Questo sito usa i cookie per fornirti un'esperienza migliore. Cliccando su "Accetta" saranno attivate tutte le categorie di cookie. Per decidere quali accettare, cliccare invece su "Personalizza". Per maggiori informazioni è possibile consultare la pagina Cookie policy.

PersonalizzaAccetta
CHIUDI
Autore Messaggio
U0 11/06/2010 13:12 U0

Problema customForm

Salve, tra ieri ed oggi ho iniziato a ricevere dal form di contatto del sito messaggi come questi:
25em99 uxutjdsoabtj, [url=http://jyhtnsrqtpwp.com/]jyhtnsrqtpwp[/url], [link=http://qitmwlbzuiav.com/]qitmwlbzuiav[/link], http://tqfubvgnjsou.com/
COGNOME: TTBdVZnZTQohn
NOME: hwiaeeqf
EMAIL: vvdcip@vjytyf.com
MOTIVAZIONE: Richiesta contatto
RICHIESTA: 25em99 uxutjdsoabtj, [url=http://jyhtnsrqtpwp.com/]jyhtnsrqtpwp[/url], [link=http://qitmwlbzuiav.com/]qitmwlbzuiav[/link], http://tqfubvgnjsou.com/
CONSENSO: NonAccetto


Si tratta di una problematica alla quale avevo già pensato durante la pubblicazione del form stesso, anche se in realtà non gli avevo mai dato peso prima di iniziare a ricevere questo tipo di messaggi.
Infatti creando una form ad hoc che faccia il POST su /default.asp?cmd=customForm è possibile inviare email non solo al destinatario designato come in questo caso, peraltro bypassando i controlli che ho implementato lato client ma potenzialmente a chiunque, veicolando qualunque messaggio.

Quindi volevo sapere se esiste una soluzione (ad es. CAPTCHA) per ovviare a questo problema.
U0 11/06/2010 16:32 Campo libero: U0

Citazione:
ma potenzialmente a chiunque, veicolando qualunque messaggio.

  Cioe'? In che modo si potrebbe veicolare un messaggio a chiunque?

Qual'e' la pagina con il form sul tuo sito?
U0 11/06/2010 17:42 U0

Le pagine in cui utilizzo il form sono http://www.dixtribution.com/default.asp?cmd=staticPagesSX&cmdID=9 e http://www.dixtribution.com/default.asp?cmd=staticPagesDX&cmdID=1

I form sono molto simili, se non identici.

Quello che intendo dire è che se creo un form ad hoc posso inviare a qualunque indirizzo mail il messaggio che voglio, basta settare la mail del destinatario nell'hidden filed "to" l'oggetto della mail nell'hidden field "subject" e il messaggio nell'hidden field "body".
U0 11/06/2010 18:16 Campo libero: U0

Citazione:
Quello che intendo dire è che se creo un form ad hoc posso inviare a qualunque indirizzo mail il messaggio che voglio, basta settare la mail del destinatario nell'hidden filed "to" l'oggetto della mail nell'hidden field "subject" e il messaggio nell'hidden field "body".

   Cioe' creando un form modificato ad hoc, giusto? In effetti hai ragione, questo potrebbe essere un problema Mmmmm
U0 11/06/2010 23:47 U0

Esatto, mi sembra strano il fatto di essere il primo a segnalare questo tipo di anomalia.

Credi sia possibile l'implementazione di un qualche tipo di controllo tipo CAPTCHA?
U0 12/06/2010 09:15 Campo libero: U0

No, escludo controlli di tipo captcha
Molto piu' probabile che inseriremo un indirizzo email di destinazione fisso a livello di template
U0 12/06/2010 23:43 U0

L'indirizzo fisso a livello di template è già settato in caso non venga specificato un hidden field "to".

Se non ho capito male quindi eliminereste la possibilità di specificare un indirizzo diverso a livello di form, facendo pervenire tutte le email ad un unico indirizzo. Che si tratti dell'indirizzo specificato a livello di Website Manager (come mi sembra di capire sia ora in mancanza dell'hidden field "to") o che si tratti di un campo del tipo "Indirizzo mail per custom form" a livello di template sarebbe una limitazione rispetto alla libertà attuale di indirizzare form diversi ad esempio a persone o reparti specifici.

Inoltre questo tipo di approccio risolverebbe solo metà del problema ovvero l'invio verso qualunque indirizzo, ma permetterebbe comunque l'invio di spam o messaggi indesiderati all'indirizzo specificato a livello di template.
U0 14/06/2010 09:36 Campo libero: U0

Citazione:
Se non ho capito male quindi eliminereste la possibilità di specificare un indirizzo diverso a livello di form, facendo pervenire tutte le email ad un unico indirizzo

   No, non e' quello che ho in mente.
Ti faremo sapere non appena faremo delle modifiche
U0 14/06/2010 14:06 Campo libero: U0

Ciao,
e' stata aggiunta un'opzione in merito: http://support.codice.it/viewtopic.php?p=85258#85258.
La troverai al prossimo rilascio del template.
U0 14/06/2010 14:51 U0

Ok, grazie mille.  Clap  Clap  Clap

Nel frattempo io ho provato ad implementare un sistema CAPTCHA, è un po' rozzo ma funziona e mi risolve il problema dello spam inviato all'indirizzo del form (che è il problema minore ma può comunque essere fastidioso).

"Avvocato del  Twisted Evil " MODE: ON
Inoltre nel momento in cui è stato implementato un menu apposito per i customForm nel nuovo template credo basterebbe poter attivare/disattivare il controllo del codice CAPTCHA e predisporre un "tag predefinito" per posizionare l'immagine di controllo e l'input all'interno della form.
U0 27/07/2010 20:58 Campo libero: U0

E' stata rilasciata una nuova versione del template che consente di limitare gli indirizzi email a cui i form personalizzati sono autorizzati all'invio
In questo modo si elimina il problema di sicurezza da te segnalato perche' i form possono inviare email solo ed esclusivamente a questi indirizzi