Contact formulier - captcha kan worden onderschept

Door Guido - op 14-09-2023 21:22

3.035 views

Hallo,

Ik heb een contact formulier met een eenvoudige som-captcha (5+6=) waarbij de cijfers random zijn, op basis van mt_rand(). De uitkomst vd som zit ook als verborgen (hidden) veld in hetzelfde formulier, zodat mijn script kan vergelijken of bezoeker de juiste uitkomst heeft ingevuld. Uiteraard heb ik deze waarde gecodeerd erin staan, middels base64_encode(). Werkt prima.

Echter werd ik erop gewezen dat kwaadwillenden dit eenvoudig kunnen omzeilen, door de HTTP request te onderscheppen nadat op verzenden is gedrukt. Deze request bevat (oa) de ingetypte uitkomst én de gecodeerde uitkomst, en als die overeenkomen kan deze kwaadwillende eindeloos formulier inzendingen doen.

Hoe is dit op te lossen? Ik zou ipv een verborgen veld een sessie kunnen starten, maar is er ook een andere (eenvoudige) oplossing?

Groeten, Guido

A Adoptive Solution

16-09-2023 14:55

https://www.php.net/manual/en/function.session-set-cookie-params.php

Guido -

16-09-2023 15:36

Thanks, wist niet dat het zo eenvoudig was. In mijn geval geen secure want er zijn mogelijk gebruikers zonder HTTPS. Dus dan wordt het:

$httponly = true
session_set_cookie_params($httponly);
session_start();

- Ariën -

16-09-2023 15:49

Waarom zou je geen HTTPS gebruiken?

Guido -

16-09-2023 15:51

Betreft een WordPress plugin en ik weet niet of gebruiker een veilige of niet veilige verbinding heeft.
Ja, of ik moet een extra check doen op type verbinding?

Guido

- Ariën -

16-09-2023 16:29

Dwing https af in .htaccess, of gebruik hsts in . htaccess.

Guido -

17-09-2023 01:19

Kwam er vandaag achter dat WordPress het gebruik van sessies afwijst, dus ik ga het op een andere manier oplossen. WordPress gebruikt zogenaamde transients voor tijdelijke opslag van data.
Toch bedankt iedereen!

Guido

? Onbekende gebruiker

17-09-2023 12:56

Guido - op 16/09/2023 15:36:18
In mijn geval geen secure want er zijn mogelijk gebruikers zonder HTTPS.

Serieus? Het is 2023, HTTPS is de standaard anders word je site zo ongeveer geweigerd door moderne browsers. TLS-certificaten zijn zelfs gratis te krijgen via Let's Encrypt en te automatiseren via ACME.
Gebruikers anno nu zonder HTTPS zijn echte losers. Daar wil je je niet eens mee associëren.

Guido -

17-09-2023 16:16

Daar gaat het niet om, de plugin kan door iemand zonder HTTPS geïnstalleerd worden en dat wil je ondersteunen. Daarom niets forceren.

Guido

- Ariën -

17-09-2023 16:27

Juist HTTPS forceren dus.

? Onbekende gebruiker

18-09-2023 10:14

Guido - op 17/09/2023 16:16:54

Daar gaat het niet om, de plugin kan door iemand zonder HTTPS geïnstalleerd worden en dat wil je ondersteunen. Daarom niets forceren.

HTTP op intranet zou nog kunnen, maar dat is meestal niet waar je Wordpress voor gebruikt.
Met HTTP kan iedereen alles onderscheppen, je hoeft maar mee te kijken naar het netwerkverkeer via Wireshark of een andere tool.

TLS is gewoon een absolute randvoorwaarde, zonder versleuteling begin je niets tegen onderscheppen door derden.

Reageren

Inloggen om te reageren