Hallo,
in der Doku vom Formular Assistenten habe ich gelesen das man auch Captcha einbauen kann.
https://docs.contenido.org/display/COND ... Formulares
Leider wird das bei mir nicht angezeigt - gibt es einen Trick damit das aktiv ist ?
Formular Assistenten
-
Faar
- Beiträge: 1951
- Registriert: Sa 8. Sep 2007, 16:23
- Wohnort: Brandenburg
- Hat sich bedankt: 15 Mal
- Kontaktdaten:
Re: Formular Assistenten
Man fängt Bots besser mit Honeypots ab als mit Captchas, aber dafür bleiben jede Menge Menschen an Captchas hängen.
Ich würde darauf verzichten, wenn es geht.
Ich würde darauf verzichten, wenn es geht.
Fliegt der Bauer übers Dach, ist der Wind weißgott nicht schwach.
Re: Formular Assistenten
Danke für den Tipp.
Eine Idee wie ich das für den Formular Assistenten umsetzen kann ?
Eine Idee wie ich das für den Formular Assistenten umsetzen kann ?
-
Faar
- Beiträge: 1951
- Registriert: Sa 8. Sep 2007, 16:23
- Wohnort: Brandenburg
- Hat sich bedankt: 15 Mal
- Kontaktdaten:
Re: Formular Assistenten
Gute Frage.
Also Oldperl war in einem anderen Thread der Meinung, dass das relativ einfach gehen müssten, wenn man die Ausgabe cached.
Per CSS müsste es gehen, dass du zum Beispiel ein für Bots offensichtlich wichtiges Formularfeld nimmst und es mit Display:none unsichtbar machst, aber die dummen Bots "sehen" das trotzdem und füllen es aus.
Nun kommt das Problem der Auswertung, denn im alten Kontaktformular hatte man sehr einfachen Zugriff auf die Auswertung aber hier darf man sich mit irgendwelche Processoren herumschlagen, also Klassen erweitern oder ersetzen oder was auch immer.
Nun, jedenfalls funktionieren solche Honeypots sehr gut, denn die meisten Bots sind dumm.
Es gibt nur wenige intelligent programmierte, die auch das CSS dazu gehörig auswerten (Display-None) und das HTML dazu auch noch (Felder mit * müssen ...).
Aber auch die kann man damit austricksen, denn solche Bots lassen kein Javascript laufen, damit könnte man die Bots ja selbst infiltrieren und Trojaner setzen, die einem alles verraten was möglich ist (woher die Bots kommen, usw.).
Das ist die nächste Stufe, dass man mit Javascript den Rest der Bots austrickst.
Es lässt sich auch gut menschliches Verhalten von Bots unterscheiden, weil kein Mensch im hundertstel Sekundentakt die Formularfelder ausfüllt.
Aber auch das können intelligente Bots immitieren.
Ich speichere dann meistens noch die IP-Adressen mit, falls einer in die Falle tappt. Vom Datenschutz her gibt es keine Probleme, weil es erstens technisch notwendig ist für den Betriebsablauf und weil Spam-Bots kein Anrecht auf Datenschutz haben. Diese IPs kann man dann dazu nutzen, dass diese von vornherein gesperrt werden. Das spart Server-Ressourcen, was bei Spam-Flooding nicht unwesentlich ist.
Probleme gibt es eher mit Braille Readern oder ähnlichem, die kein CSS und kein Javascript berücksichtigen.
Aber diese Probleme sind Mengenmäßig kleiner im Vergleich zu der Masse an Leuten, die an Captchas scheitern.
Man kann noch tausend andere Dinge tun, die alle nichts mit Captcha zu tun haben.
Wenn man davon einiges noch mit einbaut, kann man eine sogenannte UND-Verknüpfung machen, bzw. eine Wahrscheinlichkeit erstellen, dass es ein Bot ist der da anfragt.
Leider sind einige Dinge davon mit Dem Deutschen Datenschutz Monster nicht vereinbar, aber angesichts der Entwicklung bei Bots durchaus technisch notwendig.
Zum Beispiel die DNS-Abfrage bei Emailadressen, ob der Hostname ein Fantasiename ist oder ein echter Hostname: http://www.php.net/manual/de/ref.network.php
Da weiß man nicht, ob da nicht irgendein Deutscher Datenschützer wieder einen roten Kopf bekommt vor Aufregung.
Einer der es durchaus wissen kann, hatte mir vor Jahren mal gesagt, dass er und seine Leute fast jedes Captcha automatisch knacken könnten, bis auf eines mit Koordinatensystem.
Schade dass ich keinen Kontakt zu ihm habe, sonst könnte ich ihn zur aktuellen Entwicklung ausfragen oder mir Tipps geben lassen.
Also Oldperl war in einem anderen Thread der Meinung, dass das relativ einfach gehen müssten, wenn man die Ausgabe cached.
Per CSS müsste es gehen, dass du zum Beispiel ein für Bots offensichtlich wichtiges Formularfeld nimmst und es mit Display:none unsichtbar machst, aber die dummen Bots "sehen" das trotzdem und füllen es aus.
Nun kommt das Problem der Auswertung, denn im alten Kontaktformular hatte man sehr einfachen Zugriff auf die Auswertung aber hier darf man sich mit irgendwelche Processoren herumschlagen, also Klassen erweitern oder ersetzen oder was auch immer.
Nun, jedenfalls funktionieren solche Honeypots sehr gut, denn die meisten Bots sind dumm.
Es gibt nur wenige intelligent programmierte, die auch das CSS dazu gehörig auswerten (Display-None) und das HTML dazu auch noch (Felder mit * müssen ...).
Aber auch die kann man damit austricksen, denn solche Bots lassen kein Javascript laufen, damit könnte man die Bots ja selbst infiltrieren und Trojaner setzen, die einem alles verraten was möglich ist (woher die Bots kommen, usw.).
Das ist die nächste Stufe, dass man mit Javascript den Rest der Bots austrickst.
Es lässt sich auch gut menschliches Verhalten von Bots unterscheiden, weil kein Mensch im hundertstel Sekundentakt die Formularfelder ausfüllt.
Aber auch das können intelligente Bots immitieren.
Ich speichere dann meistens noch die IP-Adressen mit, falls einer in die Falle tappt. Vom Datenschutz her gibt es keine Probleme, weil es erstens technisch notwendig ist für den Betriebsablauf und weil Spam-Bots kein Anrecht auf Datenschutz haben. Diese IPs kann man dann dazu nutzen, dass diese von vornherein gesperrt werden. Das spart Server-Ressourcen, was bei Spam-Flooding nicht unwesentlich ist.
Probleme gibt es eher mit Braille Readern oder ähnlichem, die kein CSS und kein Javascript berücksichtigen.
Aber diese Probleme sind Mengenmäßig kleiner im Vergleich zu der Masse an Leuten, die an Captchas scheitern.
Man kann noch tausend andere Dinge tun, die alle nichts mit Captcha zu tun haben.
Wenn man davon einiges noch mit einbaut, kann man eine sogenannte UND-Verknüpfung machen, bzw. eine Wahrscheinlichkeit erstellen, dass es ein Bot ist der da anfragt.
Leider sind einige Dinge davon mit Dem Deutschen Datenschutz Monster nicht vereinbar, aber angesichts der Entwicklung bei Bots durchaus technisch notwendig.
Zum Beispiel die DNS-Abfrage bei Emailadressen, ob der Hostname ein Fantasiename ist oder ein echter Hostname: http://www.php.net/manual/de/ref.network.php
Da weiß man nicht, ob da nicht irgendein Deutscher Datenschützer wieder einen roten Kopf bekommt vor Aufregung.
Einer der es durchaus wissen kann, hatte mir vor Jahren mal gesagt, dass er und seine Leute fast jedes Captcha automatisch knacken könnten, bis auf eines mit Koordinatensystem.
Schade dass ich keinen Kontakt zu ihm habe, sonst könnte ich ihn zur aktuellen Entwicklung ausfragen oder mir Tipps geben lassen.
Fliegt der Bauer übers Dach, ist der Wind weißgott nicht schwach.
Re: Formular Assistenten
Hallo Danke für die Tipps.
Ich habe bis her noch keine Möglichkeit gefunden diese Ideen mit dem Assistenten umzusetzen.
Ich brauche aber dringend eine Lösung für das Problem. Alle Projekte die mit Contenido 4.9 umgesetzt wurden, haben vermehrt mit Spam zu tun, was nervt.
Gruß
Ich habe bis her noch keine Möglichkeit gefunden diese Ideen mit dem Assistenten umzusetzen.
Ich brauche aber dringend eine Lösung für das Problem. Alle Projekte die mit Contenido 4.9 umgesetzt wurden, haben vermehrt mit Spam zu tun, was nervt.
Gruß
-
Faar
- Beiträge: 1951
- Registriert: Sa 8. Sep 2007, 16:23
- Wohnort: Brandenburg
- Hat sich bedankt: 15 Mal
- Kontaktdaten:
Re: Formular Assistenten
Ich hab angefangen, das alte Kontaktformular auf 4.9 zu portieren. Aber da beißt sich noch was mit Smarty und den neuen Klassen.
Weiß nicht, wann ich es zum laufen bekomme, bin ja "nebenher" noch an einigen Projekten.
Da hat man die Auswertung noch voll im Griff und Spam gibt es bei uns und unseren Kunden (die das haben) seither nicht mehr.
Aber Spam ist nicht nur ein Problem mit Contenido, sondern alles was irgendwie mit öffentlich zugänglichen Formularen zu tun hat.
Natürlich werden alle Contenido Formulare angegriffen, weil sie oft schutzlos sind (und dank so gekapselter Formulare wie diesem auch bleiben).
Aber auch Gästebücher stehen unter ständigen SEO-Spam und Kommentare in Wordpress braucht man gar nicht erst mehr auf machen und native PHP-Projekte erst recht.
Auch wenn diese gegen den alten Missbrauch als Spamschleuder abgesichert sind, nerven aber immer noch die endlos ständigen Spam Mails die man über diese Formulare bekommt.
Da helfen eben nur Bot-Fallen und bei SEO-Spam eben noch IP blocking (und da bekommt einer der Datenschützer wieder Herzflimmern, wegen IP Speichern und so).
Aber anders geht es nicht.
Weiß nicht, wann ich es zum laufen bekomme, bin ja "nebenher" noch an einigen Projekten.
Da hat man die Auswertung noch voll im Griff und Spam gibt es bei uns und unseren Kunden (die das haben) seither nicht mehr.
Aber Spam ist nicht nur ein Problem mit Contenido, sondern alles was irgendwie mit öffentlich zugänglichen Formularen zu tun hat.
Natürlich werden alle Contenido Formulare angegriffen, weil sie oft schutzlos sind (und dank so gekapselter Formulare wie diesem auch bleiben).
Aber auch Gästebücher stehen unter ständigen SEO-Spam und Kommentare in Wordpress braucht man gar nicht erst mehr auf machen und native PHP-Projekte erst recht.
Auch wenn diese gegen den alten Missbrauch als Spamschleuder abgesichert sind, nerven aber immer noch die endlos ständigen Spam Mails die man über diese Formulare bekommt.
Da helfen eben nur Bot-Fallen und bei SEO-Spam eben noch IP blocking (und da bekommt einer der Datenschützer wieder Herzflimmern, wegen IP Speichern und so).
Aber anders geht es nicht.
Fliegt der Bauer übers Dach, ist der Wind weißgott nicht schwach.
Re: Formular Assistenten
Hallo Faar,
vielen Dank für deine ganzen Rückmeldungen.
Leider bringen Sie mich keinen Schritt weiter.
Daher noch mal meine Frage an die gesamte Runde, besteht die Möglichkeit das Capatche im Formular Assistenten zu aktivieren ?
Weil laut der Beschreibung ist diese ja im Formular vorhanden.
Vielen Dank
Gruß
Peer
vielen Dank für deine ganzen Rückmeldungen.
Leider bringen Sie mich keinen Schritt weiter.
Daher noch mal meine Frage an die gesamte Runde, besteht die Möglichkeit das Capatche im Formular Assistenten zu aktivieren ?
Weil laut der Beschreibung ist diese ja im Formular vorhanden.
Vielen Dank
Gruß
Peer
-
Faar
- Beiträge: 1951
- Registriert: Sa 8. Sep 2007, 16:23
- Wohnort: Brandenburg
- Hat sich bedankt: 15 Mal
- Kontaktdaten:
Re: Formular Assistenten
Hallo Peer,
ich hab das alte Kontaktformular auf 4.9 zum laufen gebracht.
Genauer gesagt, ist es eine von mir etwas aufgebohrte Version mit Spamfalle und so.
http://forum.contenido.org/viewtopic.php?f=89&t=35012
Das funktioniert ohne Captcha, aber SPAM und Fakeanfragen hatten wir damit keinen mehr.
Vielleicht nützt es dir was.
VG,
Frank
ich hab das alte Kontaktformular auf 4.9 zum laufen gebracht.
Genauer gesagt, ist es eine von mir etwas aufgebohrte Version mit Spamfalle und so.
http://forum.contenido.org/viewtopic.php?f=89&t=35012
Das funktioniert ohne Captcha, aber SPAM und Fakeanfragen hatten wir damit keinen mehr.
Vielleicht nützt es dir was.
VG,
Frank
Fliegt der Bauer übers Dach, ist der Wind weißgott nicht schwach.