Phoca Guestbook auf einem Server - Spam
Leider unterscheiden viele Menschen nicht zwischen zwei verschiedenen Ereignissen:
1) eine Webseite hacken
2) versuchen, eine Webseite zu hacken
Einige Menschen, die Erfahrungen mit 2) haben, denken und sprechen von 1) was natürlich falsch ist.
Phoca Guestbook enthält, wie viele andere Webanwendungen auch (Foren, Gästebücher, Kontaktformulare), Eingabefelder. Beachten Sie das Wort "Eingabefeld", es ist ein wichtiger Begriff. Eingabefelder sind für Spammer sehr interressant. Wenn Spammer auf einer Webseite ein Eingabefeld finden, werden sie versuchen es zum Versenden von z.B. Spam zu nutzen. Meistens wird dies von Robotern (also automatisierten kleinen Programmen) versucht, die damit einen Server sehr belasten können.
Für den Server wird das zu einem ernsthaften Problem, wenn Roboter oft (und/oder parallel) versuchen auf eine Seite zuzugreifen. Der Server kann dann überlastet werden. Aber dies bedeutet nicht, dass der Server gehackt wurde und bedeutet auch nicht, dass auf ein Skript einer Anwendung zugegriffen wurde. Es ist nur der Versuch den Server zu hacken/zu mißbrauchen. Für diesen Fall wird diese Anwendung kein Schutzwerkzeug haben. Solch ein Schutz muß serverseitig installiert sein. (Auf Apache Servern kann das z.B. Mod Security übernehmen)
Menschen, die von solchen Versuchen betroffen sind, sind nun manchmal der Ansicht, das die Anwendung unsicher ist. Das ist natürlich unrichtig. Es ist wichtig zwischen zwei Ereignissen zu differenzieren (siehe oben):
1) eine Webseite hacken - mit Hilfe einer Anwendung, die ein Sicherheitsproblem hat - muß in der Anwendung gelöst werden.
2) versuchen, eineWebseite zu hacken - meistens versuchen Roboter eine Seite anzugreifen - muß serverseitig gelöst werden - z.B. in dem eine Seite für Roboter, die "schlechte Anfragen" an diese Seite richten, unzugänglich gemacht wird.
Die Phoca Guestbook Situation
Es ist wirklich sehr einfach (z.B. von Webhosting Providern) zu sagen, Phoca Guestbook ist nicht sicher, entfernen Sie es von Ihrem Server. Dadurch wird Phoca Guestbook für das Ereignis 1) anstatt des Ereignisses 2) verantwortlich gemacht. Aber wenn Sie Phoca Guestbook tatsächlich von Ihrem Server entfernen, benötigen Sie eine andere Anwendung. Sie können sicher sein, dass Sie in einiger Zeit auch diese Anwendung wieder durch eine andere ersetzen müssen. :-( Denn wenn Sie auf Ihrer Seite Eingabefelder verwenden wollen, können Sie ebenfalls sicher sein, das diese von Robotern auch gefunden werden, unabhängig von der verwendeten Anwendung. :-(
Botschaft an Webhosting Provider
Ich bin der Entwickler von Phoca Guestbook. Phoca Guestbook Tester und ich sind nur Menschen und natürlich können wir nicht zu 100% sicher sein, dass in Phoca Guestbook kein Sicherheitsproblem enthalten ist. Falls Sie Informationen zu solch einem Problem haben, teilen Sie es mir bitte mit. Ich bin in der Lage und vorbereitet (jetzt! und jederzeit!) so ein Problem zu lösen und zu reparieren. Sicherheit ist beim Entwickeln von Webanwendungen höchstgradig wichtig und desshalb ist mir die Sicherheit meiner Anwendungen so wichtig. Ich selbst habe täglich mit Spammern in meinem Forum zu kämpfen und kenne daher die Situation überlasteter Server.
Einige Informationen über grundlose Argumente
1) Phoca Guestbook hat keine Möglichkeit Dateien auf einem Server zu speichern. Das heißt, Spammer können Phoca Guestbook nicht mißbrauchen, um irgendwelche Dinge auf Ihrem Server zu speichern.
2) Die Eingabefelder in Phoca Guestbook werden mit vielen unterschiedlichen Methoden gecheckt (Der Versuch Spam zu verhindern) bevor ihr Inhalt in der Datenbank gespeichert wird. Deshalb gibt es auch keine Möglichkeit schädlichen Code in die Datenbank zu schreiben.
Falls Sie Fragen zu diesem Problem haben, oder Sie haben tatsächlich ein Sicherheitsproblem in Phoca Guestbook entdeckt, oder Sie haben Ideen bezüglich dieses Problems, besuchen Sie bitte das Phoca Forum (http://www.phoca.cz/forum) und teilen Sie Ihr Anliegen mit.
Ich bin immer bereit und in der Lage mögliche Sicherheitslücken zu schließen.
Vielen Dank für Ihr Verständnis.
Jan