[TODO] selbstgebaute newsletter subscription pages funktionieren mit mailman-2.1.39 nicht mehr!

Ralph - NOC|mur.at noc at mur.at
Fr Dez 16 17:35:42 CET 2022 

Liebe Listenadmininstrator:innen!

-> Diese Email betrifft Webseiten, die ihre Newsletter-Abonnement-Seite 
selbst gebaut haben und *nicht* die Interessent:innen auf die 
Listinfo-Seite der Mailingliste auf https://lists.murat (oder 
https://lists.<your-domain>) weiterleiten.


Seit gestern läuft nun Mailman in Version 2.1.39 (aktuellste des v2.1 
Zweiges)!
damit sind nun features aktiv, die spam-abonnements nun 
höchstunwahrscheinlich machen:

1. Subscription-API Token ("Subscription Form Secret", auch "CSRF-Token" 
genannt [1])

2. Simples textuelles CAPTCHA zum Ausschließen von Bots (*nicht* 
google-reCaptcha-basierend)


Das hat folgende Auswirkungen:

* Das Subscription Form Token muss mit den Formulardaten an Mailman 
übergeben werden

> <input type="hidden" name="sub_form_token" 
> value="1671206423:de-2:c382b0ec5017b684a56d6362784b94fd9313a58b">
Dieses wird für jeden Aufruf Listinfo-Page 
https://lists.mur.at/mailman/listinfo/<your-list-name>
als Zufallsstring generiert und mit der HTML-Seite ausgeschickt.


* Die korrekte zur CAPTCHA-Abfrage gehörige Antwort muss mit den 
Formulardaten an Mailman übergeben werden.
Diese wird ebenfalls für die Listinfo-Page 
https://lists.mur.at/mailman/listinfo/<your-list-name generiert und mit 
der HTML-Seite ausgeschickt.


Im Anhang findet ihr die zu erwartende Fehlermeldung und zur Ansicht die 
Listinfo-Page von https://lists.mur.at/mailman/listinfo/testlist

Die HTML-Templates, die Mailman zum Erstellen der endgültigen 
Listinfo-(Subscription)-Page könnt ihr unter 
https://lists.mur.at/mailman/edithtml/<your-list-name> einsehen und auch 
verändern.

cheers,
ralph

[1] https://de.wikipedia.org/wiki/Cross-Site-Request-Forgery

-- 
     / NOC - mur.at
    / Network Operation Center / Systemadministration
   / +43 (0)681 816 45 308
/ Di-Fr 12:00-14:00 (Support)
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://lists.mur.at/pipermail/list-admins/attachments/20221216/db7f47ff/attachment-0001.html>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : mailman-missing-token-missing-captcha-error-page-00.png
Dateityp    : image/png
Dateigröße  : 89743 bytes
Beschreibung: nicht verfügbar
URL         : <https://lists.mur.at/pipermail/list-admins/attachments/20221216/db7f47ff/attachment-0001.png>

Mehr Informationen über die Mailingliste List-admins