Vor dem Schaden klug sein: Sicherung von Webformularen

Die Online-Anmeldung für eine Veranstaltung oder einen Newsletter setzt man in der Regel mit einem Webformular um. In diesem wird man über Eingabefelder Daten abfragen, die mit Absenden des Formulars zum Webserver übermittelt werden. Hier erfolgt in einem Programm die Auswertung der Daten. Diese können z. B. in eine Datenbank gespeichert oder per E-Mail übermittelt werden.

Bei öffentlich zugänglichen Webformularen ist bei der Auswertung große Sorgfalt notwendig. Leider muss man immer davon ausgehen, dass das Formular nicht nur echte Interessenten ausfüllen, sondern auch Spielmätze, Bösewichte, ja gezielte Angreifer. Diese verwenden meist Programme, die Webformulare sehr schnell absenden. Solche „Formular-Spammer“ versuchen, Sicherheitslücken zu finden und auszunutzen oder getarnt E-Mail-Spam abzusenden. Das ist ein Sicherheitsrisiko und verschafft in den meisten Fällen viel unschöne Arbeit, Kosten und Reputationsverlust. Hier muss der Programmierer vorbeugen, bevor Schaden eintritt.

Formulare schützen

Häufig werden zum Schutz sog. Captchas verwendet, die meist jedoch nicht barrierefrei sind. Wir haben in TUCAL einfache PHP-Funktionen, die Sie als Webautor der TU Chemnitz zum Schutz Ihrer Webformulare verwenden können. Lesen Sie dazu unsere Anleitung Absicherung von Webformularen.

Daten überprüfen

Webprogrammierer müssen mit allen Arten von Eingaben rechnen. Die Programme dürfen keinen Eingaben blind vertrauen und müssen sich vor böswilligen Daten schützen. Das macht die Programmierung leider aufwändiger. Einige Hinweise dazu finden Sie auf unseren Webseiten „Sicheres Programmieren mit PHP

Vorsicht beim E-Mail-Versand

Fragen Sie E-Mail-Adressen ab, müssen Sie mit Schreibfehlern rechnen, auch mit Eingabe fremder E-Mail-Adressen. Weil Sie nie wissen können, ob der Eintrager wirklich seine eigene Adresse eingibt, ist es eine schlechte Idee, sofort eine Bestätigungs-E-Mail an diese Adresse zu senden. Wenn in einer solchen Bestätigung dann noch die eingegebenen Daten mitgeschickt werden, ist das Senden von Spam leichtfertig einfach. Informieren Sie sich bitte über Funktionen zum Prüfen von E-Mail-Adressen und zum Senden von E-Mail.

Bitte fragen Sie webmaster@tu-chemnitz.de, um Hilfe zu erhalten.

Getagged mit:
Veröffentlicht in Allgemein, HowTo, IT-Sicherheit, Webdienst

Schreibe einen Kommentar