Spammer @ Guestbook: IP-Adressen "fälschbar"?
- Ersteller GeYe
- Erstellt am
hurga_gonzales
Captain
- Registriert
- Aug. 2004
- Beiträge
- 3.340
Hi,
dieser Problematik habe ich mich schon vor einiger Zeit angenommen. Dein Problem liegt ja nicht nur bei Gästebüchern vor, obwohl diese Art der Anwendung derzeit wohl am häufigsten betroffen ist, zumal Google Webseiten verstärkt über Fremdlinks rankt.
Die Möglichkeiten, Spammer in so einem Fall zu bekämpfen sind relativ begrenzt und je nachdem gelagert, ob Du Deine Anwender mit in den Kampf einbinden möchtest oder nicht.
1. IP Adressen sperren
Diese Vorgehensweise ist möglich allerdings immer mit der Gefahr verbunden, unbescholtene User auszusperren. Die Spammer wenden in der Regel eine Unmenge von unterschiedlichen Proxy Servern mit noch mehr unterschiedlichen IP Adressen an. Sperrt man auch nur eine IP Adresse, dann kann es unter Umständen sein, dass ein anderer User, der später einmal die IP bekommt und ins Gästebuch möchte, nicht mehr darauf zugreifen oder einen Eintrag verfassen kann. Mit steigender Anzahl gesperrter IPs steigt also auch die Anzahl der unberechtigt gesperrten User.
Ich empfehle NICHT, IP Adressen zu sperren.
2. E-Mail Adresse sperren
Das Pflichtfeld E-Mail Adresse kann gesperrt werden. Somit kannst Du über die Programmierung auch die Anwendung von Wildcards steuern und ganze Domains für dads Gästebuch sperren. Auch hier besteht die Gefahr, dass "unschuldige" User gesperrt werden, da die Spammer häufig E-Mail Adressen aus vorhandenen Domains generieren und verwenden. Anders herum kann man über die E-Mail Adresse auch einen Einlassfilter programmieren, der nur gewisse Domains zulässt.
Diese Vorgehensweise kann man zumindest einfach testen und gegebenenfalls hinreichend entschärfen.
3. Zeitstempel
Dies ist die in meinen Augen einfachste und für den User schmerzloseste Vorgehensweise, Spammer auszusperren. Schreibe einen Zeitstempel in eine Session Variable und lege eine Mindestzeit fest, die der User brauchen muss, um das Formular auszufüllen. Spambots benötigen in der Regel nicht einmal eine Sekunde, um einen Eintrag zu generieren. Wird das Formular unterhalb der verlangten Zeit zur Verarbeitung gegeben, wird die Verarbeitung abgelehnt. Klar kann der Bot eine Verarbeitungszeit vorgaukeln, wird dadurch aber für den Betreiber schnell ineffizient, weil der Sinn ja darin besteht, in möglichst kurzer Zeit, möglichst viele Gästebücher vollzuspammen.
4. Captcha
Captchas eignen sich natürlich hervorragend, um Formulare abzusichern, allerdings sollte man immer bedenken, dass der jeweilige Anwendungsfall deren Einsatz rechtfertigt. Ein Gästebuch soll Leute dazu animieren, sich zu verewigen, eben ein paar Zeilen zu hinterlassen und gut ist es. Captchas verlangen das Ablesen und Eintragen von grafischen Informationen, was viele User stört. Auf lange Sicht, wird der Verkehr im Gästebuch zum Erliegen kommen, denn die meisten Anwender werden den Aufwand nicht tragen wollen.
Eine weitere sehr effiziente Lösung ist der Einsatz von sogenannten "Pseudo-Captchas".
- lege in einer Datenbank oder Textdatei eine ganze Reihe von einfachen Fragen an (z.B. Wie heißt der große Turm von Paris?)
- wähle beim Formularaufruf eine Frage per Zufall aus
- vergleiche bei der Verarbeitung die Antwort mit der Eingabe ohne Berücksichtigung der Groß-/Kleinschreibung
- fertig ist das Mondgesicht
Zusammen mit einem Zeitstempel und dem Pseudocaptcha kannst Du ein sicheres Gästebuch realisieren. Vorteil der Pseudo-Captchas ist auch noch, dass Du auf Wunsch die Barrierefreiheit Deiner Webseiten wahren kannst. Zudem kannst Du die richtige Antwort in einem Select-Feld mit einigen falschen unterbringen, was die Benutzerfreundlichkeit steigert und Anwenderbarrieren senkt.
Ich hoffe, geholfen zu haben.
Schüss
Hurga
dieser Problematik habe ich mich schon vor einiger Zeit angenommen. Dein Problem liegt ja nicht nur bei Gästebüchern vor, obwohl diese Art der Anwendung derzeit wohl am häufigsten betroffen ist, zumal Google Webseiten verstärkt über Fremdlinks rankt.
Die Möglichkeiten, Spammer in so einem Fall zu bekämpfen sind relativ begrenzt und je nachdem gelagert, ob Du Deine Anwender mit in den Kampf einbinden möchtest oder nicht.
1. IP Adressen sperren
Diese Vorgehensweise ist möglich allerdings immer mit der Gefahr verbunden, unbescholtene User auszusperren. Die Spammer wenden in der Regel eine Unmenge von unterschiedlichen Proxy Servern mit noch mehr unterschiedlichen IP Adressen an. Sperrt man auch nur eine IP Adresse, dann kann es unter Umständen sein, dass ein anderer User, der später einmal die IP bekommt und ins Gästebuch möchte, nicht mehr darauf zugreifen oder einen Eintrag verfassen kann. Mit steigender Anzahl gesperrter IPs steigt also auch die Anzahl der unberechtigt gesperrten User.
Ich empfehle NICHT, IP Adressen zu sperren.
2. E-Mail Adresse sperren
Das Pflichtfeld E-Mail Adresse kann gesperrt werden. Somit kannst Du über die Programmierung auch die Anwendung von Wildcards steuern und ganze Domains für dads Gästebuch sperren. Auch hier besteht die Gefahr, dass "unschuldige" User gesperrt werden, da die Spammer häufig E-Mail Adressen aus vorhandenen Domains generieren und verwenden. Anders herum kann man über die E-Mail Adresse auch einen Einlassfilter programmieren, der nur gewisse Domains zulässt.
Diese Vorgehensweise kann man zumindest einfach testen und gegebenenfalls hinreichend entschärfen.
3. Zeitstempel
Dies ist die in meinen Augen einfachste und für den User schmerzloseste Vorgehensweise, Spammer auszusperren. Schreibe einen Zeitstempel in eine Session Variable und lege eine Mindestzeit fest, die der User brauchen muss, um das Formular auszufüllen. Spambots benötigen in der Regel nicht einmal eine Sekunde, um einen Eintrag zu generieren. Wird das Formular unterhalb der verlangten Zeit zur Verarbeitung gegeben, wird die Verarbeitung abgelehnt. Klar kann der Bot eine Verarbeitungszeit vorgaukeln, wird dadurch aber für den Betreiber schnell ineffizient, weil der Sinn ja darin besteht, in möglichst kurzer Zeit, möglichst viele Gästebücher vollzuspammen.
4. Captcha
Captchas eignen sich natürlich hervorragend, um Formulare abzusichern, allerdings sollte man immer bedenken, dass der jeweilige Anwendungsfall deren Einsatz rechtfertigt. Ein Gästebuch soll Leute dazu animieren, sich zu verewigen, eben ein paar Zeilen zu hinterlassen und gut ist es. Captchas verlangen das Ablesen und Eintragen von grafischen Informationen, was viele User stört. Auf lange Sicht, wird der Verkehr im Gästebuch zum Erliegen kommen, denn die meisten Anwender werden den Aufwand nicht tragen wollen.
Eine weitere sehr effiziente Lösung ist der Einsatz von sogenannten "Pseudo-Captchas".
- lege in einer Datenbank oder Textdatei eine ganze Reihe von einfachen Fragen an (z.B. Wie heißt der große Turm von Paris?)
- wähle beim Formularaufruf eine Frage per Zufall aus
- vergleiche bei der Verarbeitung die Antwort mit der Eingabe ohne Berücksichtigung der Groß-/Kleinschreibung
- fertig ist das Mondgesicht
Zusammen mit einem Zeitstempel und dem Pseudocaptcha kannst Du ein sicheres Gästebuch realisieren. Vorteil der Pseudo-Captchas ist auch noch, dass Du auf Wunsch die Barrierefreiheit Deiner Webseiten wahren kannst. Zudem kannst Du die richtige Antwort in einem Select-Feld mit einigen falschen unterbringen, was die Benutzerfreundlichkeit steigert und Anwenderbarrieren senkt.
Ich hoffe, geholfen zu haben.
Schüss
Hurga
gimmebytes
Lt. Commander
- Registriert
- Juni 2002
- Beiträge
- 1.600
Das mit dem "Pseudo"-CAPTCHA hab ich schon 2x im Thread vorgeschlagen 
davidbaumann
Commodore
- Registriert
- Aug. 2004
- Beiträge
- 4.867
Prüf doch einfach, wie beim german-elite.net Netz, ob die Client-ip einen der Ports offen hat: 3128, 8080, 1080.. und was weiss ich.
Ist sicherlich ein Bot der mehrere Proxies benutzt.
Ne idee wäre auch, den Benutzer erst dann freizuschalten, wenn er eine im html eingebundene Bild-Datei geladen hat
Bots machen das schätzungsweise erstmal nicht...
David
Ist sicherlich ein Bot der mehrere Proxies benutzt.
Ne idee wäre auch, den Benutzer erst dann freizuschalten, wenn er eine im html eingebundene Bild-Datei geladen hat
Bots machen das schätzungsweise erstmal nicht...
David
Saschlong
Lt. Junior Grade
- Registriert
- Feb. 2004
- Beiträge
- 266
Tatsache (ach wenn ich keinen Tiger sehe 
)... allerdings ist's doch auch nur eine Abart von submit oO.
Was an Captcha so stressig sein soll raff' ich nicht ganz. So zwingt man die Leute immerhin was halbwegs ernsthaftes reinzuschreiben.
//edit: damn, falsche Seite... @hurga_gonzales: fragen sind risky, da die antworten ja varieren können und im Endeffekt ist dann ja Captcha von der Implementation einfacher.
)... allerdings ist's doch auch nur eine Abart von submit oO.Was an Captcha so stressig sein soll raff' ich nicht ganz. So zwingt man die Leute immerhin was halbwegs ernsthaftes reinzuschreiben.
//edit: damn, falsche Seite... @hurga_gonzales: fragen sind risky, da die antworten ja varieren können und im Endeffekt ist dann ja Captcha von der Implementation einfacher.
Zuletzt bearbeitet:
philippgerard
Lt. Junior Grade
- Registriert
- Jan. 2004
- Beiträge
- 270
Für immer Ruhe haben: Captcha oder - einfacher und bequemer - Emailverification.
Für den Moment Ruhe haben: if(preg_match(...)){ die(); }
Für den Moment Ruhe haben: if(preg_match(...)){ die(); }
hurga_gonzales
Captain
- Registriert
- Aug. 2004
- Beiträge
- 3.340
merv schrieb:Das mit dem "Pseudo"-CAPTCHA hab ich schon 2x im Thread vorgeschlagen
Sorry Merv :-), ich hab nicht alle gleich total aufmerksam durchgelesen.
Was die Psudos betrifft, stimmt es, dass es hier bis zu einem bestimmten Grad an Feinarbeit braucht, aber ich habe recht gute Erfahrungen damit.
Captchas sind halt so eine Sache. Unbedarfte User dürften sich davon abgestoßen fühlen, denn sie wissen ja in der Regel nicht, worum es sich da bei der Grafik handelt und werden sich erstmal fragen, warum sie jetzt die Zeichen aus der Grafik in ein eingabefeld schreiben müssen. Erfahrenere User werden das Captcha verstehen und die Eingaben ohne Probleme vornehmen. Ein positiver Nebeneffekt dabei ist (wie einer meiner vorigen Kollegen schon bemerkt hat), dass die Anwender durch das Captcha vielleicht etwas mehr nachdenken über das, was sie schreiben. Das Captcha vermittelt also manchem das Gefühl "Achtung, hier ist wer, der aufpasst".
Hurga
