Dank voor de vele reacties. Ik ga in op enkelen en haal slechts relevante (voor mijn reactie) gedeeltes aan:
Door Anoniem: Heel strakke filtering van karakters (waarschijnlijk alleen maar a-zA-Z0-9 ) , zodat allerlei escape/quote/injectie opties beperkt zijn.
Je hebt duidelijk mijn post bovenaan niet gelezen.
Door Anoniem: Lengte beperking voorkomt DoS / overflow aanval.
Megabytes wil ik geloven, maar niet 1 of enkele kilobytes.
Door Anoniem: Nadeel van die webforms is soms groter dan gewoon een losse e-mail zenden:
- soms slaan ze de informatie op in de database van de website en daar blijft die informatie dan plakken.
- of je krijgt meteen een nieuwsbriefabonnement.
Waarom zouden beiden niet ook gelden als je een e-mail zou kunnen sturen?
Door Anoniem: Voordeel is wel:
- ze vragen alle informatie die ze nodig hebben om je goed te helpen (je wordt dus sneller geholpen)
Dat geldt vooral voor webforms waar je allerlei info over jezelf moet invullen, zoals klantnummer, bestelnummer, datum dat product geleverd werd etc. - maar daar was hier geen sprake van.
Door Anoniem:
- ze kunnen als je een attachment mag sturen goede scanning op verwerking uitvoeren (e-mail is minder geschikt voor bijlagen)
Waarom zou e-mail minder geschikt zijn voor bijlagen? (Heel grote inderdaad, maar die wil je ook niet geüpload hebben).
Door Anoniem:
- je weet zeker dat jouw bericht aankomt bij degene die je bedoelt (https certificaat) en dat er geen MitM is (bij e-mail weet je dat minder zeker), mits natuurlijk ze hun webforms goed op orde hebben.
Tot mijn positieve verrassing zag ik dat de website van de PvdD nog een EV (Extended Validation) certificaat gebruikt (zie
https://crt.sh/?q=www.partijvoordedieren.nl). Helaas heeft dat nauwelijks nog zin, want:
a) In o.a. Firefox onder Android en iOS kan ik geen certificaten meer bekijken - helaas pindakaas;
b) Een bezoeker
wéét niet, a priori, dat de echte website van de Partij van de Dieren een EV-certificaat gebruikt. Als die persoon, op welke manier dan ook, naar een nepsite (zoals
partijvandedieren[.]com) was gestuurd, en die site een Let's Encrypt (of ander DV-) certificaat gebruikt, hoe zou die persoon dan moeten weten dat het om
impersonatie gaat?
Door Anoniem: 2) Waarom kan ik zo'n "invoerbox" niet vergroten op mijn smartphone? Nb. ook op security.nl zie ik rechts onderin iets als volgt:
Kan wél, hoor!: 2 Vingers op het scherm, en dan spreiden.
Daarmee zoom je de hele webpagina. Je krijgt er geen letter extra door te zien in het invulveld (de letters worden slechts groter).
Door Anoniem: Grootste probleem is tegenwoordig dat vaak een webform en mailadres ontbreken, dit vrijwel altijd bij bedrijven met een matig serviceniveau (recente zeer negatieve ervaringen met de NS, FBTO, Postnl, Ziggo en Rabobank, denk dat daar het woord service verdwenen is). Je mag het dan met een chat doen (die via een derde partij loopt, waarbij je geen idee hebt wat met jouw gegevens gebeurt) waarbij het voorbij de robot komen erg lastig gemaakt is en de klant onnodig lang moet wachten. Uiteraard kun je bellen, echter de nonsens die daar vaak uitgekraamd wordt heb je liever op papier. Niet dat je er veel aan hebt maar het is een makkelijker bewijs dan een opgenomen gesprek.
De Rabobank heeft dan wel een klachtenformulier, daar mag je twee regels tekst invoegen en dat is het. Daarbij moet je jouw mailadres opgeven echter wordt deze niet gebruikt voor de afhandeling, dit moet telefonisch. Ben je niet bereikbaar, bellen maximaal drie keer (vier keer overlaten gaan) krijg je een standaard brief. Dat je hun kunt bellen, uiteraard geen behoefte aan en daarna is voor hun de klacht/opmerking afgehandeld. Veel klantonvriendelijker gaat het niet worden.
Dank, ik ben kennelijk niet de enige die zich groen en geel ergert.
Door Anoniem: Dat jij een email terug krijgt zonder alle CR, wil niet zeggen, dat het bericht dat bij de ontvanger aangeleverd is, dit ook heeft.
Dat zou kunnen, maar waarom zou een webontwikkelaar
überhaupt harde returns verwijderen uit tekst ingevoerd in een invoerveld? En
áls je dat doet, waarom zou je dat dan
wél doen in de ontvangstbevestiging (dit is NIET hoe ik het geschreven en bedoeld heb; de integriteit van mijn bericht is niet gehandhaafd), doch
niet (wat jij voor mogelijk houdt) in het bericht zoals de beoordelaars het onder ogen krijgen?
Door Ron625: Door Erik van Straten: ik sluit niet uit dat dit wel degelijk mogelijk is op smartphones (evt. in specifieke browsers); als iemand weet hoe je dit kunt doen dan verneem ik dat graag.
Een website die browser afhankelijk is?
Smartphones hebben flinke beperkingen, vooral in vergelijking met de loeigrote monitoren die velen tegenwoordig op hun PC's aansluiten. Nog veel te weinig webontwikkelaars houden er rekening mee dat steeds meer mensen internetten via hun smartphone.
Door Anoniem: Je kunt niet zien wat er achter de schermen gebeurt. Als de mail wordt doorgestuurd naar een Google of Microsoft account is dat niet zichtbaar.
Als de website door Microsoft, Google of Amazon wordt gehost, al dan niet via CloudFlare, Fastly etc. dan heb je ook nul,nul privacy. Ik kon het gisteravond niet laten:
Door Anoniem: Sterker nog: de links, code e.d. wordt er expres uit gefilterd en zou HELEMAAL NIET terug gestuurd worden naar de indiener/aanvrager, alleen een bevestiging van ontvangst.
Ik heb al bij twee organisaties meegemaakt dat een webform gebruikt wordt door chinese bot's om spam te verzenden, [...]
Daar waarschuwde ik ook voor, zie punt
4). Op zich vind ik het een goed idee dat je kunt zien wat je precies geschreven hebt, en hoe dat is overgekomen.
Ik heb er nauwelijks over nagedacht, maar wellicht zou er in de bevestigingsmail niet een kopie van de tekst, maar een link (met een op basis van een CSPRNG gegegereerde GUID o.i.d.) kunnen staan naar een pagina met jouw reactie zoals ontvangen, en
pas op die pagina daarbij een knop "verzend als e-mail".
Door Anoniem: Cr/lf strippen is zeer irritant
Inderdaad, en het ontgaat mij waarom je dat zou doen (als er een goede reden voor is, waarschuw daar dan vóóraf voor - dat dan, zodat ik me niet als een niet serieus genomen malloot voel).
Aangezien '<' en '>' niet worden geblokkeerd, sluit ik (stored) XSS aanvallen niet uit, maar ik vond het te ver gaan om dat te proberen.