Online-Formulare sind in manchen Websites sehr nützlich. So können bei einer Reservierungsanfrage effektiv die erforderlichen Informationen ermittelt werden. Ob es sich nun um eine Hotelreservierung handelt oder eine Ticketbestellung für Konzert oder Busfahrt.
Online-Formulare sind auch ein begehrtes Opfer der dunklen Seite der Macht.
Online-Formulare werden per POST gesendet. Gemeint ist hier aber nicht die altehrwürdige Briefpost sondern HTTP-Post. Im Ergebnis kommt es auf s' selbe raus. Eine Nachricht wird an einem Empfänger gesendet. Wobei hier der Empfänger unser Server ist. Also der Server bei unserem Webhoster. Gesendet wird das Formular vom Client, also vom Computer des Besuchers.
Im Normalfall hat der Besucher unsere Website besucht, das Formular geöffnet, seine Daten eingegeben und auf Senden geklickt. Der Normalfall macht uns keine Sorgen, es ist eher der Unnormalfall, also der Missbrauchsfall. Da tut also jemand so, als würde er unser Formular aufgefüllt haben und sendet es uns.
Folglich brauchen wir eine Identifikationsmöglichkeit, mit der wir erkennen können, ob es sich tatsächlich um unser Formular handelt.
Wir fügen in das Formular ein Secret ein, ein Geheimnis und damit das der Unhold nicht mitbekommt, fügen wir es erst unmittelbar vor dem Senden ein. Das Secret wird auf dem Server erzeugt. Der Client erfährt es erst bei Klick auf "Anfrage senden". Der Unhold weiß also nicht, dass dieses Secret eingefügt wird und wie es heißt.
Beim Missbrauch von Online-Formularen werden gerne Bots verwendet. Bots sind Programme, die Formulare automatisiert ausfüllen. Unter Umständen kann man das am "Tippverhalten" feststellen. Wenn aber ein Bot "gut" programmiert ist, wird er menschliches Tippverhalten simulieren können. Was der Bot aber nicht weiß, wenn er ein Eingabefeld nicht aufüllen soll. Wir bauen also einen Honeypot ein, einen Honigtopf in den er reintappt.
Ein Honeypot ist ein Eingabefeld, das so aussieht, als müsse es ausgefüllt werden. Allerdings wird es dem "normalen" Besucher nicht angezeigt, was der Bot nicht merkt. Füllt er das Feld aus, wissen wir, dass er ein Bot ist.
Es gibt Online-Verzeichnisse, in welche solche Unholde eingetragen werden. Wenn wir die IP-Adresse des Clients in der Blacklist finden, schlagen wir ihm kräftig auf die Finger.
Schafft es der Bot trotzdem, dann haben wir leider Pech gehabt. Wahrscheinlicher ist es aber, dass wir einen "guten" Besucher unter Generalverdacht stellen. Deshalb weisen wir sehr höflich darauf hin, dass unser Sicherheitssystem den Versand geblockt hat und er (oder sie) möge sich doch per E-Mail bei uns melden.