Das Gästebuch läuft mit Spam voll

kummer · Beitrag von **kummer** » Fr 14. Jul 2006, 09:25

für das spam-problem gibt es eigentlich eine einfache lösung. und zwar erstellt man im formular, das zur aufnahme dient eine zufallszahl, die vom benutzer in einn dafür vorgesehenes feld einzufügen ist. spam-robots werden mit dieser aufgabe bereits ihre liebe mühe bekunden und spam wird in der folge ausbleiben.

das vorgehen ist nicht komplex und sieht wie folgt aus:

beim laden des einfügeformulars einen zufallsstring erzeugen (länge ist unerheblich, sollte allerdings auch nicht zu lang sein)
dieser wert wird auf der seite angezeigt mit dem hinweis, dass dieser in das bezeichnete feld einzufüllen ist
der gleiche wert wird als md5-hash als hidden-field in das formular integriert
nach dem formularversand wird geprüft, ob md5(zufallsstring) == wert von hiddenfield und wenn ja, wird der eintrag vorgenommen. sonst eben nicht

damit wird spam so gut wie sicher ausbleiben. die programmierer von robots werden sich nicht die mühe machen, das nur für contenido anzupassen. oder mindestens wird das lange dauern und bis dahin hat man ruhe. später kann man das verfahren immer noch ein wenig anpassen und mit anderen verfahren ergänzen.

gruss,
andreas

Dalamar · Beitrag von **Dalamar** » Fr 14. Jul 2006, 11:56

Hallo Andreas,

Zufallszahlen im Klartext stellen kein größeres Problem mehr für Spambots dar. Deswegen haben sich ein paar schlaue Leute hingesetzt und PHP-Klassen entwickelt, mit deren Hilfe man eine Captcha-Protection (verzerrte mehrfarbige Zufallszahlen dargestellt als Bild) in die eigenen Formulare einbauen kann.

Nähere Infos gibt es hier http://de.wikipedia.org/wiki/Captcha

Gruss,
Christian

Beitrag von **Dodger77** » Fr 14. Jul 2006, 12:43

Dalamar hat geschrieben:Zufallszahlen im Klartext stellen kein größeres Problem mehr für Spambots dar.

Grafische Captchas ja leider auch nicht, siehe z.B. hier:

http://sam.zoy.org/pwntcha/

Außerdem sind diese ja nicht allzu zugänglich (http://www.w3.org/TR/turingtest/).

Zur Zeit werden verschiedenste Möglichkeiten diskutiert. Aber mathematische und logische Captchas bieten auch Vor- und Nachteile. Das mit den Zufallszahlen kann man übrigens beliebig komplex gestalten (siehe z.B. http://www.drweb.de/webmaster/sichere-f ... eil4.shtml).

Dalamar · Beitrag von **Dalamar** » Fr 14. Jul 2006, 12:48

Was ist schon sicher Dodger77.

Trotzdem können grafische Zufallszahlen, die zudem noch verzerrt sind, wesentlich schlechter durch Bots erfasst werden, als Zufallszahlen im Klartext.

In meinem GB ist, dank Captcha, seit Monaten jedenfalls Ruhe.

Freddy · Beitrag von **Freddy** » Fr 14. Jul 2006, 13:30

Dalamar hat geschrieben:In meinem GB ist, dank Captcha, seit Monaten jedenfalls Ruhe.

Würde es auch gerne haben, hast Du das Captcha in das vpgästebuch integriert?

i-fekt · Beitrag von **i-fekt** » Fr 14. Jul 2006, 13:38

Ganz einfach wäre es, eine kleine Rechnung zu stellen. Also eine Zufallszahl generieren und zu sagen, dass man sie um 1 erhöhen muss. Es ist unwahrscheinlich, dass ein Spambot lernt, was er zu rechnen hat. Hier kann schon mit einfachsten Rechnungen wie 1 +1 ein Bot ausgeschaltet werden, da er nicht x Zahlkombinationen ausprobiert und sich dann, für genau diese Seite eine Regel versucht herzuleiten.

Dalamar · Beitrag von **Dalamar** » Fr 14. Jul 2006, 13:55

@Freddy: nein, hab mir selber ein GB geschrieben, aber auch nachträglich die Captcha installiert. In 10min ist die Sache gegessen.

Aber die Sache mit der Zufallszahl + 1 finde ich gut !!! Grundvoraussetzung wäre aber, dass jeder Gast addieren kann.

MichFress · Beitrag von **MichFress** » Fr 14. Jul 2006, 15:56

Dalamar hat geschrieben:Grundvoraussetzung wäre aber, dass jeder Gast addieren kann.

Spambots werden diese Voraussetzung wohl erfüllen. Also nur eine Frage der Zeit, bis auch diese Hürde sinnlos wird.

i-fekt · Beitrag von **i-fekt** » Fr 14. Jul 2006, 16:44

Dalamar hat geschrieben:Grundvoraussetzung wäre aber, dass jeder Gast addieren kann.

Davon ist auszugehen, genauso wie jeder die verzerrten Zahlen entziffern muss.

MichFress hat geschrieben:
Dalamar hat geschrieben:Grundvoraussetzung wäre aber, dass jeder Gast addieren kann.
Spambots werden diese Voraussetzung wohl erfüllen. Also nur eine Frage der Zeit, bis auch diese Hürde sinnlos wird.

Das ist zu bezweifeln, da sie jede Seite analysieren müssten --> nicht möglich.

Salech · Beitrag von **Salech** » Mo 17. Jul 2006, 08:35

MichFress hat geschrieben:einfacher finde ich perönlich die Methode, die Gästebucheinträge nach einschlägigen Begriffen zu durchsuchen... Mit folgender Modifikation von vpGuestbook hab ich ausreichenden Erfolg erreicht. Es kommt zwar immer noch hin und wieder was durch, doch das händische Löschen überfordert meinen Kunden nicht mehr..
Code: Alles auswählen
if(strstr($_POST['entry'],"Phentermine")||
       strstr($_POST['entry'],"phentermine")||
       strstr($_POST['entry'],"cialis")||
       strstr($_POST['entry'],"Cialis")||
       strstr($_POST['entry'],"viagra")||
       strstr($_POST['entry'],"Viagra")||
       strstr($_POST['entry'],"xanax")||
       strstr($_POST['entry'],"zoloft")||
       strstr($_POST['entry'],"gambling")||
       strstr($_POST['entry'],"drug-testing")||
       strstr($url,"casino")){
       $spam = TRUE;
    }
obigen Code im Eingabe-Modul-Output kurz überhalb der folgenden modifizierten Zeile:
Code: Alles auswählen
  // der eigentliche Eintrag in die Datenbank
  if ($error == "" && !$spam) {
Die Begriffssammlung kann natürlich optimiert und aktualisiert werden...

Auf sowas habe ich gewartet – Danke!
Habe die Liste noch mit ein paar anderen Wörter ergänzt. Im Moment habe ich das Spam aufkommen auf fast 0 reduziert.

Code: Alles auswählen

if(strstr($_POST['entry'],"Phentermine")||
		strstr($_POST['entry'],"phentermine")||
		strstr($_POST['entry'],"cialis")||
		strstr($_POST['entry'],"Cialis")||
		strstr($_POST['entry'],"viagra")||
		strstr($_POST['entry'],"Viagra")||
		strstr($_POST['entry'],"xanax")||
		strstr($_POST['entry'],"zoloft")||
		strstr($_POST['entry'],"gambling")||
		strstr($_POST['entry'],"drug-testing")||
		strstr($_POST['entry'],"craps")||
		strstr($_POST['entry'],"poker")||
		strstr($_POST['entry'],"partypoker")||
		strstr($_POST['entry'],"condoms")||
		strstr($_POST['entry'],"Very good site! I like it! Thanks!")||
		strstr($_POST['entry'],"cancer")||
		strstr($_POST['entry'],"free ringtone")||
		strstr($_POST['entry'],"atlantic city")||
		strstr($_POST['entry'],"credit card")||
		strstr($_POST['entry'],"mortgage")||
		strstr($_POST['entry'],"influenza")||
		strstr($_POST['entry'],"roulette")||
		strstr($_POST['entry'],"casino game")||
		strstr($_POST['entry'],"housewife picture")||
		strstr($_POST['entry'],"valium")||
		strstr($_POST['entry'],"free online")||
		strstr($_POST['entry'],"meridia")||
		strstr($url,"casino")){
		$spam = TRUE;
}

to be continued...

i-fekt · Beitrag von **i-fekt** » Mo 17. Jul 2006, 11:25

Halte ich für den falschen Weg. Zum einen können solche Begriffe auch in normalen Beiträge auftauchen, zum anderen ist es viel zu viel Arbeit und Aufwand.

Dalamar · Beitrag von **Dalamar** » Mo 17. Jul 2006, 15:53

Sehe ich genauso wie i-fekt. Die Spammer müssen uns nachrennen und nicht wir den Spammern.

Der Aufwand eine solche Liste zu pflegen ist viel zu gross.

Salech · Beitrag von **Salech** » Mo 17. Jul 2006, 20:05

Das mag ja sein, aber seit dem ich das eingebaut habe muss ich mich nicht mehr täglich durch ca. 100 "Neuer Gästebucheintrag" Emails wühlen und später dann auch noch in der Datenbank löschen.

Das spart mir schon ne menge Zeit.

Und solange es keinen besseren Schutz gibt, werde ich es einsetzen!

MichFress · Beitrag von **MichFress** » Di 18. Jul 2006, 11:55

Da muss ich Salech recht geben:
erstens ist das Aktuellhalten kein wirklich Aufwand - die paar Zeilen waren ein Zeitaufwand von wenigen Minuten und halten meine Gästebücher schon seit Wochen zu 90% spamfrei...
und zum anderen hängt es zwar vom Einsatzgebiet ab, aber auf meinen Seiten kommen Begriffe wie "Cialis" oder "Phentermine" nun wirklich nicht in "normalen Beiträgen" vor..

Natürlich ist es nicht der Weisheit letzter Schluss, doch meiner Meinung nach auf jeden Fall besser als Captchas oder umständliche Logikfragen, die man als Ottonormalverbraucher, der einfach nur nen Gruß hinterlassen will, derzeit absolut nicht gewöhnt ist und sich daher erstmal abgeschreckt fühlen könnte. Auch hier ist es auch nur ein Wettrennen mit den immer besser werdenden Spambots - wie das offenbar völlig sinnlose Captcha vom phpBB beweist...

aber jedem das seine - immerhin stehen wir noch ziemlich am Anfang von GB- und Forums-Spam... ich warte auf den ersten wirklich(!) überzeugenden Ansatz! vielleicht eine Art Spamassassin für HTML-Formulardaten?

Dalamar · Beitrag von **Dalamar** » Di 18. Jul 2006, 13:04

Das Durchsuchen von Beiträgen nach bestimmten Wortphrasen ist natürlich ein adäquates Mittel um Spammer mittelfristig draussen zu halten - keine Frage. Ich benutze diese Methode selber in meinem GB. Aber ich glaube, dass viele Webmaster gern den Weg des geringsten Widerstandes gehen, und mit einer Liste, die man wöchentlich pflegen und aktuell halten muss, wählt man bewusst den schwierigeren Weg.

Aber wie das nunmal im Leben ist, muss jeder die günstigste und für sich beste Lösung wählen. Ich habe eine Kombination aus verschiedenen Antispam-Methoden gewählt und fahre sehr gut damit.

LG,
Christian