Přihlásit se

Joomla 5.0.1 a 4.4.1 bezpečnostní vydání (29 lis 2023)

Joomla 5.0.1 a 4.4.1 je nyní k dispozici. Jedná se o bezpečnostní vydání pro Joomla 4.x. a 5.x.

Bug - formulář v kontaktu Joomla?

12. říj 2015 21:12 #123909
Odpověď od Cufe
Admin
KONKRÉTNÍ PŘÍKLAD:
Kontaktní formulář na webu ABC.cz:
JMÉNO: František
E-MAIL: franta@email.cz
PŘEDMĚT: Dotaz
ZPRÁVA: jakýkoliv text

Výstup v J 1.5:
Příchozí pošta v mailovém klientu: 1 NOVÁ ZPRÁVA :-)
Od: František <franta@email.cz>
Předmět: Abc.cz: Dotaz
Text e-mailu: jakýkoliv text

Klik na ODPOVĚDĚT v mailu > e-mail příjemce: franta@email.cz

Výstup v J 2.5 - TEĎ NEVÍM, NEMÁM ŽÁDNOU NAINSTALOVANOU A NI MĚ NEZAJÍMÁ.

Výstup v J 3.5:
Příchozí pošta v mailu. 1 NOVÁ ZPRÁVA :-)
Od: ABC.cz<abc@abc.cz>
Předmět: Abc.cz: Dotaz
Text e-mailu: jakýkoliv text

Klik na ODPOVĚDĚT v mailu > e-mail příjemce: franta@email.cz

Výsledek?
Výstup , který byl v J1.5 je dle mého správný, výstup z J 3.5 nikoliv.

Joomla úřední deska | IVT služby - IT služby, webové stránky v Joomla!, online marketing | Joomla je best! Zveřejni svůj problém, pokud ho vyřešíš sám, jsi best!

12. říj 2015 21:44 #123910
Odpověď od Cony
Moderátor

cufe napsal: Někdo mi pošle ze stránek ABC.cz mail, kde uvede na sebe v 2. poli formuláře e-mailový kontakt franta@email.cz, protože takový mail vlastní!

No a v tom je právě ten zakopaný pes. On ten email neposílá franta, nepoužívá k tomu svůj server, a nepotvrdí přihlášení ke svému serveru svým heslem. Ten email posílá Joomla. Ta je na serveru, který nemá co do činění s Frantou, a už vůbec ne s email.cz. Pokud by z Joomly odcházeli emaily u kterých by byl odesílatel franta@email.cz, tak by taky mohly chodit třeba z adresy poradce@banka.cz.

Odesílatel prostě není franta, odesílatel je Joomla - odesílá upozornění na to, že v ní někdo vyplnil kontaktní formulář. Kontaktní formulář se nerovná emailovému klientovi franty.

Např. GMail vůbec neumožní odeslat email s odesílatelem jiným, než je adresa schránky, pod kterou se přihlašujete k SMTP, a myslím že to tak bude dnes u většiny SMTP serverů. Proč - no protože je dneska prostě tuny spamu, virů, hijack útoků a bůh ví čeho. Pokud je v globálním nastavení Joomly odesílat pomocí PHP, odeslání by prošlo. Zkuste to, myslím ale že se dostanete brzy na blacklisty a nepošlete si už vůbec nic.

12. říj 2015 23:25 - 12. říj 2015 23:27 #123913
Odpověď od Cufe
Admin
Chápu, co píšeš, ale ta teze je totálně na hlavu postavená (promiň, není to na tebe Cony), je to jen můj názor. Přece pokud se někdo rozhodne mě oslovit, tak form je jen prostředník a já mu dávám jen možnost mě kontaktovat bez použití mailového klienta. Když je někde nějaký form pro přihlášení třeba na kurz, tak princip je stejný, jen zpráva rozšířena o další hodnoty z dalších polí (třeba termíny kurzů, nacionále atd.) a jak přijde mail? Přijde tak, jak jsem uvedl v případě pro J1.5.
Přece pokud má někdo nějaké kurzy na aktivity, tak si taky nenechá zasílat info o přihlášení na kurz tak, že se hlásí web ABC.cz, ale Franta.

Jak je to u jiných CMS, má někdo zkušenosti? Měl jsem zao, že to funguje normálně (všude jinde) tak, jak je uvedeno v případě pro J1.5.

A s tím spamem - pokud by mi to spamoval robot, tak mi přijde mail od ABC.cz a teprve po otevření bych zjistil, že je to spam mail od spam robota, protože teprve po otevření bych zjistil obsah zpávy? Opět mi to přijde uhozené....
Máte 1 novou zprávu od ABC.cz....otevírám...a hele překvápko spam robot.
fakt to považuji za bug. :-/ Jsem asi tvrdohlavý (za což se omlouvám, zkuste mě přesvědčt o výhodách, moc rád bych se nechal přesvědčit).

Joomla úřední deska | IVT služby - IT služby, webové stránky v Joomla!, online marketing | Joomla je best! Zveřejni svůj problém, pokud ho vyřešíš sám, jsi best!

13. říj 2015 02:04 #123915
Odpověď od Cony
Moderátor
1/ přes SMTP by to vůbec neprošlo.

2/ pokud doména email.cz (nebo prostě doména uživatele) používá v DNS SPF record - email bude ihned označen jako spam a IP adrese serveru klesne reputace. SPF record je dnes už poměrně běžný.

13. říj 2015 09:19 #123917
Odpověď od Svatopluk Vít
Moderátor

cufe napsal: fakt to považuji za bug. :-/ Jsem asi tvrdohlavý (za což se omlouvám, zkuste mě přesvědčt o výhodách, moc rád bych se nechal přesvědčit).


Bohužel tohle chyba není a souvisí to s proměnou vnímání bezpečnosti od Joomly 1.5 na verzi 3.x. Z hlediska pravidel boje se SPAMem je tohle učinná obrana před ním tj. SPF má smysl. I když by se to dalo v Joomle obejít a fungovalo by to jako ve verzi 1.5 (a předpokládám, že některý doplněk to asi umí), stejně se pak takový e-mail bude blokovat na straně velkých poskytovatelů e-mailu typu seznam.cz nebo gmail.com. I spousta firem to má implementováno.

V zásadě je to špatně, protože se e-mail snaží vypadat jako poslaný od někoho jiného a to je zdroj toho nebezpečí.

Jedna z hlav české komunity redakčního systému Joomla! a první překladatel uživatelského rozhraní k ní.

13. říj 2015 10:09 #123918
Odpověď od Cufe
Admin
Takže nejlepší řešení je (dle mého) kontatkní formulář ukrýt, protože je jednodušší přijmout e-mail od návštěvníka tak, že jej pošle ze své schránky. Protože mít stejný mail v odchozí i příchozí poště od sám sebe je minimálně ujeté. (samozřejmě beruohled nato, že při kliku na ODPOVĚDĚT nebo rozkliku mailu se ke skutečnému odesílateli mailu dostanu) Souhlasíte? Jak to řešíte vy, Cony, Sváťo, případně ostatní? Nechci spekulovat a rád bych ušetřil energii, abych nechodil proti celosětovému proudu. Toto nejspíš není nic zásadního oproti ostatním problémům, co tady lidé řeší, tento topic je spíš o diskuzi.

Joomla úřední deska | IVT služby - IT služby, webové stránky v Joomla!, online marketing | Joomla je best! Zveřejni svůj problém, pokud ho vyřešíš sám, jsi best!

Powered by Fórum