Wider den SPAM-Bots
_roro
- meinung
Moin.
Hab mal wieder einen Artikel geschrieben zum Thema:
http://rolfrost.de/spamprot.html
Schreibt mal bitte, was Ihr davon haltet.
--roro
Hallo,
Hab mal wieder einen Artikel geschrieben zum Thema:
http://rolfrost.de/spamprot.html
Schreibt mal bitte, was Ihr davon haltet.
--roro
das mit den Cookies halte ich für keine so gute Idee, nicht jeder hat die aktiviert. Was gute Wirkung zeigt ist eine Kombination aus Zeitcheck (Seitenaufruf > absenden), verstecktem Formularfeld, und evtl noch einer kleinen Logikaufgabe. Das kann ein Satz Fragen der Art sein: Welcher Monat folgt auf Mai, welche Zahl kommt vor der 86 usw. Daran scheitern die Spambots heftig. Und gut ist auch ein URL Zähler, per Regex checken wieviele URL im Text vorkommen, Spammer hauen meist mehr als 5 auf einmal rein. Die lesen auch nicht ob HTML erlaubt ist oder nicht, da sind dann fast immer URL als a href und mit BB Code dabei.
Schönen Restadvent...
Helmuth
moin,
danke Helmuth!
[..] Was gute Wirkung zeigt ist eine Kombination aus Zeitcheck (Seitenaufruf > absenden), verstecktem Formularfeld, und evtl noch einer kleinen Logikaufgabe. Das kann ein Satz Fragen der Art sein: Welcher Monat folgt auf Mai, welche Zahl kommt vor der 86 usw. [..]
Gerade das will ich vermeiden, weil das dem Besucher Umstände macht. Ich selbst würde auch keine Captcha-Codes abtippen, wenn ich in ein Gästebuch schreiben wollte.
--roro
hallo Rolf,
Hab mal wieder einen Artikel geschrieben zum Thema:
http://rolfrost.de/spamprot.html
Schreibt mal bitte, was Ihr davon haltet.
Nicht sehr viel. Außerdem finde ich es nicht so gut, wenn du wieder anfängst, das Forum für "hab mal wieder einen Artikel geschrieben"-Threads zu benutzen.
Mein hauptsächliches Gegenargument: du beschränkst dich thematisch auschließlich auf Cookies. In allen meinen Browsern werde ich erst gefragt, ob ich ein Cookie eventuell annehmen möchte. Und in aller Regel verweigere ich das - mit wenigen Ausnahmen (z.B. mein eigener Provider, bestimmte Foren wie das Gentoo-Forum und ähnliches). Und es gibt eine ganze Reihe weiterer Möglichkeiten, die wir hier im Forum zum Thema "Gästebuch-Spam" schon des öfteren angesprochen bzw. diskutiert haben. Wenigstens zwei dieser Methoden sollten dir sehr leicht zugänglich sein: einmal kannst du mit Regulären Ausdrücken schon einiges abfangen (ungültige Absendeadressen, URLs und mail-Adressen im Text, bestimmte Redewendungen wie "visit my Site at") und zum zweiten ist eine zwangsweise vorgeschaltete Vorschau immer noch nicht ganz unsinnig. Nimm mal ein paar Beispiele aus meinem heutigen log:
202.8.247.72 - - [17/Dec/2006:08:58:59 +0100] "POST /kontakt/gastb.phpprev HTTP/1.0" 404
222.111.18.16 - - [17/Dec/2006:12:47:04 +0100] "POST /kontakt/gastb.php?temp HTTP/1.1" 200
p51f3xns.emirates.net.ae - - [17/Dec/2006:13:13:45 +0100] "POST /kontakt/gastb.php?prev HTTP/1.1" 200
60.50.34.56 - - [17/Dec/2006:16:45:19 +0100] "POST /kontakt/gastb.phpprev HTTP/1.0" 404
Der erste bot, um 8.58 Uhr, ist ein bißchen doof. Der hat sich einfach was Falsches gemerkt, genauso wie der vierte um 16.45 Uhr. Bei "phpprev" fehlt einfach ein Fragezeichen dazwischen, also kriegt er einen 404er geliefert.
Die beiden anderen sind schlauer. Beide scheitern aber an der "Zwangsvorschau". Sie kriegen einen 200er zurück, aber tatsächlich ist gar nichts passiert. Aber sie sind mit dem 200er zufrieden und trollen sich für eine Weile.
Und wenn man sich diesem Thema schon widmet, sollte vielleicht noch darauf hingewiesen werden, daß diese "bots" keineswegs nur Gästebücher heimsuchen. Sie probieren ganz einfache _jedes_ Script aus und prüfen, ob es überhaupt POST-Variablen entgegennimmt. Wenn du in deinem Webspace ein Suchscript laufen hast, wirst du das am log sehen. Wieder aus meinem log:
61.55.135.167 - - [17/Dec/2006:14:41:38 +0100] "POST /cgi-bin/perltest.pl HTTP/1.1" 200
192.109.190.88 - - [17/Dec/2006:18:56:53 +0100] "POST /cgi-bin/suche.pl HTTP/1.1" 200
Auch eine 200er Erfolgsmeldung, nur hat das Script nichts geschrieben, was gespeichert worden wäre. Aber beide Scripts werden über Formulare "bedient", und tatsächlich wurden die zugehörigen Formulare jeweils zwei Sekunden eher über GET abgerufen - der bot hat vermutlich geprüft, ob es Formularfelder wie "name" o.ä. gibt. Das können die kleinen Biester nämlich mittlerweile ganz gut. Und tatsächlich ist zu beobachten, daß, wenn auch minimal, die Serverauslastung in den letzten Wochen vor allem aufgrund solcher "Besucher" gestiegen ist und etwas Traffic zustandekommt.
Daneben gibt es aber auch durchaus freundliche bots, die man nicht behindern möchte - den google-bot beispielsweise. Ich lasse den jedenfalls herumsuchen, solange er will.
Insgesamt finde ich die Idee, einen "Antispam-Artikel" zu schreiben und zu veröffentlichen, durchaus lobenswert, habe mich selber schon eine Weile mit der Idee beschäftigt. Aber: du hast grundsätzlich das Potential, diese Materie zu überblicken und tatsächlich Entwürfe für eine "Gegenstrategie" zu liefern. Du schöpfst dein Potential bloß bei weitem nicht aus. Dein Artikel verspricht viel mehr, als er am Ende hält. Schon das Forumsarchiv ist voll von differenzierteren Vorschlägen. Wenn ich mich an einen solchen zusammenfassenden Artikel wagen wollte, würde ich erstmal alle die im Forumsarchiv bereits vorhandenen und nutzbaren (ich gebe zu, daß es wie in jedem Forum auch unsinnige Vorschläge gegeben hat) Vorschläge und Hinweise sichten und bei der Artikelfassung berücksichtigen. _Nur so_ kannst du dann auch tatsächlich einen Artikel schreiben, der innvoatives Material enthält und nicht aufgrund seiner Einseitigkeit, Kleinheit und Beschränktheit enttäuschen _muß_.
Grüße aus Berlin
Christoph S.
Hi Christoph,
Hab mal wieder einen Artikel geschrieben zum Thema:
http://rolfrost.de/spamprot.html
Nun, ich habe in meinem Artikel herausgearbeitet, dass es einerseits mit einem einzigen Cookie möglich ist, das Surfverhalten eines Besuchers herauszufinden (damit bin ich nicht der Erste, darüber haben Andere auch schon berichtet) und andererseits habe ich beschrieben, wie ich diese Methode konsequent und erfolgreich dazu verwende, einen menschlichen Besucher von einem Bot zu unterscheiden um SPAM-Einträge in einem Gästebuch zu vermeiden.
Ich habe auch unmissverständlich dargestellt, dass SPAM-Schutz in einem privaten Gästebuch nicht etwa eine triviale Angelegenheit ist, die lediglich den Webmaster was angeht, sondern dass alle anderen Internetnutzer auch was davon haben.
Und Du sagst dazu, dass Du nicht sehr viel davon hältst?
Wenn Du möchtest, kannst Du das ja mal erklären.
--roro
hallo Rolf,
Nun, ich habe in meinem Artikel herausgearbeitet, dass es einerseits mit einem einzigen Cookie möglich ist, das Surfverhalten eines Besuchers herauszufinden
Meines nicht.
und andererseits habe ich beschrieben, wie ich diese Methode konsequent und erfolgreich dazu verwende, einen menschlichen Besucher von einem Bot zu unterscheiden um SPAM-Einträge in einem Gästebuch zu vermeiden.
Das hast du.
Ich habe auch unmissverständlich dargestellt, dass SPAM-Schutz in einem privaten Gästebuch nicht etwa eine triviale Angelegenheit ist
Unmißverständlich schon. Aber genau da liegt das Hauptproblem deines Artikels: er verspricht weit mehr, als er dann einlöst.
Und Du sagst dazu, dass Du nicht sehr viel davon hältst?
Wenn Du möchtest, kannst Du das ja mal erklären.
Ich dachte, das hätte ich bereits wenigstens ansatzweise getan. Dein Artikel weckt aufgrund seiner Thematik Erwartungen, die er dann bei weitem nicht einlöst.
Grüße aus Berlin
Christoph S.
moin,
Ich dachte, das hätte ich bereits wenigstens ansatzweise getan. Dein Artikel weckt aufgrund seiner Thematik Erwartungen, die er dann bei weitem nicht einlöst.
Christoph, lieber, schreib mir bitte ne eMail: buchfart@yahoo.de
Dann wirds vielleicht ein richtig guter Artikel.
--roro
Mal ein paar Anmerkungen von mir:
Zu deinem Text:
„Außerdem ist es sinnvoll, HTML-Code komplett abzuschalten, so kann ein SPAMer keine a-HREF-Links erstellen.“
HTML-Code abschalten ist eine sehr gute Idee, aber nicht wegen irgendwelchen Links (die sollte man Besucher schon noch einbauen lassen können, möglichst auch mit automatischer Verlinkung von URLs), sondern vor allem, damit man keinen Unsinn z.B. mit Script-Tags machen kann.
„Der hier vorgeschlagene Lösungsweg über einen Cookie hat für den friedliebenden Besucher außerdem den Vorteil, dass dieser nichts davon mitbekommt, bzw., keine weiteren Umstände damit hat.“
Das trifft nicht auf jeden friedliebenden Besucher zu. Immerhin deaktivieren viele sicherheitsbewusste Benutzer Cookies oder lassen zumindest vor dem Erstellen der Cookie eine nachfrage erscheinen.
„Besucher, die von sich aus Cookies ausgeschaltet haben, betrachte ich als Solche, die ihr eigenes Surf-Verhalten nicht preisgeben möchten.“
Was ja wohl auch nicht besonders verwerflich ist.
„Dass sie damit in den Verruf geraten, Bots gleichgesetzt zu werden, ist eine der Konsequenzen, die sie selber tragen müssen.“
Das empfinde ich als ziemlich unfair. Wieso sollte man Benutzer aussperren, nur weil die ihr Surfverhalten nicht preisgeben wollen?
hi,
Das empfinde ich als ziemlich unfair. Wieso sollte man Benutzer aussperren, nur weil die ihr Surfverhalten nicht preisgeben wollen?
Ganz einfach. Niemand hat vor, Besucher auszusperren.
Außer dem Gästebuch gibt es nämlich noch andere Möglichkeiten für den Besucher, Feedback zu machen:
--roro
hi,
Das empfinde ich als ziemlich unfair. Wieso sollte man Benutzer aussperren, nur weil die ihr Surfverhalten nicht preisgeben wollen?
Ganz einfach. Niemand hat vor, Besucher auszusperren.
Außer dem Gästebuch gibt es nämlich noch andere Möglichkeiten für den Besucher, Feedback zu machen:
Ein richtiger Webmaster zeigt auf seiner WEbSite:
und optional ein Kontaktformular (so wie ich in meinem Impressum).
Alle diese Dinge funktionieren auch ohne Cookies.
--roro
hallo Rolf,
Hab mal wieder einen Artikel geschrieben zum Thema:
http://rolfrost.de/spamprot.html
Nunja, und ich habe übersehen, daß sich deine Mitteilung eigentlich als Doppelposting darstellt.
Grüße aus Berlin
Christoph S.
Hab mal wieder einen Artikel geschrieben zum Thema:
http://rolfrost.de/spamprot.html
Schreibt mal bitte, was Ihr davon haltet.
"Besucher, die von sich aus Cookies ausgeschaltet haben, betrachte ich als Solche, die ihr eigenes Surf-Verhalten nicht preisgeben möchten. Dass sie damit in den Verruf geraten, Bots gleichgesetzt zu werden, ist eine der Konsequenzen, die sie selber tragen müssen."
Spricht irgendwas gegen Sessions ohne Cookies bei ansonsten ähnlicher Vorgehensweise?