noch blöder fand ich einen Bot, der beim SPAMmen in mein Gästebuch einen Referrer benutzt hat, den es gar nicht (mehr) gibt.

--roro

Ich finde Referer wie m#^https?://[^/]+/?$# generell unanständig. Ob Spam oder nicht.

bs

Darf man die .htaccess mal sehen?

Nein! Aber ausprobieren darfst du sie.

Hier der Anfang meiner .htaccess

Access Prinzip

Order allow,deny # alles ist verboten

Allow from env=go # aber erlaubtes für UAs wird gestattet

Allow from env=bot # und erlaubtes für Bots wird gestattet

Deny from env=stop # falls es nicht auf ein späteres Verbot trifft

Browser müssen akzeptable Kennung im Beginn aufweisen

Diese Regel schliesst viele Bots aus und spart Schreibarbeit

Erlaubte Bots werden gesondert erkannt

Normale Browser

BrowserMatch "^Mozilla/4.0\ (compatible; MSIE ([67].[01]b?|5.5); (Windows|Mac_PowerPC|AOL|MSN)" go
   # MSIE, nicht alle überstehen diese Hürde

Es geht dann weiter mit Definitionen

Ich definiere Suchmaschinen separat.
Dann definiere ich IP Bereichen innerhalb jede Suchmaschine operieren darf.
Dann Bereiche welche welche Browser nicht benutzen dürfen

Dann schliesse ich Browser vom robots.txt lesen aus

Ich definiere Legale Referer

Ich untersuche dass in Urls und Referer keine Link-Traversals vorkommen und keine Fragment Identifier

Ich denke meine Absturzseite muss ich nicht bewerben.
http://www.elcappuccino.ch/http_access_denied_info.html
enthält ein paar Gedanken in scheusslichem Englisch