| Non tutti sanno che uno degli strumenti più utilizzati dagli spammers in tutto il mondo per la diffusione delle milioni di email "spazzatura" che transitano ogni giorno è proprio lo sfruttamento di moduli form non adeguatamente protetti.
Purtroppo da qualche anno a questa parte trascurare alcune regole che riguardano l'invio di posta elettronica è diventato molto rischioso, poichè il rischio di trovarsi la casella di posta "rubata" ed utilizzata da sconosciuti malintenzionati è, in definitiva, molto elevato.
Il motivo?
Ce ne sono diversi e non li affronteremo in questa sede, ma è sufficiente partire dal presupposto che gli spammers sono tutt'altro che sprovveduti, e conoscono queste tecniche di pirateria informatica molto meglio di quanto un comune Webmaster conosca quelle di difesa. Anche il fatto di possedere un piccolo sito in lingua italiana non ci salva dai potenziali rischi, in quanto uno dei metodi più diffusi tra gli spammers è quello di individuare i form non sicuri attraverso stringhe di ricerca, sfruttando motori di ricerca come veicolo ideale e quindi scansionando il codice di *tutte* le pagine dei siti incontrati tramite appositi programmi.
In poche ore gli spammers sono in grado di isolare moltissimi form html violabili ed utilizzabili non per inviare email ai webmasters dei rispettivi siti bensì a liste di migliaia e migliaia di ignari utenti.... ed alimentare altro SPAM.
Che fare dunque?
Niente allarmismi: facciamo in modo soltanto di render loro la vita un po' più difficile.
1) Rinominiamo il file: una prima semplice precauzione è quella di evitare innanzitutto i nomi più comuni: send, mail, form e le combinazioni con queste parole facilmente ricercabili tramite google, che è il primo strumento utilizzato dagli spammers per la ricerca delle proprie 'vittime'. Meglio ancora sarebbe inserire lo script in una cartella dove sia presente un file robots.txt con l'istruzione di non indicizzazione del contenuto.
2) Se possibile, non utilizziamo FormMail
In alternativa, esistono in commercio numerosi script specificatamente concepiti per gestire con sicurezza i moduli form. E' sufficiente effettuare una ricerca nei siti di raccolta degli scripts o su google, molti di questi sono OpenSource e con licenza gratuita.
2) Se il modulo form è integrato in un CMS o è sviluppato in proprio e non è sostituibile con uno di quelli indicati al punto precedente, è opportuno che venga verificata la sicurezza con cui viene gestito l'invio dei dati. Solitamente tutti gli scripts Php, Asp e Perl più noti, inclusi i maggiori CMS adottano già misure adeguate di prevenzione contro questo tipo di intrusioni, quindi sarà sufficiente mantenere aggiornate le versioni di questi scripts.
Se invece si tratta di codice Php, Asp o Perl sviluppato in proprio, sarà opportuno verificare che siano implementati tutti i controlli sui dati immessi, impedendo che venga eseguito codice "iniettato" nei campi del form.
Un'ulteriore precauzione di uso comune è quella di aggiungere una funzione Captcha (codice random alfanumerico generato ad ogni refresh della pagina del form, da riscrivere da parte dell'utente in un campo del form stesso) che, se ben progettata, impedisce l'immissione di dati in automatico e quindi limita o impedisce l'abuso.
Un buon programmatore conosce già tutte queste problematiche e le tecniche più appropriate per prevenire questi rischi.
Ci rendiamo conto che queste raccomandazioni possono rappresentare un problema o un ostacolo, ed alcuni potrebbero giudicarle eccessive. Tuttavia lo spamming è purtroppo un problema serio e diffuso, che coinvolge tanto i fornitori come Lineahosting.it quanto i gestori di connettività e che è potenziale causa di notevoli danni economici.
Questo incentiva - per non dire obbliga - tutti i Providers che operano nella piena legalità e nel rispetto delle regole a tutelarsi mediante drastiche misure restrittive che sono anche presenti nelle nostre "AUP Uso Accettabile del servizio" e che prevedono la sospensione e, in casi gravi o reiterati, l'immediata cessazione del contratto senza rimborso con l'addebito di tutti gli eventuali danni economici subiti.
A richiesta dei Clienti che non fossero in grado di provvedere autonomamente, Lineahosting mette a disposizione la possibilità di acquistare un servizio di installazione di script form sicuro.
Ringraziamo per l'attenzione e per la collaborazione e ricordiamo che il Supporto Tecnico è a disposizione per qualsiasi chiarimento.
|
INFO-LINE 199.443221 (lun-ven h10-18)
