nicht angemeldet
Funktioniert dieser Spambot-Schutz?
0 0 0 
MudGuard
0 0
Funktioniert dieser Spambot-Schutz?
Hallo an alle,
ich hab mir mal einen neuen Schutz ausgedacht, der SpamBots in Gästebüchern aussperren soll, und wollte mal fragen, was ihr davon haltet. Auf Captchas will ich aus Gründen der Barrierefreiheit komplett verzichten.
Der Schutz basiert auf einem IP-Ausperr-System. Natürlich ist mir klar, dass die Bots ihre IPs oft wechseln, aber das sollte nicht stören.
Sobald der User, sei es Maschine oder Mensch, das Eintrageformular des Gästebuchs aufruft, schaut ein serverseitiges Skript in einer Datenbank nach, ob die IP-Adresse des User schön überprüft wurde. Ist dies nicht der Fall, wird statt des Eintrageformulars eine Seite ausgegeben, die einen Test enthält.
Der Test läuft so ab:
Ein Skript wählt aus einer vorgegebenen Liste mit verschiedenen Fragen zufällig eine aus und stellt sie dem User.
Beispiel: Wie nennt man ein Gebäude, in dem man wohnt?
Darunter befinden sich mehrere Links (ca. 7 - 8), die alle auf die Seite mit dem Eintrageformular verweisen, allerdings mit verschiedenen GET-Parametern. Nur der Link mit der richtigen Antwort trägt den validen Code.
Bsp:
<a href="form.php?code=123">Apfel</a>
<a href="form.php?code=456">Stern</a>
<a href="form.php?code=789">Haus</a>
<a href="form.php?code=557">Mensch</a>
Die Reihenfolge ist natürlich zufällig.
Ein Mensch sollte keine Probleme damit haben, dass er den "Haus"-Link als richtig erkennt und gelangt auf die Seite mit dem Formular, fertig.
Der Bot wird, wie ich vermute, einfach mal alle Links durchklicken, um zu schauen, was passiert. Dabei wird er mit Sicherheit auch einen der falschen Links erwischen. Sobald er das tut, registriert das Formular den Fehler und setzt die IP sofort auf eine Blockliste, sodass eine Eintragung verhindert werden kann.
Das heißt, auch wenn er durch Zufall den richtigen Link irgendwann findet, ist er schon längst gesperrt und stellt keine Gefahr da.
Nach einer Zeit wird die Datenbank geleert und die Zugangscodes ändern sich natürlich auch permanent.
Was haltet ihr von dem System?
Hab ich irgendwas vergessen? Eigentlich sollte das Thema Barrierefreiheit hier auch kein Problem sein, denn ein Screenreader-User hört die Frage und hört auch die verschiedenen Links, somit ist er nicht benachteiligt.
Vielen Dank für eure Meinungen,
Markus.
(nach Zeit: db-dump)
-
Was haltet ihr von dem System?
Negativ: Sprache
Negativ: man klickt schnell, aus Neugierde, und ist dann gesperrt.Hab ich irgendwas vergessen? Eigentlich sollte das Thema Barrierefreiheit hier auch kein Problem sein, denn ein Screenreader-User hört die Frage und hört auch die verschiedenen Links, somit ist er nicht benachteiligt.
Dennoch sind es Captchas.
Ich habe kurzfristig selbst mal so etwas wie ein Rätselcapcha implementiert.
Nachteilig ist der Aspekt der Wartung.Ich würde definitiv zuerst die Methode von blinden Formularfeldern und kryptischen Feldnamen (bzw. verführerische Feldnamen) für Felder, die nicht ausgefüllt werden dürfen, versuchen.
Der zweite Test wäre ein Timingtest: Es müssen mindestens 10 Sekunden vergehen zwischen der Formularanforderung und dem Submit.
mfg Beat
-
Hi
Der normale USer hat eine IP, die nur gültig ist für die Dauer seiner aktuellen Internetverbindung. Wenn nun jemand mit der T-Online-IP a.b.c.d einen Mist macht und auf deine Liste kommt, dann braucht er nur die Verbindung beenden und fängt mit einer anderen Nummer wieder an. Irgendwann hast du dann alle T-Online-IPs in deiner Liste und dann kommen T-Online Kunden nicht mehr an deine Seite.
Nun kannst du für T-Online jeden beliebigen anderen Provider einsetzen und kommst zu dem gleichen Schutz.
IP-Schutz hilft nur, wenn du eine Spambot hast, der irgendwo auf einem Webserver fest installiert ist. Wenn ein Zombie spammt, dann kannst du das Ding knicken.
Herzliche Grüße
Wolfgang-
Hi,
Der normale USer hat eine IP, die nur gültig ist für die Dauer seiner aktuellen Internetverbindung.
Du bezeichnest die Mitarbeiter von Firmen, die feste IP-Adressen haben, als anormal?
cu,
Andreas--
Warum nennt sich Andreas hier MudGuard?
O o ostern ...
Fachfragen unaufgefordert per E-Mail halte ich für unverschämt und werde entsprechende E-Mails nicht beantworten. Für Fachfragen ist das Forum da.
-
-
Was haltet ihr von dem System?
Ich finde es zu aufwendig (für ein geschlossenes System, das nur du betreibst) und wenig nachhaltig. IP-Dinger funktionieren nur sinnvoll in der Masse, also wenn andere Nutzer/Betreiber die IP-Datenbank mitfüttern (siehe Spamhaus o.ä.).
Grundsätzlich ist der beste Basisschutz (aus meiner Sicht) noch immer derjenige, dass ein Formular nicht bereits im Zustand seines ersten Aufrufs finale Daten absendet, sondern immer noch ein zweiter Schritt notwendig ist, um die Daten zu senden.
Meint aufs Gästebuch bezogen also eine »Zwangs«vorschau.Den Prozess dazwischen kannst du mit allerlei Methoden garnieren, die davon abhalten sollen, das Formular zu spidern und/oder automatisierte Inhalte einzubringen.
Sinnvoll ist z.B. ein (modifizierter) Timestamp, der beim Aufruf des ersten Formulars generiert und ggfls nochmal von einem zweiten Formular aufgegriffen wird, so dass du ein festes Zeitfenster hast, in dem der Kommentar angenommen werden kann.Viele Grüße
_Dirk--
»[Six Feet Under: Ending theme] Honigsüßer, leicht bitterer und brachial lieblicher Track.«
- Top Fives, Nicht-Poppmusik, ihr zweites mal. -
Hi,
Was haltet ihr von dem System?
nichts.
Hab ich irgendwas vergessen? Eigentlich sollte das Thema Barrierefreiheit hier auch kein Problem sein, denn ein Screenreader-User hört die Frage und hört auch die verschiedenen Links, somit ist er nicht benachteiligt.
*Jeder* ist durch eine solche überflüssige Aktion benachteiligt bzw. belästigt.
Und AOL-User werden ganz ausgesperrt.freundliche Grüße
Ingo