Hier eine sehr einfache Möglichkeit Spam-Robots auszutricksen. In einem Formular wird ein Input Feld mit CSS (möglich ist auch die Verwendung von JavaScript) für “menschliche” Besucher ausgeblendet. Ganz einfach mit:

#human {
visibility:hidden;
display:none;
}

Spam Bots füllen normalerweise alle Felder aus und versenden diese. Ein normaler Website Besucher sieht das “Dummy Input Feld” nicht und wird es auch nicht ausfüllen.

Wenn nun der Formularinhalt an ein PHP Script (oder sonstiges) geschickt wird und das Dummy Feld nicht leer ist, kann man davon ausgehen, dass es sich um Spam handelt und den Post ignorieren.

Eine wirklich gute Idee die den Einsatz nerviger Captchas vermeiden lässt:

Avoid HTML form spam using CSS

Das Thema Sicherheit sollte bei keiner Software- oder Web-Entwicklung zu kurz kommen. Bereits bei der Konzeption sollte man sich unbedingt Gedanken darüber machen, wie man das neue Projekte so gut es geht absichern kann, um mögliche Schäden von vornherein zu verhindern.

Hier nun einige wichtige Tipps für eine sichere Webanwendung:

1. Bei der Entwicklung bedenken, wie das Programmierte evtl. “ausgenutzt” werden kann.
2. Daten die von Benutzern eingegeben werden können, sollte man immer filtern.
3. Bei Verarbeitung von Formularen sollte man auf serverseitige Überprüfung setzten.
4. Dateien, in denen Datenbank-Zugangsdaten gespeichert sind, nie offenlegen. Also nie im DocumentRoot ablegen! Es kann vorkommen, dass die Datei im Klartext an den Browser gesendet wird. “include()” kann auch auf Verzeichnisse zeigen die von außen nicht sichtbar sind. Wer DB-Daten ausgliedern will, sollte schlichtweg eine db.php anlegen, die Zugangsdaten in Konstanten definieren und das ganze außerhalb der Webroot oder zumindest in einem Unterverzeichnis ablegen, das eine .htaccess mit der Zeile “deny from all” beinhaltet. Zudem sollte der Datenbankserver niemals der Außenwelt zugänglich gemacht werden, sondern nur Verbindungen vom “localhost” akzeptieren.
5. Schutz gegen SQL-Injection durch Filterung der Daten, einfache Anführungszeichen als Maskierung verwenden und Escaping.
6. Sessions absichern. Das ist ein recht anspruchsvolles Thema. Weitere Informationen gibt es hier:
   

   PHP Session Security

Wer weiter Ratschläge weiß, um Webprojekte zusätzlich abzusichern, kann sie gerne hier posten.

Ein schönes Ajax Online-Tool das den nötigen .htaccess Code schreibt um User mit bestimmten IP Adressen oder bestimmte Referrer zu sperren. Außerdem kann man damit das sogenannten “Hotlinking” einschränken – auf bestimmte Dateitypen kann dann also nur noch von vordefinierten Domains zugegriffen werden.

.htaccess Ban Tool

Eine unverschlüsselte E-Mail lässt sich mit einer Postkarte vergleichen. Jeder der diese mal in die Hände bekommt, kann sie lesen. Und wenn man bedenkt, dass die E-Mails nicht direkt zum Empfänger gelangen, sondern über viele Zwischenstationen im Internet, sollte man sich ernsthaft Gedanken machen. Es besteht ja prinzipiell an jeder Zwischenstation die Möglichkeit mitzulesen, sofern die Nachricht nicht mit “Brief und Siegel” geschützt ist.

Wer seine E-Mails schützen möchte, sollte diese deshalb verschlüsseln. Welche Tools man für das beste E-Mail Programm (Thunderbird natürlich) benötigt und wie man sie einrichtet, möchte ich hier kurz und knapp erklären.

Diese Programme werden benötigt:

- GnuPG gibts hier
- Engimail (Extension für Thunderbird) gibts hier

1. Diese Tools installieren

2. Schlüsselpaar erzeugen

Zuerst brauchen wir ein Schlüsselpaar. Dazu wechseln wir auf der Windows Console in den Installationsordner von GnuPG. An dieser Stelle rufen wir den das Programm auf mit “gpg –gen-key”. Dann einfach die Anweisungen befolgen. Als Ergebnis sollte sich dann im Windows-Profilordner unter Anwendungsdateien/gnupg *.gpg Dateien befinden.

3. Thunderbird einrichten

Im Thunderbird sollte nach erfolgreicher Installation der Extension ein neuer Menüpunkt “OpenGPG” erscheinen. Bei der ersten Verwendung der Verschlüsselung kommt automatisch der Dialog zum festlegen einer Identität und eines Schlüssels. Public-Keys können unter “Schlüssel verwalten” importiert werden. Mit welchem Key man verschlüsseln will, kann man entweder durch Regeln definieren oder bei jeder Nachricht extra angeben.

…weiter Informationen hierzu gibts auf www.gnupg.org und auf enigmail.mozdev.org

<script type="text/JavaScript">

</script>

Einfach die Funktion im Head platzieren und über einen Link wie den folgenden aufrufen:

< a href="#" onmousedown="zerstuekel
('e.com','e@appl','nam','Angebotsanfrage')">
Angebotsanfrage</ a >

Wer schon Erfahrungen mit Bot-Trap gemacht hat, kann diese gerne hier veröffentlichen.

Eine wichtiges Sicherheits-Update sollte jeder herunterladen der den Adobe Flash Player in den Versionen 9.x, 8.x, and 7.x verwendet. Die Sicherheitslücke betrifft alle Plattformen. Die Flash Player 6 und älter sind nicht betroffen.

Mit einem Silent Update auf Version 9.0.28.0 hat Adobe bereits am 14. November diesen Bug behoben. Angreifer können mit präparierten Flash-Dateien auf Webseiten http-Header manipulieren sowie http-Request-Splitting-Angriffe ausführen. Nach Installation des Updates ist dies nicht mehr möglich.

Welche Version des Flash-Players installiert ist, kann über folgende Info-Seite herausgefunden werden.