Beiträge von mavmedia

Danke für den ganzen Input bisher, das hat mir auf jeden Fall schon sehr geholfen

Ob das Kontaktformular noch zeitgemäß ist, steht natürlich auf einem anderen Blatt geschrieben.

Aufgrund von Lernzwecken würde ich euch gerne trotzdem nochmal um Rat bzgl. serverseitiger Validierung der Usereingaben bitten.

Ich habe mir jetzt ein Script mit PHPMailer zusammengebastelt, welches den Userinput prüft und dementsprechend dann eine E-Mail schickt (siehe Anhang).

Nach meinem aktuellen (recht vagen) Kenntnisstand sollten solche Plausibilitätschecks in zwei Schritten erfolgen:

1. Escape

2. Validate

Dazu werden mit der Funktion escapedata() sämtliche Whitespaces und Backslashes entfernt sowie alle Specialchars in Entities umgewandelt. Mit validate() wird dann noch die Länge der Parameter überprüft.

Jetzt folgende Fragen:

1. Sind solche Checks ausreichend, um ein gesundes Maß an Sicherheit zu erreichen? Was ist eurer Meinung nach ausreichend, bzw. wie geht ihr hier vor?

2. Könnte ich mir den Aufruf von htmlspecialchars() nicht sparen? Die Mail sende ich ja nicht im HTML-Format, wodurch die große Gefahr ja schonmal gebannt sein müsste. Wenn ein User im Formular nun aber z.B. < oder > nutzt, wird die Mail auch zusätzlich noch schwer lesbar.

Herzlichen Dank schonmal für eure Zeit

contact.php.txt

Sorry wenn ich hier deinen Thread kurz kapere @Georg

Ich habe selbst ein PHP Kontaktformular, welches dann entsprechend eine über SMTP eine E-Mail weiterschickt.

Das Skript selbst kriegt seine Daten über ein Post Request beim Ausfüllen der Form.

Jetzt ist mir gerade ein Gedanke bzgl. Sicherheit gekommen, den ich mir nicht erklären konnte.

Was hindert potenzielle Angreifer daran, mein Skript zum Versenden von Spam zu missbrauchen?

Es müsste doch lediglich ein Post-Request gefälscht werden und an dasd Skript weitergereicht werden.

Ich müsste doch daher irgendwie in PHP prüfen, ob denn das Post-Request legitim ist, z.B. ob der Referrer meine Domain ist.

Oder denke ich hier falsch?

Würde mich über Tipps/Ideen freuen.

Zitat von mainziman

Achtung: ein echter Leerstring ist hier anders als kein Wert;

kein Wert bedeutet hier soviel wie: "nimm den Defaultwert"

Da hast du natürlich recht, sorry für die kleine Ungenauigkeit

Zitat von mainziman

und genau das kannst aber selbst beeinflußen ...

(nur eine Frage des Aufwands, und ob man es denn will)

In Thunderbird müsste das recht einfach durch einen weiteren Parameter in der Konfig gehen: general.useragent.override

Lässt man den String leer, dann wird kein User Agent mehr geschickt

Weiß jemand, ob es möglich ist, aus einem bestehenden Webhostingtarif heraus auf einen Tarif aus dem Osterangebot zu upgraden?

Hi,

hier ein paar Artikel, um die ganzen Verfahren mal grob zu erklären:

https://www.ionos.de/digitalgu…t/was-ist-ein-spf-record/

https://www.digicomp.ch/blog/2…rc-verstaendlich-erklaert

Diese Einträge kannst du in den DNS-Einstellunge deiner Domain setzen und anpassen.

Vielleicht hilft dir auch hier der Beitrag weiter: https://forum.netcup.de/anwend…/9656-spf-dkim-und-dmarc/

Ein ganz gutes Tool, um fehlerhafte Einstellungen zu erkennen, ist https://www.mail-tester.com/

Keine Sorge, jeder hat mal irgendwo angefangen

Hast du für die Wordpressinstallation das Toolkit genutzt oder alles manuell installiert? Leider habe ich nur Erfahrungen mit der manuellen Installation. Falls jedoch durch das Toolkit zwei neue Datenbanken automatisch angelegt wurden und diese direkt mit den entsprechenden Installationen verknüpft wurden, sollte es keine Probleme geben. Zur Kontrolle kannst du ja immer mal schauen, welche Datenbank genau in deiner wp-config.php der jeweiligen WP-Installation hinterlegt ist.

Um deine Seite mit Lets Encrypt-Zertifikaten zu versorgen, musst du zweierlei Dinge erledigen:

1. Unter den Domaineinstellungen > Let's Encrypt ein Zertifkat für deine Domain und am besten alle Subdomains beantragen. Soweit ich das verstanden habe, hast du das ja bereits erledigt.

2. In deinen Hostingeinstellungen unter "Sicherheit" muss SSL noch aktiviert werden ("SSL/TLS-Unterstützung"). Denke auch daran, den Haken bei "Dauerhafte, für SEO geeignete 301-Weiterleitung von HTTP zu HTTPS" zu setzen, damit alle Besucher automatisch zu SSL umgeleitet werden. Als letztes musst du aus dem Dropdown-Menü noch dein Let's Encrypt Zertifikat auswählen. Dann sollte alles passen und SSL müsste aktiv sein.

Wichtig ist noch anzumerken, dass du in den Wordpresseinstellung auch die https://-Version deiner Seite als URL hinterlegt hast, da es sonst zu Problem kommen kann.

Folgende Antwort habe ich vom Netcup-Support bekommen:

Zitat

Unsere Dienstleistungen werden stetig aktualisiert und davon ist auch das System auf welchem Ihr Webhosting basiert nicht ausgenommen. Mit den anstehenden Upgrade des Betriebssystems wird sich auch in der TLS Konfiguration einiges ändern. Zum Beispiel wird TLS 1.0 und TLS 1.1 nicht mehr zur Verfügung stehen. Folgende Suite wird dann auch bei den von Ihnen genutzten E-Mail System per Standard ausgeliefert: https://ciphersuite.info/cs/TL…CHACHA20_POLY1305_SHA256/ Bevor wir die Systeme aktualisieren erhalten Sie von uns einen Newsletter.

Nach einer Nachfrage bezüglich des zeitlichen Rahmens in dem die angekündigten Änderungen umgesetzt werden, wurde mir mitgeteilt, das obige Änderungen in den kommenden Wochen umgesetzt werden. Bin sehr gespannt auf die Umstellung.

Hallo zusammen,

ich habe eine schnelle Anfängerfrage zum Webmailer.

In den E-Mail-Einstellungen des Webhostings lässt sich ja der Server für den Webmailer domainweise auswählen bzw. auf "Ohne" setzen.

Was hat die Option "Webmailer 01" für einen Nutzen? Unabhängig der tatsächlich ausgewählten Option lässt sich das Postfach über jegliche zur Verfügung gestellten Roundcube-Interfaces abrufen.

Wäre super, wenn mir das jemand kurz erklären könnte.

Vielen Dank schonmal

Zitat von Steini

Zu Netcup solltest du wie schon gesagt den Support fragen. Zu einer Frage kann ich aber allgemein antworten

Mittlerweile ist "man" der Meinung, dass die Reihenfolge der Cipher-Suites 'nicht' mehr vom Server vorgegeben werden sollte. Das gilt aber nur(!) unter der Annahme, dass ausschließlich sichere Ciphern verwendet werden. Das ist bei "Kompatibilitätssetups" wie TLS1.0 und TLS1.1 nicht der Fall, deshalb sollte hier wie korrekt angegeben die Reihenfolge vorgegeben werden.

Die Einstellung ist umstritten, da ein Angreifer ja einfach nur verwundbare Ciphers anbieten kann und der Server wählt dann natürlich auch eine verwundbare aus. Moderne Clients wählen von sich aus eine sichere Cipher, weswegen das nicht vom Server kommen müsste.

Bei modernen Setups werden nur sichere Ciphers verwendet und dann sollte man den Client entscheiden lassen, der kann nämlich Optimierungen haben (z.B. Hardwareunterstützung für einige Ciphers), die die Verbindung deutlich beschleunigen können. Auch sind manche Verfahren unterschiedlich Performant je nach Architektur (ARM, etc). Und der Server soll ja nicht entscheiden müssen ob da ein langsames Handy connected und deswegen eine andere Cipher verwendet wird. Das darf der Client machen, solange er nur aus sicheren auswählen kann.

Deshalb schlägt der Branchenstandard (?) bei Modern/Intermediate auch "tls_preempt_cipherlist = no" vor und nur bei Old die Einstellung "yes"

=> https://ssl-config.mozilla.org/

Die meisten Onlinetools beachten das allerdings nicht (https://internet.nl/ weist aber z.B. darauf hin, dass wenn nur sichere Ciphers angeboten werden, diese Einstellung OK ist). Daran sieht man dann, ob die Leute nur die höchsten Punkte bei solchen Tools erreichen wollen, oder Ahnung von ihrem Setup haben

Alles anzeigen

Herzlichen Dank für die ausführliche Antwort. Das erklärt sehr gut, warum ein modernes Setup nicht auf diese Funktion angewiesen ist. Wieder etwas gelernt Ich habe diesen Thread mal beim netcup-Support eingereicht, in der Hoffnung hierzu eine Stellungnahme zu bekommen, wieso dann trotz Kompatibiliätseinstellungen keine sicheren Suites bevorzugt werden.

Hallo,

ich bin Neukunde bei netcup (Webhosting 4000) und soweit sehr zufrieden mit der Performance und dem überaus attraktiven Preis-/Leistungsverhältnis.

Eine Sache verunsichert mich jedoch, die ich so bei vorherigen Hostern als selbstverständlich erachtete, nämlich die sichere Konfiguration der Mailserver.

Beim Überprüfen der TLS-Konfiguration der E-Mails mit dem Tool hardenize.com, bin ich auf folgende fragwürdige Einstellungen gestoßen:

- Der Server schlägt keine eigene Cipher-Suite vor, die bevorzugt genutzt werden soll. Welchen Hintergrund hat das? Wieso werden Suites mit ECDHE oder DHE nicht bevorzugt?

- Der Server unterstützt den Schlüsselaustausch DHE mit 1024 Bit. Spätestens seit der Logjam-Attacke 2015 werden hier Gruppen mit mindestens 2048 Bit empfohlen (https://weakdh.org/sysadmin.html).

- Es wird noch TLS 1.0 und 1.1 unterstützt, jedoch kein TLS 1.3. Wie sind diesbezüglich die Planungen? Alle großen Browserhersteller schalten in der ersten Jahreshälfte 2020 die als unsicher geltenden Versionen TLS 1.0 und 1.1 ab, weswegen ich keinen Grund sehe, wieso diese alten Protokollversionen weiter unterstüzt werden sollten.

Vielen Dank im Voraus für eure Antworten und Hilfe.

Liebe Grüße