Skjule, men allikevel linke til epostadresse på mail eller webside

[xlarge]

Jeg rydder i gamle notater og finner en oppskrift som jeg brukte på websider midt på 90-tallet. Jeg lurer på om det finnes noen bedre løsning idag.

Bakgrunnen for behovet for ikke å vise epostadressen direkte er selvfølgelig for å unngå spam. Den gang la jeg annonse ut på HytteGuiden og fant - jeg husker ikke hvor fra - denne løsningen. Ved å klikke på Send mail til utleier hentes epostadressen:

mailto:

<script language="javascript">

mor="c:fy/<am\"=io.>@t2hrnl e";far="56EABF29876:D?;1A3??FD>0@:<CF?8=A3??FD>0@:<CF?546=";baby="";for(j=0;j<far.length;j++){baby+=mor.charAt(far.charCodeAt(j)-48);}document.write(baby);

</script>

Dette ble rett og slett lagt inn der hvor epostadressen ellers står.

Finnes det noen bedre (enklere) løsninger i dag?

 

[vidor]

Du forhindrer sikkert en del simple roboter med @ regexp, men neppe de som forholder seg til den ferdigrendrede siden med slike triks.

En del prøvde seg på å generere epostaddressene i bildeform, men tipper de som har effektive harvesterere greit plukker opp disse også.

Dette er et katt og mus løp så alle må hele tiden komme med mottrekk som er mer effektive. Det blir sånn sett en endeløs tidssluk.

[tingo]

Du har ting som http://scr.im/

[xlarge]

tingo skrev (19 minutter siden):

Du har ting som http://scr.im/

Takker. Jeg har sett en del slike, men når jeg ser epost-adresser som starter med "skumle" ukjente, hopper jeg helt av saken. Det samme tror jeg de fleste vil gjøre og da oppnår jeg ikke forbindelse, dvs. at de jeg vil skal klikke, gjør det.

[xlarge]

vidor skrev (23 minutter siden):

Du forhindrer sikkert en del simple roboter med @ regexp, men neppe de som forholder seg til den ferdigrendrede siden med slike triks.

En del prøvde seg på å generere epostaddressene i bildeform, men tipper de som har effektive harvesterere greit plukker opp disse også.

Dette er et katt og mus løp så alle må hele tiden komme med mottrekk som er mer effektive. Det blir sånn sett en endeløs tidssluk.

"Min" gamle oppskrift er basert på javascript og som sikkerhets ekspert liker jeg ikke java i det hele tatt. En maskinspråk variant ville være å foretrekke.

[oddeh]

"Our service provides you with a platform to register disposable mail adresses that hide your real email. The emails are simply just delivered in your mailbox and the sender of the email cant see your real email."

https://privacymail.pro/

At brukere kan legge inn script på nettsteder er en stor fyfy og burde ikke la seg gjøre. 
https://owasp.org/www-community/attacks/xss/

[xlarge]

oddeh skrev (3 timer siden):

"Our service provides you with a platform to register disposable mail adresses that hide your real email. The emails are simply just delivered in your mailbox and the sender of the email cant see your real email."

https://privacymail.pro/

At brukere kan legge inn script på nettsteder er en stor fyfy og burde ikke la seg gjøre. 
https://owasp.org/www-community/attacks/xss/

Takk. Dette har jeg vært fullstendig klar over. En av mange grunner til at jeg ikke liker java eller andre scripts. Men hytteguiden var faktisk velvillig og la inn min løsning.

[quantum]

som sikkerhetsekspert vet du sikkert forskjell på java og javascript. og at man knapt lager nettsider i dag uten javascript. java applets ligger igjen på historiens skraphaug, hvor de har ligget ganske lenge nå, så det kan du ta helt med ro. 

den vanlige måten å gjøre dette på er vel å lage et kontaktskjema, og så legger innsenderen igjen sin epost-adresse, istedenfor at mottaker må eksponere sin.

Endret 28. desember 2023 av quantum

[xlarge]

quantum skrev (1 time siden):

den vanlige måten å gjøre dette på er vel å lage et kontaktskjema, og så legger innsenderen igjen sin epost-adresse, istedenfor at mottaker må eksponere sin.

Enig, bortsett fra at jeg hater websider som bruker denne løsningen. Da prøver jeg "alt" for å finne epostadressen allikevel og klarer det nesten alltid når de gjelder firmaer. Det skyldes også at jeg opplever at kontakt via kontaktskjema går tregt og ikke minst at jeg ikke får registrert at jeg har gjort en henvendelse. Mine eposter, inn og ut er mitt huskeregister.

Jeg må si at jeg synes det er rart at det ikke er laget en "funksjon" som gjør at epostadresse kan skjules. Dette burde være gratis i nettlesere og ikke involvere skumle 3.parts program.

[Gjest Gjest slettet-ld9eg7s96q]

Det jeg vanligvis har gjort er å innføre et ekstra trinn ved å vise en popup/modal som ber brukeren løse en captcha og hvis captchaen godtas vises epostadressen.

Enten det eller lage midlertidige epostaliaser, f.eks "kontakt.[randomstring]@firma.no" og så rotere dette med jamne mellomrom.

En kombinasjon av disse hvis man føler at captcha ikke er tilstrekkelig.

[quantum]

tvert imot, som sikkerhetsekspert foretrekker du https over smtp, any day of the week.

responstid har selvsagt ikke noe med protokoll å gjøre. edit: og mottaker kan ikke hindre deg i å registrere noe som helst. 

Endret 28. desember 2023 av quantum

[Gjest Gjest slettet-ld9eg7s96q]

xlarge skrev (På 21.12.2023 den 20.08):

Takk. Dette har jeg vært fullstendig klar over. En av mange grunner til at jeg ikke liker java eller andre scripts. Men hytteguiden var faktisk velvillig og la inn min løsning.

Java og Javascript er to forskjellige teknologier og forutenom navnevalget har de ingenting til felles.

[Gjest Gjest slettet-ld9eg7s96q]

xlarge skrev (28 minutter siden):

Jeg må si at jeg synes det er rart at det ikke er laget en "funksjon" som gjør at epostadresse kan skjules. Dette burde være gratis i nettlesere og ikke involvere skumle 3.parts program.

Det er ikke slik dette fungerer og en "løsning" for dette i en nettleser vil ikke være sikker. Dette er ganske fundamentalt og noe en "sikkerhetsekspert" burde vite ...

[quantum]

xlarge skrev (På 21.12.2023 den 3:59 PM):

Takker. Jeg har sett en del slike, men når jeg ser epost-adresser som starter med "skumle" ukjente, hopper jeg helt av saken. Det samme tror jeg de fleste vil gjøre og da oppnår jeg ikke forbindelse, dvs. at de jeg vil skal klikke, gjør det.

noe av poenget med å legge ut epostadressen her er vel at den er ukjent. ellers hadde det vært unødvendig. denne løsningen viser epostadressen "som den er", og da er den verken mer eller mindre skummel eller ukjent enn den var før den ble stappet inn i den løsningen.

[xlarge]

Java er jo en kompilert løsning, mens javascript ikke er kompilert og derfor kan gjøres mere interaktiv. Jeg var en av de første som brukte javascript (1995-1996) og kjenner både java og javascript godt. Problemer med hacking er også kjent stoff og i min jobb ble begge forbudt i flere år.

 

 

[Gjest Gjest slettet-ld9eg7s96q]

xlarge skrev (17 minutter siden):

Java er jo en kompilert løsning, mens javascript ikke er kompilert og derfor kan gjøres mere interaktiv.

Om det kan kompileres eller ikke har ingenting å si for hvor interaktivt "det kan gjøres". Du sier så mye rart.

xlarge skrev (17 minutter siden):

Jeg var en av de første som brukte javascript (1995-1996) og kjenner både java og javascript godt.

Tror du at du er det eneste levende individet her på forumet som vandret rundt når javascript dukket opp? I 1995/96 ble ikke javascript ansett som noe banebrytende, ei heller ble det viden tatt i bruk for å gjøre ting mer interaktivt. Java (med applets) ble ansett som en clusterfuck på den tiden takket være hvor mye maskinvareressurser det tok opp, hvor tregt det var og ikke minst takket være Microsofts anstrengelser for å sabotere Sun ved å reimplementere Java som bare var kompatibelt med sin egen nettleser (som de selvfølgelig integrerte in Windows) for å kvele konkurransen. Javascript (sammen med vbscript) var mer eller mindre også relegert til sidelinjen da det var store problemer med å få en implementasjon av teknologien til å virke identisk i en annen nettleser på en annen plattform med den samme koden.

I profesjonelle sirkler var det i en kortere periode mer fokus på å gjøre nettsider "interaktive" i den perioden du snakker om, ved å kode dynamiske nettsider via common gateway interface. Det var slik programmeringsspråk som PHP startet. Det var bare en samling med CGI binærfiler i C til å begynne med.

Endret 28. desember 2023 av Gjest slettet-ld9eg7s96q

[quantum]

xlarge skrev (28 minutter siden):

Java er jo en kompilert løsning, mens javascript ikke er kompilert og derfor kan gjøres mere interaktiv. Jeg var en av de første som brukte javascript (1995-1996) og kjenner både java og javascript godt. Problemer med hacking er også kjent stoff og i min jobb ble begge forbudt i flere år.

 

 

mens "maskinspråkvarianter" ikke ble det? vel, i dag ligger også disse "variantene" på historiens skraphaug, mens mye samfunnskritisk prosessering foretas på nettopp java (uten at jeg helt ser relevansen, java har ikke noe særlig med det du spør om å gjøre).

å få legge ut eksekverbare moduler i maskinkode på noen andres nettsider tror jeg du kan skyte en hvit pil etter, for å si det forsiktig. og å forvente at andre vil laste ned og kjøre den? vel ... tru'kke det.

nettsider uten javascript er det ikke mange av i dag, det er ikke sånn at det er noe man unngår, det er standarden. 

det er litt overraskende at du velger å benytte en løsning som lar deg legge in script, det sier seg jo selv at sikkerheten da blir så som så på den siten.

epost regnes som "notorisk" usikkert, selv om det i praksis holder til mange formål. 

det du ønsker er i bunn og grunn litt vanskelig å få til på en helt optimal måte, du vil at én ukjent motpart, en god-villig en, skal ha tilgang til epostadressen, mens en annen ukjent motpart, en med onde hensikter, ikke skal det. det beste du kan håpe på her er en slags "security-by-obscurity"-løsning hvor adressen er såpass tilgjengelig at den første motparten klarer å få fatt i den, men likevel så vanskelig tilgjengelig at den siste, som ofte er en bot, ikke gjør det. i mange tilfeller er bot'ene såpass kørka at det funker. med f.eks. noen av de løsningene som har blitt foreslått, men som du ikke vil bruke. 

på egne nettsider kan man legge inn hvilke javascript-løsninger man selv ønsker, men like enkelt er det ikke å få stappa det inn hos andre, som f.eks. via en form når man poster en annonse på en nettside. da kan man jo isteden poste en link til egen nettside hvor epost-adressen ligger "skjult" i form av noe javascript, i håp om at ens egen "random" nettside vil virke mer trustworthy enn nettsiden til en tjeneste, mer eller mindre velkjent for den som skal sende deg mail, som leverer akkurat det du er ute etter.

generelt er vel dette et ikke-problem, dersom man er villig til å fire litt på krava ift. egne, litt utdaterte, preferanser.

Endret 28. desember 2023 av quantum

[arne22]

Hvis e-post adressen er der som e-post adresse, såvil den jo alltid kunne leses "maskinelt" og så generere spam.

Den løsningen som jeg selv har brukt i alle år og som har fungert ok fram til nå, det er jo å lage en grafikk, en gif eller noe slikt, som beskriver e-post adressen. Da virker den jo ikke som "link" men man må taste inn den adressen som man kan lese som grafikk.

Nå for tiden med AI så kan man vel etter hvert risikere at også e-mail adresser presentert som grafikk blir lest av spam roboter, og da blir vel neste trinn å "forvanske" det man kan lese, som grafikk, for eksempel ole_dått_olsen_at_gmail_dått_com

Endret 28. desember 2023 av arne22

[quantum]

arne22 skrev (1 minutt siden):

ole_dått_olsen_at_gmail_dått_com

det enkleste er ofte det beste ;-)

[Gjest Gjest slettet-ld9eg7s96q]

arne22 skrev (28 minutter siden):

Hvis e-post adressen er der som e-post adresse, såvil den jo alltid kunne leses "maskinelt" og så generere spam.

Den løsningen som jeg selv har brukt i alle år og som har fungert ok fram til nå, det er jo å lage en grafikk, en gif eller noe slikt, som beskriver e-post adressen. Da virker den jo ikke som "link" men man må taste inn den adressen som man kan lese som grafikk.

Nå for tiden med AI så kan man vel etter hvert risikere at også e-mail adresser presentert som grafikk blir lest av spam roboter, og da blir vel neste trinn å "forvanske" det man kan lese, som grafikk, for eksempel ole_dått_olsen_at_gmail_dått_com

Vil hevde at captcha løsningen min er bedre. Epostadressen ligger lagret skjult på serveren og usynlig inntill man løser captchaen. Når captchaen er løst får serveren beskjed om å sende epostadressen til nettleseren via en tilfeldig generert nøkkel for hver forespørsel. Da slipper brukeren å gjøre noe manuelt og tungvint (som å skrive epostadressen for hånd), foreuten å huke av en captcha.