schuld... ganz einfach... testen sollte man sowieso immer bevor man online geht... auch debuggen und all das sollte man vorher machen...

Ein Formular funktioniert auch mit Sicherheitslücken. Wenn also jemand keine Erfahrung und vorallem keine Vorstellung von den Gefagren hat nützt alles testen nichts. Selber schuld? Naja ... Klar ist jeder für seine eigenen Scripts verantwortlich aber wer schlussendlich darunter Leidet ist der Serverbetreuter. Ich finde, dies ein ernst zu nehmendes Thema und "Selber schuld" klingt für mich ein bischen zu sehr auf die "leichte Schulter" genommen!
 
Ein Formular funktioniert auch mit Sicherheitslücken. Wenn also jemand keine Erfahrung und vorallem keine Vorstellung von den Gefagren hat nützt alles testen nichts. Selber schuld? Naja ... Klar ist jeder für seine eigenen Scripts verantwortlich aber wer schlussendlich darunter Leidet ist der Serverbetreuter. Ich finde, dies ein ernst zu nehmendes Thema und "Selber schuld" klingt für mich ein bischen zu sehr auf die "leichte Schulter" genommen!

Wer selbst ein eigenes Skript schreiben kann, sollte fähig sein, abzuschätzen wo fehler stecken könnten... ausserdem wird in den meisten fällen empfohlen ein wenig kenntnis zu haben in der webprogrammierung... aber bei den vielen gratis angeboten die es heute gibt, kann praktisch jeder eine homepage erstellen ohne auch nur einen hauch ahnung von der Webprogrammierung zu haben... schön und gut, aber dann sind diese leute erst recht selber schuld...

bevor man autofahren darf im öffentlichen verkehr, sollte man erst mal die theorie lernen... dasselbe ist auch im web der fall... aber durch solche angebote im internet wird das ignoriert... was ich falsch finde...

das brauchst du allerdings nicht zu verstehen... andere leute können es besser nachvollziehen (und im übrigen, ich verstehe was vom programmieren, darum weiss ich wovon ich rede)...

ps: wer programmieren will muss auch erst mal die logik dahinter begreifen...
 

Dragonlord

PCtipp-Moderation
Teammitglied
Prüfung

Ich wäre auch dafür, dass es für Personen welche Webseiten programmieren, zuerst eine Prüfung ablegen sollte. Es würde nachher viel bessere und schönere Webseiten geben.

@link182
Bin ganz Deiner Meinug.

lg Roger
 

Stromer92

Stammgast
Formulare werden dann unsicher, wenn man sie falsch programmiert. Wenn mit HTML&formail.cgi könnte ein Bot nach der E-Mail-Adresse im Code suchen (obwohl Bots vorallem die Seite selber durchsuchen), also entscheiden sich die Meisten für PHP und da leuten bei mir die Alarmglocken! Du sagst es richtig, es müssen die Eingaben überprüft werden, so dass kein Falschcode eingeschleust werden kann. Vorallem gilt es Steuerzeichen heraus zu filtern. Capcha ist eine weitere Möglichkeit. Doch auch mit Capcha kann man ein Formular unsicher machen ;) Immerhin schützt ein Chapcha vor den meisten Bots.


auf das möchte ich schnell auch noch zurückkommen. Ich persönlich nutze ausschliesslich PHP, und da kann der Bot beim besten willen keine E-Mailadresse rauskriegen. Captchas sind leider auch nicht mehr was sie mal waren. Z.b. die von Netload.in, die wirklich nicht schlecht sind (
captcha.php
)
sind für einen Bot kein problem...

Ich wäre auch dafür, dass es für Personen welche Webseiten programmieren, zuerst eine Prüfung ablegen sollte. Es würde nachher viel bessere und schönere Webseiten geben.

@link182
Bin ganz Deiner Meinug.

lg Roger

nun, das würde sicher helfen, auch in sachen barrierefreiheit usw. mur wie wollte man das realisieren?
 

Dragonlord

PCtipp-Moderation
Teammitglied
Prüfung

Das mit der Prüfung wäre so eine Sache, die ja so wieso nicht zu realisieren wäre.

Irgenwie müsste mein ein Zertifikat erstellen (Bild), dass auf die Webseite eingebunden wierden darf.

Das dürfte man zum Beispiel verwenden, wenn man die SIZ Prüfung abgelegt hat oder etwas ähnliches.

lg Roger
 

Stromer92

Stammgast
Das mit der Prüfung wäre so eine Sache, die ja so wieso nicht zu realisieren wäre.

Irgenwie müsste mein ein Zertifikat erstellen (Bild), dass auf die Webseite eingebunden wierden darf.

Das dürfte man zum Beispiel verwenden, wenn man die SIZ Prüfung abgelegt hat oder etwas ähnliches.

lg Roger

nun das ist wieder unfair, schliesslich kann nicht jeder so eine prüfung ablegen. trotzdem heisst das nicht das er ein schlechter programmierer ist!
 

Dragonlord

PCtipp-Moderation
Teammitglied
Siz

Auch mir ist klar, dass man so etwas wie die SIZ-Prüfung nicht als Standard nehmen kann, es kostet immerhin stolze 2'060 Franken. Das ist die reine Prüfungsgebühr.

Ich selber habe diese Prüfung gemacht und es hat mich sehr viel weitergebracht.

Vielleicht wäre es eine Möglichkeit ein unabhängiges Gremium zu bilden, dass Webseiten beurteilt und nachher mit einem Gütesiegel versieht. Dieses Siegel (Logo) darf man nachher auf der Webseite einbinden, wie man es mit dem HTML-, XHTML- oder CSS-Logo machen darf.

lg Roger
 

FloHoCH

Stammgast
wer programmieren will muss auch erst mal die logik dahinter begreifen...

Hey, wir sind uns ja voll und ganz einig, worüber diskutieren wir eigentlich? Du schreibst genau das, was ich fördern möchte ;)

Ich persönlich nutze ausschliesslich PHP, und da kann der Bot beim besten willen keine E-Mailadresse rauskriegen.

Nein, das ist richtig, die E-Mail-Adresse im PHP kann nicht aus dem Code heraus gelesen werden, da PHP eine serverseitige Programmiersprache ist. Dafür kann eben ein schlecht programmiertes Formular direkt für den Spamversand genutzt werden. Ich mache mal ein Beispiel:

Ein Formular mit 3 Feldern - Absenderadresse, Betreff, Text
Nun schreibe ich in das Feld für die Absenderadresse "spam@spamer.com \r\n Bcc: hans@mueller.ch, freni@gerber.ch, peter@hugetobler.ch"
Dies kann ich so lange machen, bis ich deine Längenbeschränkung erreicht habe, also könnte ich mir sogar überlegen, dies im Content-Bereich zu machen, da wären sicher eine schöne Anzahl Adressen möglich. Wird der SPAM zurückverfolgt findet man als Quelle deinen Server. Wirklich wichtig ist also, die Steuerzeichen (\r\n), sowie Steuercode, welchen man bestimmt nicht will (Bcc) heraus zu filtern, so dass das Formular genau diese Funktion erfüllt, welche es soll und nichts sonst. Zum eigenen Schutz kann man auch noch die Syntax der Mailadresse überprüfen.

$eingabe = preg_replace("/(content-type:|bcc:|cc:|to:|from:)/im","",$eingabe);
$eingabe = preg_replace("/(\n+|\r+|%0A|%0D)/i", '', $eingabe);
if(ereg("([a-zA-Z0-9._-]+[@]+[a-zA-Z0-9.-]+.[A-Za-z][A-Za-z])", $mailadresse)
 
Zuletzt bearbeitet:
A

abu

Guest
Ich wäre auch dafür, dass es für Personen welche Webseiten programmieren, zuerst eine Prüfung ablegen sollte. Es würde nachher viel bessere und schönere Webseiten geben.

@link182
Bin ganz Deiner Meinug.

lg Roger

Leider wäre eine solche Prüfung auch hier keine Garantie, dass dann auch professionell gearbeitet wird. Und sind nicht "schön, besser" letztlich Geschmacksache?
 

Dragonlord

PCtipp-Moderation
Teammitglied
Validator

Gut, dass mit besser oder schöner ist natürlich Ansichtssache. Es ist auch keine Garantie dass besser gearbeitet wird.

Aber eine Gewisse Sicherheit git es doch.

Zum Code prüfen gibt es ja die Möglichkeit auf W3C die Codequalität zu prüfen.

Für HTML/XHTML
http://validator.w3.org/

Für CSS
http://jigsaw.w3.org/css-validator/

Wenn alle nur dies machen würden, hätte man schon viel weniger Probleme.

lg Roger
 
Zuletzt bearbeitet:
A

abu

Guest
Gut, dass mit besser oder schöner ist natürlich Ansichtssache. Es ist auch keine Garantie dass besser gearbeitet wird.

Aber eine Gewisse Sicherheit git es doch.

Zum Code prüfen gibt es ja die Möglichkeit auf W3C die Codequalität zu prüfen.

Für HTML/XHTML
http://validator.w3.org/

Für CSS
http://jigsaw.w3.org/css-validator/

Wenn alle nur dies machen würden, hätte man schon vile weniger Probleme.

Ich bin 100% gleicher Meinung. Leider ist eine Validierung aber freiwillig. Und guter Geschmack kann nicht vorgeschrieben werden.
 

maxcimo

Stammgast
Zum Code prüfen gibt es ja die Möglichkeit auf W3C die Codequalität zu prüfen.

Leider kann man mit diesen Überprüfungstools nicht die Codequalität an sich prüfen, sondern lediglich die Syntax bezüglich der eingesetzten Markup Sprache.


@Prüfung für Webseitenprogrammierer: Falls das ernst gemeint war, dann bin ich viel eher dafür, dass man für Internt-Nutzer eine solche Prüfung einführt. Denn wenn Internet-Nutzer ihre Systeme auf dem neusten Stand halten, nicht auf Spam Mails eingehen, nicht immer Allem vertrauen würden, etc ... dann hätten Abzocker erst gar keine Überlebenschance!
 
@Prüfung für Webseitenprogrammierer: Falls das ernst gemeint war, dann bin ich viel eher dafür, dass man für Internt-Nutzer eine solche Prüfung einführt. Denn wenn Internet-Nutzer ihre Systeme auf dem neusten Stand halten, nicht auf Spam Mails eingehen, nicht immer Allem vertrauen würden, etc ... dann hätten Abzocker erst gar keine Überlebenschance!

da stimme ich dir zu, aber ich bin eher für beides...
 
Oben