zurück zur Startseite
  


Zurück XHTMLforum > Webentwicklung (außer XHTML und CSS) > Serveradministration und serverseitige Scripte
Seite neu laden Newsletter und Spamsicherheit (Opt-In, Flooding, etc.)

Antwort
 
LinkBack Themen-Optionen Ansicht
  #1 (permalink)  
Alt 19.12.2008, 04:35
Benutzerbild von domsson
Rookie @ HTML/CSS/PHP/SQL
neuer user
Thread-Ersteller
 
Registriert seit: 11.02.2008
Ort: Berlin
Beiträge: 88
domsson wird schon bald berühmt werden
Standard Newsletter und Spamsicherheit (Opt-In, Flooding, etc.)

Einen Gruss zu spaeter Stund...

Ich werkel gerade an meinem ersten Newsletterskript und soweit funktioniert es auch ganz wunderbar: man kann sich ein- und austragen, die E-Mail-Adresse wird dementsprechend aus einer MySQL-Datenbank geloescht bzw. eingetragen und um das ganze freundlich zu gestalten, benutze ich das Confirmed Opt-In-Verfahren.

Abgeschreckt von den vielen Cracker/Skriptkiddie/Spam/Flooding/XSS/etc.-Horrorgeschichten hier im Forum und im Web allgemein, habe ich jetzt aber das Gruebeln bekommen, als ich darueber nachgedacht habe, wie leicht das ganze zu missbrauchen ist und habe mich gefragt, wie Ihr an diese Thematik rangeht, welche bewaehrten Tipps und Tricks es gibt.

In meinem Fall sehe ich schonmal folgende Probleme:

(1) Jeder kann dort jemanden ein- bzw. austragen, indem er die E-Mail-Adresse einer dritten Person eingibt und auf "OK" klickt. Das ist schonmal nicht so gut, auch wenn das Confirmed Opt-In-Verfahren den Betroffenen wenigstens darueber informiert.
(2) resultiert aber direkt daraus: Sowohl mein Webserver als auch der E-Mail-Account der entsprechenden E-Mail-Adresse wuerden so kinderleicht zugespamt/geflootet werden koennen.

In Bezug auf Punkt 1 - bzw. Datenschutz allgemein - habe ich mich dazu entschlossen, keine Aussage darueber zu treffen, ob die E-Mail-Adresse in den Verteiler ein- oder ausgetragen wurde, ich informiere nur ueber die "erfolgreiche aktualisierung des Verteilers".

Doch was ist mit dem Rest? Meine ersten Ueberlegungen waren...

(a) anhand der IP-Adresse die Anzahl der Ein/Austragungen pro definiertem Zeitraum begrenzen,
(b) eine Austragung aus dem Verteiler nach der Eintragung (oder umgekehrt) nicht sofort zulassen, sondern erst nach einem definierten Zeitraum (z.B. 15 Minuten)

Aber vorallem Option b missfaellt mir noch. Das Double Opt-In-Verfahren finde ich aber auch ziemlich unattraktiv.

Ich bin auf Eure Erfahrungen und Meinungen gespannt!
__________________
Wenn Du mich fragst, was mir beim Erlenen von Webentwicklung am meisten Probleme bereitet, dann antworte ich: IE.
Mit Zitat antworten
Sponsored Links
  #2 (permalink)  
Alt 19.12.2008, 09:29
Benutzerbild von inta
free as in freedom
XHTMLforum-Kenner
 
Registriert seit: 04.12.2006
Ort: Berlin
Beiträge: 5.027
inta kann auf vieles stolz seininta kann auf vieles stolz seininta kann auf vieles stolz seininta kann auf vieles stolz seininta kann auf vieles stolz seininta kann auf vieles stolz seininta kann auf vieles stolz seininta kann auf vieles stolz seininta kann auf vieles stolz sein
Standard

Ich finde das Opt-in-Verfahren indiskutabel und halte das Confirmed Opt-in für nur wenig besser. Wenn jemand meine E-Mailadresse missbraucht, dann möchte ich dadurch nicht noch Arbeit haben, indem ich mich erst wieder aus dem Newsletter austragen muss. Double Opt-in ist meiner Meinung nach die beste Lösung.

Zitat:
Zitat von domsson Beitrag anzeigen
(a) anhand der IP-Adresse die Anzahl der Ein/Austragungen pro definiertem Zeitraum begrenzen,
Die IP ist nicht als Identifizierungsmerkmal geeignet. In großen Firmen können auch hunderte von Personen über eine einzige IP im Netz unterwegs sein.

Zitat:
Zitat von domsson Beitrag anzeigen
(b) eine Austragung aus dem Verteiler nach der Eintragung (oder umgekehrt) nicht sofort zulassen, sondern erst nach einem definierten Zeitraum (z.B. 15 Minuten)
Das ist eine ganz schlechte Idee. Ich stell mir vor, irgendjemand hat meine E-Mailadresse missbraucht und mich irgendwo eingetragen. Jetzt bekomme ich den entsprechenden Hinweis per Mail und möchte mich dort sofort wieder austragen, bekomme dann aber zu lesen, dass ich erst noch 15 min warten soll um etwas loszuwerden, das ich nie bestellt habe. Ich persönlich würde den Anbieter dieses Dienstes verwarnen und im Wiederholungsfall kostenpflichtig abmahnen.
Mit Zitat antworten
Sponsored Links
  #3 (permalink)  
Alt 19.12.2008, 10:15
Erfahrener Benutzer
XHTMLforum-Mitglied
 
Registriert seit: 23.07.2007
Beiträge: 287
Chrunchy wird schon bald berühmt werden
Standard

Ich würde von dem entsprechenden User eine Bestätigung des Eintrags anfordern.
So wie es bei fast jeder Forumsregistrierung üblich ist. Damit kannst du zumindest sicher sein, dass der Mailadresseninhaber aktiv geworden ist. Der Eintrag wird aus der DB gelöcht, wenn er nicht innerhalb von X Stunden bestätigt wurde.

Entspricht dann wohl dem double-opt-in.
__________________
Gruß Chrunchy

"Eine Theorie ist eine Vermutung mit Hochschulbildung" (James Earl Carter)
Mit Zitat antworten
  #4 (permalink)  
Alt 19.12.2008, 12:35
Benutzerbild von fox
fox fox ist offline
Erfahrener Benutzer
XHTMLforum-Kenner
 
Registriert seit: 11.09.2006
Beiträge: 1.011
fox sorgt für eine eindrucksvolle Atmosphärefox sorgt für eine eindrucksvolle Atmosphäre
Standard

Auch wenn es mehr Arbeit für den Nutzer ist, das Double-Opt-In ist wohl das sicherste Verfahren.

Mir ist letztens noch eine andere Möglichkeit eingefallen, die aber auch mit Arbeit verbunden ist: Falls eine Mail-Adresse mehrmals missbraucht wird (häufige Neuanmeldungen, etc.), so soll dem "missbrauchten" die Möglichkeit gegeben werden seine eigene Mail zu sperren und ggf. wieder zu entsperren (Mail mit Schlüssel o.ä. natürlich aufheben!). Hab´ das aber noch nicht weiter durchdacht, werde das wahrscheinlich auch so nicht umsetzen.
Mit Zitat antworten
  #5 (permalink)  
Alt 19.12.2008, 15:38
Benutzerbild von domsson
Rookie @ HTML/CSS/PHP/SQL
neuer user
Thread-Ersteller
 
Registriert seit: 11.02.2008
Ort: Berlin
Beiträge: 88
domsson wird schon bald berühmt werden
Standard

Hm, ihr habt recht. Double Opt-In ist eigentlich genau das, wonach ich gesucht habe.

Interessant finde ich ja, dass ich auch gestern Nacht, als ich den Thread erstellt hatte, ja schon ueber das Double Opt-In-Verfahren im Bilde war, aber komischerweise ist mir da nicht klar gewesen, dass es auch die Loesung fuer (fast) alle von mir angefuehrten Probleme ist. Ich hab' nur den Nachteil gesehen, dass ein interessierter Nutzer nicht nur die Eintragung in den Newsletter, sondern auch noch die Bestaetigungs-E-Mail-Kiste durchfuehren muesste, und ich persoenlich finde das immer ziemlich nervig. In Hinsicht auf die Sicherheit ist es aber wirklich das Beste.

Nungut, vielleicht sollte ich heute mal etwas frueher ins Bett gehen.

Bleibt nur noch das Problem: Was, wenn jemand (oder eher: etwas) das Newsletter Formular trotzdem in kuerzester Zeit mit hunderten von E-Mail-Adressen fuellt? Aber hier muss ich mir jetzt nur noch Gedanken um die ueblichen Antispam-Vorkehrungen machen. Ich denke, ich werde es zuerst einmal mit dem versteckten Formularfeld probieren und per Log beobachten, wie sich das bewaehrt.

Jap, danke fuer die Erleuchtung.
Ich werd' dann mal fruehstuecken gehen...
__________________
Wenn Du mich fragst, was mir beim Erlenen von Webentwicklung am meisten Probleme bereitet, dann antworte ich: IE.
Mit Zitat antworten
  #6 (permalink)  
Alt 19.12.2008, 15:57
Benutzerbild von domsson
Rookie @ HTML/CSS/PHP/SQL
neuer user
Thread-Ersteller
 
Registriert seit: 11.02.2008
Ort: Berlin
Beiträge: 88
domsson wird schon bald berühmt werden
Standard

Ha, jetzt ist mir aber beim Verzehren meines Salamibroetchens doch noch etwas eingefallen:

Zitat:
Zitat von Chrunchy Beitrag anzeigen
Der Eintrag wird aus der DB gelöcht, wenn er nicht innerhalb von X Stunden bestätigt wurde.
- wie realisiert man soetwas eigentlich, dass nach Ablauf einer bestimmten Zeit (oder zu einem definierten Zeitpunkt) ein bestimmtes Ereignis ausgefuehrt wird? Mir faellt nichts anderes ein, als das entsprechende Skript durch eine bestimmte Useraktivitaet triggern zu lassen (einfachstes Beispiel: der Aufruf von Seite x) oder es z.B. selbst zu triggern, indem man z.B. im Adminpanel eine Option "Abgelaufene Newsletterregistrierungen entfernen" hat. Aber das kanns ja nicht sein, denke ich?
__________________
Wenn Du mich fragst, was mir beim Erlenen von Webentwicklung am meisten Probleme bereitet, dann antworte ich: IE.
Mit Zitat antworten
  #7 (permalink)  
Alt 19.12.2008, 16:26
Benutzerbild von inta
free as in freedom
XHTMLforum-Kenner
 
Registriert seit: 04.12.2006
Ort: Berlin
Beiträge: 5.027
inta kann auf vieles stolz seininta kann auf vieles stolz seininta kann auf vieles stolz seininta kann auf vieles stolz seininta kann auf vieles stolz seininta kann auf vieles stolz seininta kann auf vieles stolz seininta kann auf vieles stolz seininta kann auf vieles stolz sein
Standard

Meinst du Spam ist bei einer Newsletteranmeldung ein Problem? Da kann ja niemand etwas mit verbreiten, ich glaube das ist sehr uninteressant für Spammer.

Zitat:
Zitat von domsson Beitrag anzeigen
- wie realisiert man soetwas eigentlich, dass nach Ablauf einer bestimmten Zeit (oder zu einem definierten Zeitpunkt) ein bestimmtes Ereignis ausgefuehrt wird?
Mit einem Cronjob kannst du zu bestimmten Zeiten bzw. in bestimmten Zeitabständen ein Programm aufrufen.
Mit Zitat antworten
  #8 (permalink)  
Alt 19.12.2008, 16:44
Benutzerbild von domsson
Rookie @ HTML/CSS/PHP/SQL
neuer user
Thread-Ersteller
 
Registriert seit: 11.02.2008
Ort: Berlin
Beiträge: 88
domsson wird schon bald berühmt werden
Standard

Zitat:
Zitat von inta Beitrag anzeigen
Mit einem Cronjob kannst du zu bestimmten Zeiten bzw. in bestimmten Zeitabständen ein Programm aufrufen.
Cronjob. Genau. Darueber hatte ich schonmal was gelesen, als ich mich naeher mit Debian beschaeftigte.

Dummerweise bietet mein Provider keine Cronjobs an und ich moechte ungerne einen separaten Cronjob-Service in Anspruch nehmen. Gibt es da trotzdem Moeglichkeiten? Ich denke, ich werde dann keine andere Wahl haben, als das ganze wirklich durch ein bestimmtes Ereignis ausloesen zu lassen, nicht wahr?
__________________
Wenn Du mich fragst, was mir beim Erlenen von Webentwicklung am meisten Probleme bereitet, dann antworte ich: IE.
Mit Zitat antworten
  #9 (permalink)  
Alt 19.12.2008, 18:28
Erfahrener Benutzer
XHTMLforum-Mitglied
 
Registriert seit: 23.07.2007
Beiträge: 287
Chrunchy wird schon bald berühmt werden
Standard

Also wenn du keine Cronjobs hast, würde ich das im Zuge einer neuen Anmeldung für den Newsletter machen. Oder zumindest mit einer wahrscheinlichkeit von 5% o.ä. je nachdem wieviel Anmeldungen es gibt.

Du setzt einfach nen Timestamp für das "Registriert wann". Nach dem neuen Eintrag löscht du alle Einträge die Älter als X Tage sind und noch nicht confirmed wurden.
__________________
Gruß Chrunchy

"Eine Theorie ist eine Vermutung mit Hochschulbildung" (James Earl Carter)
Mit Zitat antworten
Sponsored Links
  #10 (permalink)  
Alt 20.12.2008, 15:32
Erfahrener Benutzer
XHTMLforum-Kenner
 
Registriert seit: 14.03.2007
Ort: Bad Schmiedeberg
Beiträge: 1.397
regloh wird schon bald berühmt werden
Standard

Es gibt auch externe Cronjob-Anbieter, die Scripte auf deinem Server ausführen können. Gibts auch kostenlos. Das Problem dabei ist halt, dass du dieses Jobs nicht dynamisch erstellen kannst, sondern bei dem Anbieter per Hand eintragen musst, wann, wie oft und welches Script er ausführen soll. Aber für deine Newslettergeschichte finde ich das so ok.

Also der Anbieter der Cronjobs führt einfach jede Stunde einmal dein Script aus und du schaust mit dem Script einfach, welche Einträge veraltet sind und löscht diese.

Zitat:
Meinst du Spam ist bei einer Newsletteranmeldung ein Problem? Da kann ja niemand etwas mit verbreiten, ich glaube das ist sehr uninteressant für Spammer.
Sehe ich genauso. Ein Bot wird sicher auch nicht den Bestätigungslink in deiner generierten Mail anklicken, sodass nach einer Bereinigung durch dein Script die 100 "falschen" Eitnräge wieder weg sind

Geändert von regloh (20.12.2008 um 15:37 Uhr)
Mit Zitat antworten
Sponsored Links
Antwort

Themen-Optionen
Ansicht

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus


Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
Newsletter - CSS oder tables tomaso (X)HTML 10 10.02.2008 13:43
Html Newsletter - gibt es ein gutes Tool? Flyfisherman (X)HTML 8 30.09.2006 12:29
Newsletter lippoli15 Offtopic 1 01.05.2005 22:24


Alle Zeitangaben in WEZ +2. Es ist jetzt 05:19 Uhr.