Security Professionals - ipfw add deny all from eindgebruikers to any

Webforms en integriteit

07-04-2024, 21:21 door Erik van Straten, 28 reacties
Laatst bijgewerkt: 07-04-2024, 21:35
Af en toe voel ik mij genoodzaakt om, via een webformulier, contact op te nemen met een organisatie.

Ik erger mij telkens groen en geel aan de minachting (door de betreffende organisatie) van de reageerder, in elk geval om de volgende redenen:

1) Waarom moet alleen ik mijn e-mailadres delen, waarom kan ik de betreffende organisatie niet gewoon zelf een e-mail sturen? Dit is ordinair machtsmisbruik.

2) Waarom kan ik zo'n "invoerbox" niet vergroten op mijn smartphone? Nb. ook op security.nl zie ik rechts onderin iets als volgt:
|
/|
     ///|
Op mijn PC kan ik zo'n box met de muis vergroten, maar ik heb geen idee hoe dat moet op een smartphone met Android, noch met iOS (hopenlijk ten overvloede: de meeste mensen, trend stijgend, gebruiken smartphones om te internetten). Nb. ik sluit niet uit dat dit wel degelijk mogelijk is op smartphones (evt. in specifieke browsers); als iemand weet hoe je dit kunt doen dan verneem ik dat graag.

3) Vaak is het aantal in te voeren karakters (letters, cijfers en leestekens) enorm beperkt, waardoor ik vaak moet gaan puzzelen wat ik dan maar weg moet laten, hetgeen de integriteit van mijn boodschap vaak enorm inperkt. Niet zelden constateer ik achteraf dat, door die verplichte castratie van mijn invoer, de essentie teloor is gegaan.

4) In nagenoeg alle gevallen moet ik mijn e-mailadres invullen om een antwoord op mijn "post" te kunnen ontvangen. Meestal ontvang ik vervolgens een e-mail met een (verder gecastreerde, zie punt 5) weergave van mijn vraag of verzoek. Uitsluitend fatsoen (de strafmaat, en om te beginnen pakkans, voor dit soort identiteitsfraude zijn ongeveer nul) belet mij om het e-mailadres van een ander in te vullen, en de webform als een open relay (voor spam en/of phishing) te misbruiken.

5) Mijn grootste ergernis: in verreweg de meeste gevallen worden CRLF's (Carriage Returns - Linefeeds, "Enter's" zeg maar), verwijderd: mijn post wordt in één regel geperst - waardoor deze, voor mensen, grotendeels onleesbaar wordt. Leven we nog in het Telex-tijdperk of zo?

6) De optie om een bijlage (zoals een PDF), waarin opmaak (en eventuele ingevoegde plaatjes ter verduidelijking) wél mogelijk zijn, ontbreekt meestal.

"Live" test
Probeer het zelf, bijvoorbeeld als volgt:
a) Open https://www.partijvoordedieren.nl/contact;

b) Selecteer onder "Ik heb een vraag of opmerking..." bijvoorbeeld "Over politiek of standpunten";

c) Klik of druk onderin het groenige vlak op "Stuur ons een bericht »";

d) Vul in (alle velden zijn verplicht):
• Naam: jouw naam
• E-Mail: jouw e-mail adres
• Onderwerp: Afschuwelijke webforms
• Bericht (pas s.v.p. de naam van de organisatie aan als je dit naar een andere partij stuurt):
Beste PvdD,

Jullie website gebruikt een werkelijk AFSCHUWELIJK webformulier.

Het lijkt er sterk op dat jullie niet geïnteresseerd zijn in reacties van Nederlandse burgers.

Als ook degenen die de ontvangen berichten moeten beoordelen, slechts één lange regel -zonder enige opmaak- onder ogen krijgen, vergroot dat de kans enorm dat reacties in de ronde archiefbak (al dan niet voorzien van kunststof wegwerpzak) verdwijnen.

Ik bedoel een tot één regel gecastreerde versie van het bericht, waar de reageerder geen /enkele/ vorm van opmaak in kwijt kan, zoals:

• schuinschrift, en/of
• vette tekst, en/of
• onderstrepen;
• van bullets voorziene of genummerde lijsten;
• etcetera.

Leven jullie nog in het Telex-tijdperk of zo?

Nu ik toch bezig ben, een test van "bijzondere" doch gangbare karakters:
1) < >
2) { }
3) =
4) €
5) %
6) &
7) ' " `
8) àáäèéëùúüìí

Voor meer informatie zie https://www.security.nl/posting/837005/Webforms+en+integriteit.

Groet,
De afzender.

Resultaat van "live" test
Het antwoord in de automatisch verzonden e-mail, die ik zojuist ontving, luidde:
Een kopie van jouw bericht:

Een vraag of opmerking... Over politiek of standpunten
Onderwerp: Afschuwelijke webforms
Beste PvdD, Jullie website gebruikt een werkelijk AFSCHUWELIJK webformulier. Het lijkt er sterk op dat jullie niet geïnteresseerd zijn in reacties van Nederlandse burgers. Als ook degenen die de ontvangen berichten moeten beoordelen, slechts één lange regel -zonder enige opmaak- onder ogen krijgen, vergroot dat de kans enorm dat reacties in de ronde archiefbak (al dan niet voorzien van kunststof wegwerpzak) verdwijnen. Ik bedoel een tot één regel gecastreerde versie van het bericht, waar de reageerder geen /enkele/ vorm van opmaak in kwijt kan, zoals: • schuinschrift, en/of • vette tekst, en/of • onderstrepen; • van bullets voorziene of genummerde lijsten; • etcetera. Leven jullie nog in het Telex-tijdperk of zo? Nu ik toch bezig ben, een test van "bijzondere" doch gangbare karakters: 1) < > 2) { } 3) = 4) € 5) % 6) & 7) ' " ` 8) àáäèéëùúüìí Voor meer informatie zie https://www.security.nl/posting/837005/Webforms+en+integriteit. Groet, De afzender.
 
 
Off topic: de aanleiding voor mijn ontstemming is mijn bericht zoals hier weergegeven: https://infosec.exchange/@ErikvanStraten/112206237929484503 en de follow-up, https://infosec.exchange/@ErikvanStraten/112206985528333859.

In die laatste reactie geef ik aan de bovengenoemde webform te hebben ingevuld, met één regel tekst als gevolg in de automatisch gegenereerde e-mail die ik ontving - doch, tot op heden, geen enkele inhoudelijk reactie - wellicht vanwege de opzettelijke corruptie van mijn bericht.

Nb. Hieronder, op security.nl dus, zal ik niet ingaan op postings waarin op het betreffende thema wordt gereageerd; discussie daarover voer ik met genoegen op Mastodon (mits je een account hebt op één van de gangbare Mastodon instances, die niet wegens extreem wangedrag door infosec.exchange worden geblokkeerd).

Hoe zijn de ervaringen met webforms van andere organisaties, zoals waargenomen door andere security.nl lezers?
Reacties (28)
07-04-2024, 21:33 door Erik van Straten - Bijgewerkt: 07-04-2024, 21:44
Sorry, dubbel (waarom staat de knop "bewerken" niet onderaan?)
07-04-2024, 21:56 door Anoniem
En weet je wat het leukste is?


Deze...

From: no reply a organisation
To: Erik
Subject: webform

Dear Eric , thanks for reaching out to us
If you have questions about our products, please look at our website; www


:)
Regards, No Reply
07-04-2024, 22:07 door Anoniem
Security freak klaagt over webform dat gebouwd is op maximale security .

Heel strakke filtering van karakters (waarschijnlijk alleen maar a-zA-Z0-9 ) , zodat allerlei escape/quote/injectie opties beperkt zijn.
Lengte beperking voorkomt DoS / overflow aanval.

Vanzelfsprekend geen rechtstreeks email adres zodat de berichten die "de organisatie" ingaan van buiten hoe dan ook herkenbaar zijn als 'extern untrusted source" (het zal wel in een verwerkings of ticketing applicatie komen, met een FROM WEBFORM) , waardoor allerlei spoofing opties en malicious attachments niet mogelijk zijn.

Nou dat is PRECIES wat "wij experts" toch altijd willen ? Tenminste, aan de verdedigende kant.

En zoals het security experts betaamt, met helemaal schijt aan de gebruikers, want zekjoerity boven alles !
07-04-2024, 22:15 door Anoniem
Nadeel van die webforms is soms groter dan gewoon een losse e-mail zenden:
- soms slaan ze de informatie op in de database van de website en daar blijft die informatie dan plakken.
- of je krijgt meteen een nieuwsbriefabonnement.

Voordeel is wel:
- ze vragen alle informatie die ze nodig hebben om je goed te helpen (je wordt dus sneller geholpen)
- ze kunnen als je een attachment mag sturen goede scanning op verwerking uitvoeren (e-mail is minder geschikt voor bijlagen)
- je weet zeker dat jouw bericht aankomt bij degene die je bedoelt (https certificaat) en dat er geen MitM is (bij e-mail weet je dat minder zeker), mits natuurlijk ze hun webforms goed op orde hebben.

Ik zou slechts vragen: maak op elke webform pagina ook een link aan die gewoon kan mailen, met daarin de velden benoemd die je wilt dat je klant invult. Werkt stuk beter als je een alternatief hebt.
07-04-2024, 23:24 door Anoniem
Door Anoniem: Nadeel van die webforms is soms groter dan gewoon een losse e-mail zenden

Je kunt niet zien wat er achter de schermen gebeurt. Als de mail wordt doorgestuurd naar een Google of Microsoft account is dat niet zichtbaar. Zet je een link in zo'n bericht en andere persoonsgegevens, dan blijft die gegarandeerd niet privé.

Vaak is zo'n formulier voorzien van allerlei onnodige en overbodige tracking van o.a. Google. Dat varieert van fonts en "analytics" tot het afschuwelijke en niet werkende Recaptcha.

Er zijn geen voordelen voor de invuller van het formulier.
08-04-2024, 01:09 door Anoniem
2) Waarom kan ik zo'n "invoerbox" niet vergroten op mijn smartphone? Nb. ook op security.nl zie ik rechts onderin iets als volgt:

Kan wél, hoor!: 2 Vingers op het scherm, en dan spreiden. Zoals de Vulcan groet.

Wat je nog meer kan vingeren kan je in de uitgebreide gebruiksaanwijzing van je android vinden. ;-)
08-04-2024, 08:01 door Anoniem
Grootste probleem is tegenwoordig dat vaak een webform en mailadres ontbreken, dit vrijwel altijd bij bedrijven met een matig serviceniveau (recente zeer negatieve ervaringen met de NS, FBTO, Postnl, Ziggo en Rabobank, denk dat daar het woord service verdwenen is). Je mag het dan met een chat doen (die via een derde partij loopt, waarbij je geen idee hebt wat met jouw gegevens gebeurt) waarbij het voorbij de robot komen erg lastig gemaakt is en de klant onnodig lang moet wachten. Uiteraard kun je bellen, echter de nonsens die daar vaak uitgekraamd wordt heb je liever op papier. Niet dat je er veel aan hebt maar het is een makkelijker bewijs dan een opgenomen gesprek.
De Rabobank heeft dan wel een klachtenformulier, daar mag je twee regels tekst invoegen en dat is het. Daarbij moet je jouw mailadres opgeven echter wordt deze niet gebruikt voor de afhandeling, dit moet telefonisch. Ben je niet bereikbaar, bellen maximaal drie keer (vier keer overlaten gaan) krijg je een standaard brief. Dat je hun kunt bellen, uiteraard geen behoefte aan en daarna is voor hun de klacht/opmerking afgehandeld. Veel klantonvriendelijker gaat het niet worden.
08-04-2024, 09:04 door Anoniem
Door Erik van Straten: 2) Waarom kan ik zo'n "invoerbox" niet vergroten op mijn smartphone? Nb. ook op security.nl zie ik rechts onderin iets als volgt:
|
/|
     ///|
Op mijn PC kan ik zo'n box met de muis vergroten, maar ik heb geen idee hoe dat moet op een smartphone met Android, noch met iOS (hopenlijk ten overvloede: de meeste mensen, trend stijgend, gebruiken smartphones om te internetten). Nb. ik sluit niet uit dat dit wel degelijk mogelijk is op smartphones (evt. in specifieke browsers); als iemand weet hoe je dit kunt doen dan verneem ik dat graag.
Daar lijkt het volgende aan de hand te zijn:

CSS heeft de mogelijkheid om voor HTML-elementen een resize-attribuut in te stellen. Dat heeft als default-waarde 'none', maar voor een textarea-element hanteren veel browsers als default 'both', wat wil zeggen dat je zowel horizontaal als vertikaal de grootte kan aanpassen. Zie voor een beschrijving:

https://developer.mozilla.org/en-US/docs/Web/CSS/resize

Ik heb de volgende minimale HTML-file gemaakt en die geopend in Firefox en Chromium (Linux desktop):
<html>
<body>
<textarea></textarea>
</body>
</html>

In beide browsers kan die textarea vergroot en verkleind worden. In beide browsers kan je met F12 de toegepaste CSS en ook de berekende CSS inspecteren, en dan blijkt voor Firefox resize op 'both' te staan en voor Chromium op de default-waarde 'none', al gedraagt Chromium zich alsof het 'both' is.

Security.nl heeft geen waarde ingesteld in de eigen CSS. Het resize-hoekje verandert de muispointer in een symbool dat zowel horizontaal als vertikaal resizen suggereert. Dat het in de praktijk alleen vertikaal is zal aan andere css-eigenschappen liggen die voor de breedte een vaste waarde forceren (dat heb ik niet uitgeplozen).

Ik vermoed dat op de smartphone-browser(s) die jij gebruikt de default 'none' gebruikt voor textareas (wat de standaard is).

In de desktop-versie van Firefox kan je er wat aan doen (al hoeft het daar niet) door in je profiel-directory het volgende css-bestand op te nemen of te wijzigen:

~/.mozilla/firefox/<profiel>/chrome/userContent.css

Dat bevat CSS-definities die in elke getoonde pagina worden geïnjecteerd. Daar kan je in opnemen:

textarea {
resize: both !important;
}

Met !important wordt aangegeven dat deze definitie voorrang krijgt boven eventuele definities die de website in zijn CSS heeft opgenomen.

Voor zover ik weet hebben chrome-gebaseerde browsers niet een dergelijk mechanisme, en of de Firefox-versie voor smartphones dit ook heeft weet ik niet. Of je het met deze uitleg voor elkaar gaat krijgen weet ik dus ook niet. Dan geeft deze uitleg in ieder geval een indruk van waar in het geheel van de opmaak-verwerking van browsers dit speelt.

De gedachte komt bij me op dat het verschil tussen desktop- en smartphone-browsers hierin een bewuste keuze kan zijn met een goede reden. Ik heb zelf geen smartphone dus kan ik niet uitproberen hoe het uitpakt, maar ik kan me voorstellen dat het makkelijk is voor een gebruiker om een textarea op een smartphone met een onbedoelde veeg per ongeluk groter dan het scherm te maken en dat het resultaat dan makkelijk verwarrend is.
08-04-2024, 09:50 door Anoniem
Webforms hebben voor en nadelen.

Dat jij een email terug krijgt zonder alle CR, wil niet zeggen, dat het bericht dat bij de ontvanger aangeleverd is, dit ook heeft.
Vaak zit er een ticket systeem achter, waarin deze informatie bewaard is/wordt.
Daar dat hoeft natuurlijk ook weer niet.

Het heeft zo zijn voor en nadelen, zijn positieve en negatieve eigenschappen.
08-04-2024, 10:52 door Ron625
Door Erik van Straten: ik sluit niet uit dat dit wel degelijk mogelijk is op smartphones (evt. in specifieke browsers); als iemand weet hoe je dit kunt doen dan verneem ik dat graag.
Een website die browser afhankelijk is?
Dan zal de maker geen ICT opleiding hebben gehad, iets dat veel zegt over de instantie.
08-04-2024, 11:11 door Anoniem
Door Anoniem:
Door Anoniem: Nadeel van die webforms is soms groter dan gewoon een losse e-mail zenden

Je kunt niet zien wat er achter de schermen gebeurt. Als de mail wordt doorgestuurd naar een Google of Microsoft account is dat niet zichtbaar. Zet je een link in zo'n bericht en andere persoonsgegevens, dan blijft die gegarandeerd niet privé.

Vaak is zo'n formulier voorzien van allerlei onnodige en overbodige tracking van o.a. Google. Dat varieert van fonts en "analytics" tot het afschuwelijke en niet werkende Recaptcha.

Er zijn geen voordelen voor de invuller van het formulier.

Maar wel voor de ontvanger.
En alle argumenten die je gebruikt zijn natuurlijk onzin, want dat weet je ook niet als je een email stuurt. Als jij de email naar de NS stuurt is de kans bijzonder groot dat deze gewoon bij Microsoft uit komt hoor, dacht je dat alle bedrijven nog zelf mail servertjes draaien?
En de website heeft de tracking, niet het formulier zelf. Zeker nog nooit gewerkt aan de kant van een website bouwer?
08-04-2024, 11:16 door Anoniem
Door Anoniem: Webforms hebben voor en nadelen.

Dat jij een email terug krijgt zonder alle CR, wil niet zeggen, dat het bericht dat bij de ontvanger aangeleverd is, dit ook heeft.
Vaak zit er een ticket systeem achter, waarin deze informatie bewaard is/wordt.
Daar dat hoeft natuurlijk ook weer niet.

Het heeft zo zijn voor en nadelen, zijn positieve en negatieve eigenschappen.

Sterker nog: de links, code e.d. wordt er expres uit gefilterd en zou HELEMAAL NIET terug gestuurd worden naar de indiener/aanvrager, alleen een bevestiging van ontvangst.

Ik heb al bij twee organisaties meegemaakt dat een webform gebruikt wordt door chinese bot's om spam te verzenden, doordat het invoerveld wordt gestuurd in de mail naar de indiener. Hint: als ik daar JOU email adres in voer, en bij het bericht zeg dat je vooral moet kijken op de pagina waar je gratis kan gokken, dan krijg JIJ een mail met dat bericht... En dat gebeurd dan tientallen keren met minuut, zelfde bericht, andere indiener...
08-04-2024, 12:26 door Anoniem
Door Anoniem: Security freak klaagt over webform dat gebouwd is op maximale security .

Heel strakke filtering van karakters (waarschijnlijk alleen maar a-zA-Z0-9 ) , zodat allerlei escape/quote/injectie opties beperkt zijn.
Lengte beperking voorkomt DoS / overflow aanval.

Vanzelfsprekend geen rechtstreeks email adres zodat de berichten die "de organisatie" ingaan van buiten hoe dan ook herkenbaar zijn als 'extern untrusted source" (het zal wel in een verwerkings of ticketing applicatie komen, met een FROM WEBFORM) , waardoor allerlei spoofing opties en malicious attachments niet mogelijk zijn.

Nou dat is PRECIES wat "wij experts" toch altijd willen ? Tenminste, aan de verdedigende kant.

En zoals het security experts betaamt, met helemaal schijt aan de gebruikers, want zekjoerity boven alles !


Hij heeft wel een punt. Cr/lf strippen is zeer irritant

Verder boeit het mij niet zo, in deze fake matrix wereld is toch alles nep
08-04-2024, 14:30 door Anoniem
Waar je rekening mee moet houden is dat mem alles wat je in een form typed kan vastleggen, zelfs als je het form niet verstuurd... Auto fill is makkelijk maar soms behoorlijk onwenselijk
08-04-2024, 18:56 door Anoniem
Door Anoniem: Waar je rekening mee moet houden is dat mem alles wat je in een form typed kan vastleggen, zelfs als je het form niet verstuurd... Auto fill is makkelijk maar soms behoorlijk onwenselijk
Wanneer Google Recaptcha gebruikt wordt, wordt er een screenshot gemaakt en geüpload naar Google (nooit word je hier voor gewaarschuwd).
Google kan dan dus gewoon de ingevoerde velden zien. En ja je kunt je hier tegen wapenen, echter het formulier verzenden zal dan nooit lukken. Naast uitermate klantonvriendelijk (je blokkeert tenslotte standaard alles van Google in jouw browser) is het ook nog eens volstrekt illegaal.
08-04-2024, 19:06 door Anoniem
Door Anoniem: Waar je rekening mee moet houden is dat mem alles wat je in een form typed kan vastleggen, zelfs als je het form niet verstuurd... Auto fill is makkelijk maar soms behoorlijk onwenselijk

Geen idee hoe de techniek werkt he?
Het is ook niet zo dat als je in een webwinkel van alles in je mandje duwt en dan het venster sluit iedereen daar verzucht dat de bestelling niet door gaat..,
08-04-2024, 22:08 door Anoniem
Door Anoniem:
Wanneer Google Recaptcha gebruikt wordt, wordt er een screenshot gemaakt en geüpload naar Google (nooit word je hier voor gewaarschuwd).
Ik kon hier niet 123 iets van vinden op Internet dat dit gedaan wordt. Heb je ook extra informatie hierover?
08-04-2024, 22:39 door Erik van Straten
Dank voor de vele reacties. Ik ga in op enkelen en haal slechts relevante (voor mijn reactie) gedeeltes aan:

Door Anoniem: Heel strakke filtering van karakters (waarschijnlijk alleen maar a-zA-Z0-9 ) , zodat allerlei escape/quote/injectie opties beperkt zijn.
Je hebt duidelijk mijn post bovenaan niet gelezen.

Door Anoniem: Lengte beperking voorkomt DoS / overflow aanval.
Megabytes wil ik geloven, maar niet 1 of enkele kilobytes.

Door Anoniem: Nadeel van die webforms is soms groter dan gewoon een losse e-mail zenden:
- soms slaan ze de informatie op in de database van de website en daar blijft die informatie dan plakken.
- of je krijgt meteen een nieuwsbriefabonnement.
Waarom zouden beiden niet ook gelden als je een e-mail zou kunnen sturen?

Door Anoniem: Voordeel is wel:
- ze vragen alle informatie die ze nodig hebben om je goed te helpen (je wordt dus sneller geholpen)
Dat geldt vooral voor webforms waar je allerlei info over jezelf moet invullen, zoals klantnummer, bestelnummer, datum dat product geleverd werd etc. - maar daar was hier geen sprake van.

Door Anoniem:
- ze kunnen als je een attachment mag sturen goede scanning op verwerking uitvoeren (e-mail is minder geschikt voor bijlagen)
Waarom zou e-mail minder geschikt zijn voor bijlagen? (Heel grote inderdaad, maar die wil je ook niet geüpload hebben).

Door Anoniem:
- je weet zeker dat jouw bericht aankomt bij degene die je bedoelt (https certificaat) en dat er geen MitM is (bij e-mail weet je dat minder zeker), mits natuurlijk ze hun webforms goed op orde hebben.
Tot mijn positieve verrassing zag ik dat de website van de PvdD nog een EV (Extended Validation) certificaat gebruikt (zie https://crt.sh/?q=www.partijvoordedieren.nl). Helaas heeft dat nauwelijks nog zin, want:

a) In o.a. Firefox onder Android en iOS kan ik geen certificaten meer bekijken - helaas pindakaas;

b) Een bezoeker wéét niet, a priori, dat de echte website van de Partij van de Dieren een EV-certificaat gebruikt. Als die persoon, op welke manier dan ook, naar een nepsite (zoals partijvandedieren[.]com) was gestuurd, en die site een Let's Encrypt (of ander DV-) certificaat gebruikt, hoe zou die persoon dan moeten weten dat het om impersonatie gaat?

Door Anoniem:
2) Waarom kan ik zo'n "invoerbox" niet vergroten op mijn smartphone? Nb. ook op security.nl zie ik rechts onderin iets als volgt:
Kan wél, hoor!: 2 Vingers op het scherm, en dan spreiden.
Daarmee zoom je de hele webpagina. Je krijgt er geen letter extra door te zien in het invulveld (de letters worden slechts groter).

Door Anoniem: Grootste probleem is tegenwoordig dat vaak een webform en mailadres ontbreken, dit vrijwel altijd bij bedrijven met een matig serviceniveau (recente zeer negatieve ervaringen met de NS, FBTO, Postnl, Ziggo en Rabobank, denk dat daar het woord service verdwenen is). Je mag het dan met een chat doen (die via een derde partij loopt, waarbij je geen idee hebt wat met jouw gegevens gebeurt) waarbij het voorbij de robot komen erg lastig gemaakt is en de klant onnodig lang moet wachten. Uiteraard kun je bellen, echter de nonsens die daar vaak uitgekraamd wordt heb je liever op papier. Niet dat je er veel aan hebt maar het is een makkelijker bewijs dan een opgenomen gesprek.
De Rabobank heeft dan wel een klachtenformulier, daar mag je twee regels tekst invoegen en dat is het. Daarbij moet je jouw mailadres opgeven echter wordt deze niet gebruikt voor de afhandeling, dit moet telefonisch. Ben je niet bereikbaar, bellen maximaal drie keer (vier keer overlaten gaan) krijg je een standaard brief. Dat je hun kunt bellen, uiteraard geen behoefte aan en daarna is voor hun de klacht/opmerking afgehandeld. Veel klantonvriendelijker gaat het niet worden.
Dank, ik ben kennelijk niet de enige die zich groen en geel ergert.

Door Anoniem: Dat jij een email terug krijgt zonder alle CR, wil niet zeggen, dat het bericht dat bij de ontvanger aangeleverd is, dit ook heeft.
Dat zou kunnen, maar waarom zou een webontwikkelaar überhaupt harde returns verwijderen uit tekst ingevoerd in een invoerveld? En áls je dat doet, waarom zou je dat dan wél doen in de ontvangstbevestiging (dit is NIET hoe ik het geschreven en bedoeld heb; de integriteit van mijn bericht is niet gehandhaafd), doch niet (wat jij voor mogelijk houdt) in het bericht zoals de beoordelaars het onder ogen krijgen?

Door Ron625:
Door Erik van Straten: ik sluit niet uit dat dit wel degelijk mogelijk is op smartphones (evt. in specifieke browsers); als iemand weet hoe je dit kunt doen dan verneem ik dat graag.
Een website die browser afhankelijk is?
Smartphones hebben flinke beperkingen, vooral in vergelijking met de loeigrote monitoren die velen tegenwoordig op hun PC's aansluiten. Nog veel te weinig webontwikkelaars houden er rekening mee dat steeds meer mensen internetten via hun smartphone.

Door Anoniem: Je kunt niet zien wat er achter de schermen gebeurt. Als de mail wordt doorgestuurd naar een Google of Microsoft account is dat niet zichtbaar.
Als de website door Microsoft, Google of Amazon wordt gehost, al dan niet via CloudFlare, Fastly etc. dan heb je ook nul,nul privacy. Ik kon het gisteravond niet laten:
Door Erik van Straten in https://infosec.exchange/@ErikvanStraten/112231906289075648, m.b.t. FISA Section 702: @jbhall56 , copied from https://www.securityweek.com/house-to-take-up-bill-to-reauthorize-crucial-us-spy-program-as-expiration-date-looms/ {
Though the surveillance program only targets non-Americans in other countries, it also collects communications of Americans when they are in contact with those targeted foreigners.
}
OMG those poor Americans!

(At least they *could* vote intelligently... nah).

Door Anoniem: Sterker nog: de links, code e.d. wordt er expres uit gefilterd en zou HELEMAAL NIET terug gestuurd worden naar de indiener/aanvrager, alleen een bevestiging van ontvangst.

Ik heb al bij twee organisaties meegemaakt dat een webform gebruikt wordt door chinese bot's om spam te verzenden, [...]
Daar waarschuwde ik ook voor, zie punt 4). Op zich vind ik het een goed idee dat je kunt zien wat je precies geschreven hebt, en hoe dat is overgekomen.

Ik heb er nauwelijks over nagedacht, maar wellicht zou er in de bevestigingsmail niet een kopie van de tekst, maar een link (met een op basis van een CSPRNG gegegereerde GUID o.i.d.) kunnen staan naar een pagina met jouw reactie zoals ontvangen, en pas op die pagina daarbij een knop "verzend als e-mail".

Door Anoniem: Cr/lf strippen is zeer irritant
Inderdaad, en het ontgaat mij waarom je dat zou doen (als er een goede reden voor is, waarschuw daar dan vóóraf voor - dat dan, zodat ik me niet als een niet serieus genomen malloot voel).

Aangezien '<' en '>' niet worden geblokkeerd, sluit ik (stored) XSS aanvallen niet uit, maar ik vond het te ver gaan om dat te proberen.
09-04-2024, 08:06 door Anoniem
Door Erik van Straten: Nog veel te weinig webontwikkelaars houden er rekening mee dat steeds meer mensen internetten via hun smartphone.
En als ze er wel rekening mee houden doen ze maar al te vaak weer net alsof dat grote desktop-beeldscherm niet meer is dan een smartphoneschermpje. Ik vind de manier waarop bijvoorbeeld transactieoverzichten van banken niet meer in tabelvorm staan maar als een lijstje dat veel minder informatie in een oogopslag geeft een forse achteruitgang.

De ergernis kan dus twee kanten op werken. In beide gevallen is het probleem dat voor een klein en een groot beeldscherm verschillende ontwerpkeuzes voor de schermlayout optimaal zijn maar men met één ontwerp klaar wil zijn omdat dat minder kost aan ontwikkeling en onderhoud.

Mij valt altijd op hoe makkelijk men vergeet dat deze automatisering fysieke vestigingen en het personeel daarvoor heeft uitgespaard. Het is geen kostenpost om een goede interface voor iedereen neer te zetten, het zou de besparing wat kleiner maken, maar het is nog steeds een besparing, een kostenreductie.
11-04-2024, 20:18 door Anoniem
Door Anoniem:
Door Anoniem:
Wanneer Google Recaptcha gebruikt wordt, wordt er een screenshot gemaakt en geüpload naar Google (nooit word je hier voor gewaarschuwd).
Ik kon hier niet 123 iets van vinden op Internet dat dit gedaan wordt. Heb je ook extra informatie hierover?

Bijvoorbeeld: https://keyed.de/blog/google-recaptcha-dsgvo/
13-04-2024, 10:46 door Ron625 - Bijgewerkt: 13-04-2024, 10:46
Door Erik van Straten:
Door Ron625:
Door Erik van Straten: ik sluit niet uit dat dit wel degelijk mogelijk is op smartphones (evt. in specifieke browsers); als iemand weet hoe je dit kunt doen dan verneem ik dat graag.
Een website die browser afhankelijk is?
Smartphones hebben flinke beperkingen, vooral in vergelijking met de loeigrote monitoren die velen tegenwoordig op hun PC's aansluiten. Nog veel te weinig webontwikkelaars houden er rekening mee dat steeds meer mensen internetten via hun smartphone.
Dat heeft te maken met het scherm, niet met de browser.
In de CSS is het relatief simpel om de browser het scherm te laten indelen.
14-04-2024, 12:03 door Anoniem
Door Erik van Straten:
Dat zou kunnen, maar waarom zou een webontwikkelaar überhaupt harde returns verwijderen uit tekst ingevoerd in een invoerveld? En áls je dat doet, waarom zou je dat dan wél doen in de ontvangstbevestiging (dit is NIET hoe ik het geschreven en bedoeld heb; de integriteit van mijn bericht is niet gehandhaafd), doch niet (wat jij voor mogelijk houdt) in het bericht zoals de beoordelaars het onder ogen krijgen?
Daar is een eenvoudig antwoord op: de email die jij stuurt wordt in een of ander webplatform weergegeven aan de ontvanger, dus de 'opmaak' van jouw email wordt omgezet naar HTML. Een CR/LF wordt vervangen door een <br /> (line break).

De kopie van de email die ter bevestiging naar jou toe wordt gestuurd, wordt uit veiligheids- en praktische overwegingen gestript van alle HTML (platte tekst wordt altijd correct weergegeven, HTML-weergave kan nogal eens wisselen tussen mailprogramma's of -platforms). Daarmee gaan dus ook de line-breaks verloren en krijg je in jouw email dus één lopende tekst te zien. Dat is doorgaans niet dezelfde weergave die de ontvanger voor zich krijgt.

De karakters < en > worden overigens omgezet naar de expliciete karakters &lt; en &gt; (lower than en greater than) en blijven visueel bewaard, maar worden niet langer verwerkt als HTML-code.

Nog veel te weinig webontwikkelaars houden er rekening mee dat steeds meer mensen internetten via hun smartphone.
Dit is echt al heel lang niet meer het geval. Mobile-first en responsive webdesign waren meer dan tien jaar geleden al de grote toverwoorden en zijn echt heel erg standaard heden ten dage. Zo'n beetje alleen waar er nog gebruik gemaakt wordt van hele oude platformen of gespecialiseerde omgevingen waar smartphones/tablets geen factor zijn, vind je nog websites die niet goed schalen.

Wel geldt dat er een aantal dingen zijn die op mobiele browsers soms niet (goed) ondersteund worden, of waar het lastig is om inhoud op groot formaat naar een klein scherm te schalen. Voor wat betreft de resize property zoals op een textarea geldt, de ondersteuning in browsers is als volgt: https://caniuse.com/css-resize.
14-04-2024, 14:23 door Erik van Straten
Door Anoniem:
Door Erik van Straten:
Dat zou kunnen, maar waarom zou een webontwikkelaar überhaupt harde returns verwijderen uit tekst ingevoerd in een invoerveld? En áls je dat doet, waarom zou je dat dan wél doen in de ontvangstbevestiging (dit is NIET hoe ik het geschreven en bedoeld heb; de integriteit van mijn bericht is niet gehandhaafd), doch niet (wat jij voor mogelijk houdt) in het bericht zoals de beoordelaars het onder ogen krijgen?
Daar is een eenvoudig antwoord op: de email die jij stuurt wordt in een of ander webplatform weergegeven aan de ontvanger, dus de 'opmaak' van jouw email wordt omgezet naar HTML. Een CR/LF wordt vervangen door een <br /> (line break).
Ik stuurde helemaal geen e-mail.
14-04-2024, 17:14 door Anoniem
Door Erik van Straten:
Ik stuurde helemaal geen e-mail.
Vooruit, "het bericht dat je via het webformulier hebt verstuurd en waarvan je graag had gewild dat je het als een e-mail had kunnen versturen."
14-04-2024, 17:55 door Anoniem
Door Erik van Straten: Af en toe voel ik mij genoodzaakt om, via een webformulier, contact op te nemen met een organisatie.

Ik erger mij telkens groen en geel aan de minachting (door de betreffende organisatie) van de reageerder, in elk geval om de volgende redenen:

1) Waarom moet alleen ik mijn e-mailadres delen, waarom kan ik de betreffende organisatie niet gewoon zelf een e-mail sturen? Dit is ordinair machtsmisbruik.

[...]
E-mail kost de betreffende organisatie teveel tijd=geld.
Zo simpel is het:
"digitaliseren" moet natuurlijk niet meer geld kosten dan het oplevert voor het betreffende bedrijf.
Geen "ordinair" maar 'functioneel' machtsmisbruik dus,
maar zeker nogal wrang bij organisaties die niet (meer) aan gewone brieven doen.
15-04-2024, 12:12 door Anoniem
Door Anoniem:
Door Erik van Straten: Af en toe voel ik mij genoodzaakt om, via een webformulier, contact op te nemen met een organisatie.

Ik erger mij telkens groen en geel aan de minachting (door de betreffende organisatie) van de reageerder, in elk geval om de volgende redenen:

1) Waarom moet alleen ik mijn e-mailadres delen, waarom kan ik de betreffende organisatie niet gewoon zelf een e-mail sturen? Dit is ordinair machtsmisbruik.

[...]
E-mail kost de betreffende organisatie teveel tijd=geld.
Zo simpel is het:
"digitaliseren" moet natuurlijk niet meer geld kosten dan het oplevert voor het betreffende bedrijf.
Geen "ordinair" maar 'functioneel' machtsmisbruik dus,
maar zeker nogal wrang bij organisaties die niet (meer) aan gewone brieven doen.
Zie zegt dat dit een email is richting het bedrijf?

Kans is groot, dat dit een API gaat voor verdere verwerking.
17-04-2024, 10:03 door Briolet - Bijgewerkt: 17-04-2024, 10:11
Toevallig krijg ik net een bounce op een ingevuld webformulier. Ik heb een Ziggo mail adres gebruikt bij het invullen en kreeg ook netjes per omgaand een reply op mijn mailadres dat het formulier ontvangen was.

Maar daarna ging het mis. Ik kreeg van <postmaster@hun-domein.nl> een bounce mailtje met de melding:

Remote server returned '550 5.7.509 Access denied, sending domain ziggo.nl does not pass DMARC verification and has a DMARC policy of reject.'

en daarnaast de inhoud van de oude header in de mail zelf. met o.a. het volgende stuk:

Authentication-Results: spf=softfail (sender IP is 145.131.32.140)
smtp.mailfrom=ziggo.nl; dkim=none (message not signed)
header.d=none;dmarc=fail action=oreject header.from=ziggo.nl;compauth=fail
reason=000
Received-SPF: SoftFail (protection.outlook.com: domain of transitioning
ziggo.nl discourages use of 145.131.32.140 as permitted sender)

Het lijkt erop dat mijn ingevulde webformulier intern doorgestuurd wordt met mijn mail adres als afzender. En dan klopt het oude afzend IP niet meer. (Bij een webformulier is er zelfs geen afzend IP) Ziggo gebruikt een DMARC policy van "reject" en dus bounced hun mailserver dit 'gespoofde' mailtje omdat het natuurlijk niet door ziggo verzonden is.

Het ergste is dat ze aangeven dat het druk is en het 6 tot 8 week kan duren voordat er een reply komt. Waarschijnlijk kan het tot eeuwig duren als deze interne mail hun enige manier is om verder te gaan met het webformuier. Gespoofde mail doorsturen komt zo amateuristisch over. Het verbaast me dat zoiets anno 2024 nog gebeurd.
17-04-2024, 10:56 door Erik van Straten
@Briolet: dank!
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.