nicht angemeldet
Spam trotz Captcha
Hallo,
habe ein Formular zur Bestellung von Prospekten erstellt. Da der Kunde seit einigen Wochen einer Spamflut ausgesetzt ist, baute ich folgenden Schutz ein:
1. eine Validierung aller Felder per Javascript
2. ein unsichtbares "Blindfeld" welches geprüft wird, ob es leer ist
3. eine Addition von Zufallszahlen; die Zahlen werden in einem Textfeld angezeigt, in welches das Ergebnis geschrieben werden muss
4. eine Abfrage, ob das Kästchen "AGB akzeptieren" angeklickt wurde
5. eine Abfrage, ob überhaupt ein Prospekt bestellt/angeklickt wurde
Bei meinen Tests funktioniert jede einzelne Kontrolle tadellos. Trotzdem erscheinen Spams mit ausgefülltem Blindfeld, ohne akzeptierten AGB, ohne angeklickten Prospektfeldern, ohne eingetragenem Ergebnis der Rechenaufgabe. Es muss also ein Robot sein und die Kontrollen werden nicht umgangen sondern scheinbar irgenwie ausgeschalten.
Wie kann das sein?
Anmerkung: Alle Programmierungen sind in Javascript ausgeführt und befinden sich im Dateikopf (die Zufallszahlen und das Rechenergebniss sind jedoch dort nicht zu finden), senden mit "post". Würde es etwas bringen, wenn ich das ganze in PHP schreibe?
Danke im Voraus - bin ratlos!
-
Hi,
Wie kann das sein?
Hast du mal ausprobiert was passiert, wenn JS deaktiviert ist?
Anmerkung: Alle Programmierungen sind in Javascript ausgeführt und befinden sich im Dateikopf (die Zufallszahlen und das Rechenergebniss sind jedoch dort nicht zu finden), senden mit "post".
Sowas mit Javascript abzupruefen ist recht sinnlos, da Javascript clientseitig ablaeuft und dort leicht manipuliert oder abgeschaltet werden kann. Soweit ich weiss koennen die meisten Bots eh kein Javascript.
Würde es etwas bringen, wenn ich das ganze in PHP schreibe?
Ja. Du koenntest damit erreichen, dass nur die Bestellungen, die von dir als gueltig festgelegt (also AGB akzeptiert und hidden-Feld leer) sind verarbeitet werden.
Wenn der Spambot jedoch so schlau ist und deine Rechenaufgabe loest und das hidden-Feld freilaesst bringt das auch nichts. Aber das Risiko halte ich fuer nicht so hoch und auf jeden Fall wird der Spam zurueckgehen.Wenn dann immernoch Spam durchkommt kannst du ja noch zusaetzliche Schutzmechanismen einbauen.
mfG,
steckl -
Hi
Anmerkung: Alle Programmierungen sind in Javascript ausgeführt und befinden sich im Dateikopf (die Zufallszahlen und das Rechenergebniss sind jedoch dort nicht zu finden), senden mit "post". Würde es etwas bringen, wenn ich das ganze in PHP schreibe?
Eine clientseitige Validierung bringt nur etwas, wenn der Client dies unterstützt. In deinem Fall: Ohne JS keine JS-Validierung.
Um eine serverseitige Überprüfung z.B. mittels PHP wirst du nicht umher kommen, wenn du in Zukunft etwas spamfreier leben willst.
so long
Ole
(8-)>--
Stickstoff eignet sich nicht für Handarbeiten. -
Hi,
Anmerkung: Alle Programmierungen sind in Javascript ausgeführt und befinden sich im Dateikopf (die Zufallszahlen und das Rechenergebniss sind jedoch dort nicht zu finden), senden mit "post". Würde es etwas bringen, wenn ich das ganze in PHP schreibe?
O mann... Seid doch nicht immer so niedlich, damit ich mal richtig sauer auf euch sein kann!!
Geantwortet wurde dir ja schon. Kein JS dafuer serverseitig.