Discussion:
Verhinderung von Gaestebuch-Spam
(zu alt für eine Antwort)
Thomas Hochstein
2005-10-23 07:48:21 UTC
Permalink
Ich weiß, ich weiß, Gästebücher sind eh out. Aber abgesehen davon
würde mich schon interessieren, was sich an einfachen (!) Maßnahmen
zur Spamabwehr da bewährt hat.

Im Netz findet man tolle Tips derart, man solle einfach keine Links
akzeptieren, oder die mit rel=nofollow versehen, o.ä. - was die
Spammer nicht interessiert, weil die schlicht gar nicht erst prüfen,
was bei ihren millionenfach über Botnets ausgeführten Spamruns
herauskommt. Das ist also unbrauchbar, es braucht eine Lösung, die
bereits das Eintragen verhindert.

Tendentiell könnte man natürlich dieselben Mechanismen nutzen wie bei
Blogs, die darunter ja noch deutlich mehr leiden: Blacklists, SURBL,
Sperrbegriffe, Captchas usw. usf. - das ist mir aber ehrlich gesagt
zuviel Aufwand, v.a., wenn ich's selbst implementieren soll. ;) Im
Gegensatz zu einem Blog ist ein Gästebuch IMHO ein so unwichtiger
Nebenbestandteil einer Homepage, daß sich da großer Aufwand nicht
lohnt; irgendwas mit "an eine vorhandene Textdatei anhängen" oder so
sollte eigentlich genügen.

Momentan würde es mir zunächst mal reichen, wenn die Seite für jeden
Aufruf vorher geparst werden muß, man also nicht "einfach so" mit
POST-Requests darauf werfen kann. Ich vermeine mal etwas von
zusätzlichen Formularfeldern gelesen zu haben, deren Rücklauf geprüft
wird, o.ä., erinnere mich aber nicht mehr genau, wie das nun
funktionieren sollte. Vielleicht kann mich ja jemand in die richtige
Richtung, gerne auch in eine passende Newsgroup schubsen?

(Ich weiß, daß sich das Problem mit "einfachen" Maßnahmen vermutlich
nicht lösen läßt. Ich kann auch damit leben, alle 7 bis 14 Tage mal
die Textdatei, die letztlich das Gästebuch darstellt, sauberzumachen.
Mit ~ 10 Einträgen pro Tag ist mir das allerdings zu doof. Und wenn's
mit einfachen Maßnahmen nicht klappt, wird das Ding halt abgeklemmt -
wie ich schon einleitend schrieb, Gästebücher sind eh out. ;))

TIA,
-thh
Dirk Haun
2005-10-23 08:46:46 UTC
Permalink
Post by Thomas Hochstein
Ich vermeine mal etwas von
zusätzlichen Formularfeldern gelesen zu haben, deren Rücklauf geprüft
wird, o.ä., erinnere mich aber nicht mehr genau, wie das nun
funktionieren sollte.
Zwei Ansätze, die ich schon gelesen habe (sorry, keine Pointer):

1) Per JavaScript document.write ein Feld einschiessen, das vorhanden
sein muss. Die Spambots können kein JavaScript, folglich fehlt dann das
Feld.

Sperrt natürlich auch User aus, die JavaScript deaktiviert haben oder
Lynx benutzen, etc.

2) Mehrere Forms auf die Seite setzen, wobei das physikalisch erste per
CSS versteckt wird und ohne Funktion ist. In der Hoffnung, dass die
Spambots sich dann darauf stürzen.

Auch da gibt es wieder Probleme mit Textbrowsern, etc.

Ich setze diese Techniken aus den genannten Gründen nicht ein. Für so
etwas unwichtiges wie ein Gästebuch könnte man es allerdings schon
riskieren, denke ich.

HTH

bye, Dirk
--
http://spam.tinyweb.net/
Thomas Hochstein
2005-10-23 10:38:31 UTC
Permalink
Post by Dirk Haun
1) Per JavaScript document.write ein Feld einschiessen, das vorhanden
sein muss. Die Spambots können kein JavaScript, folglich fehlt dann das
Feld.
Gute Idee, das merke ich mir auf jeden Fall mal vor (allerdings geht's
mir bislang wie den Spambots, ich kann nämlich auch kein Javascript
*g* - aber dafür wird's dann schon langen).
Post by Dirk Haun
Sperrt natürlich auch User aus, die JavaScript deaktiviert haben oder
Lynx benutzen, etc.
Damit kann ich bei einem Gästebuch ggf. leben. Ist ja nicht so, daß
das häufig benutzt würde oder in irgendeiner Weise unerlässlich wäre.
Für ein Kontaktformular wäre das hingegen wenig brauchbar.
Post by Dirk Haun
2) Mehrere Forms auf die Seite setzen, wobei das physikalisch erste per
CSS versteckt wird und ohne Funktion ist. In der Hoffnung, dass die
Spambots sich dann darauf stürzen.
Hm, das gefällt mir nicht so sehr, aber ich merk's mir auch mal vor.

Auf jeden Fall vielen Dank für die Hinweise; schön, daß es in dieser
sonst im wesentlichen leerstehenden Gruppe so schnell so viele
brauchbare Tips gibt.

Gruß,
-thh
--
/°\ --- JOIN NOW!!! ---
\ / ASCII ribbon campaign
X against HTML
/ \ in mail and news
Andreas Kohlbach
2005-10-23 14:32:01 UTC
Permalink
Post by Thomas Hochstein
Post by Dirk Haun
1) Per JavaScript document.write ein Feld einschiessen, das vorhanden
sein muss. Die Spambots können kein JavaScript, folglich fehlt dann das
Feld.
Gute Idee, das merke ich mir auf jeden Fall mal vor (allerdings geht's
mir bislang wie den Spambots, ich kann nämlich auch kein Javascript
*g* - aber dafür wird's dann schon langen).
Falls das wirklich wirksam sein sollte (ich müsste mal in eine meiner
Seiten eine neue Adresse so deklarieren und schauen, ob die bespammt
wird), kann man das mit

document.write("<a href=\"mailto:" + "ankman" + "&#64;" + "email.com\"");

für meinen Fall machen.

[...]
Post by Thomas Hochstein
Post by Dirk Haun
2) Mehrere Forms auf die Seite setzen, wobei das physikalisch erste per
CSS versteckt wird und ohne Funktion ist. In der Hoffnung, dass die
Spambots sich dann darauf stürzen.
Hm, das gefällt mir nicht so sehr, aber ich merk's mir auch mal vor.
Ich habe Links zu diversen Spamtraps von Leuten hier so versteckt. Werden
in der Seite (außer bei alten Browsern, die "visibility:hidden" nicht
können) nicht angezeigt, aber ich hoffe auch, dass die Spammer dem folgen.
Post by Thomas Hochstein
Auf jeden Fall vielen Dank für die Hinweise; schön, daß es in dieser
sonst im wesentlichen leerstehenden Gruppe so schnell so viele
brauchbare Tips gibt.
Das meiste wird wohl in anderen Gruppen (das könnte auch in dan-am
passen) abgedeckt werden.
--
Andreas
PGP Key available on public key servers
Mailfilter Regeln http://www.tombstones.org.uk/~ankman/filterrules.html
Dateianhaenge? http://piology.org/ILOVEYOU-Signature-FAQ.html
Holger Lembke
2005-10-23 09:03:33 UTC
Permalink
Post by Thomas Hochstein
Ich vermeine mal etwas von
zusätzlichen Formularfeldern gelesen zu haben, deren Rücklauf geprüft
wird, o.ä., erinnere mich aber nicht mehr genau, wie das nun
funktionieren sollte.
Die c't hat in der aktuellen Ausgabe (2005, nr. 22, s. 208) einfach im
Formular ein verstecktes Textfeld mit einem f(datum) gefüllt und später
geprüft. Kommentar dazu ist, dass das die meisten Formularspammer bereits
abhält.

Softlink: 0522208
--
mit freundlichen Grüßen! Warum schließen Sie meine Gebote aus ?????
Holgi, +49-531-3497854 ! Weil ich es kann.
Thomas Hochstein
2005-10-23 10:29:41 UTC
Permalink
Post by Holger Lembke
Die c't hat in der aktuellen Ausgabe (2005, nr. 22, s. 208) einfach im
Formular ein verstecktes Textfeld mit einem f(datum) gefüllt und später
geprüft. Kommentar dazu ist, dass das die meisten Formularspammer bereits
abhält.
Vielen Dank, genau so etwas habe ich gesucht!

Jetzt bin ich mal gespannt, ob sich das als wirksam erweisen wird.

-thh
Thomas Hochstein
2005-10-25 05:31:00 UTC
Permalink
Post by Thomas Hochstein
Jetzt bin ich mal gespannt, ob sich das als wirksam erweisen wird.
Tja, die Idee war nett, aber erfolglos. Mal schauen, nächstes
Wochenende werde ich mir dann mal eine der anderen Varianten näher
ansehen.

-thh
Michael Hermes
2005-10-25 15:51:27 UTC
Permalink
Post by Thomas Hochstein
Post by Thomas Hochstein
Jetzt bin ich mal gespannt, ob sich das als wirksam erweisen wird.
Tja, die Idee war nett, aber erfolglos. Mal schauen, nächstes
Wochenende werde ich mir dann mal eine der anderen Varianten näher
ansehen.
Was ist denn genau das Problem? Die Einträge selbst, oder der Link darin?

Für Letzteres empfehle ich:

$sz_NEW_eintrag = str_replace("&", "&amp;", $sz_NEW_eintrag);
$sz_NEW_eintrag = str_replace(">", "&gt;", $sz_NEW_eintrag);
$sz_NEW_eintrag = str_replace("<", "&lt;", $sz_NEW_eintrag);

Für Ersteres: Die Spammer grasen offensichtlich Webseiten ab und parsen
sie nach typischen Dingen um zu entscheiden ob dies eine
Gästebuch-Eintrage-Seite ist. An diesem Punkt kann man vielleicht auch
ansetzen indem man die Seite Gästebuch-untypisch macht.
Als Versuch benenne doch einfach mal deine Input-Felder um in
'Artikelname', 'Menge', 'Bemerkung'.. und nutze keine typischen Texte,
also z.B. nicht 'Trage dich hier in mein Gästebuch ein:' sondern 'Deinen
Senf kannst du übrigens auch ablassen' o.ä.
--
"Michael Hermes", von dem wir mittlerweile wissen, dass er der einzig wahre
und echte dreimeistrige Hermes ist, erleuchtete mich Sterblichen mit den Worten:
Einleitungszeile von Charles D. Bohne am 02.07.2005 in tota
Thomas Hochstein
2005-10-25 19:15:19 UTC
Permalink
Post by Michael Hermes
Post by Thomas Hochstein
Tja, die Idee war nett, aber erfolglos. Mal schauen, nächstes
Wochenende werde ich mir dann mal eine der anderen Varianten näher
ansehen.
Was ist denn genau das Problem? Die Einträge selbst, oder der Link darin?
Die Einträge selbst. Links gibt es nicht, jedenfalls nicht
"aktiviert"; HTML wird ausgefiltert.

Natürlich hindert das die - vermutlich - Bots nicht, sich auszutoben;
das Problem kennt man ja von Mailspam und den Spamruns gegen Blogs.
Post by Michael Hermes
Für Ersteres: Die Spammer grasen offensichtlich Webseiten ab und parsen
sie nach typischen Dingen um zu entscheiden ob dies eine
Gästebuch-Eintrage-Seite ist. An diesem Punkt kann man vielleicht auch
ansetzen indem man die Seite Gästebuch-untypisch macht.
*seufz* Ich fürchte fast, dafür ist es etwas spät ...

-thh
Holger Lembke
2005-10-25 16:35:35 UTC
Permalink
Post by Thomas Hochstein
Tja, die Idee war nett, aber erfolglos. Mal schauen, nächstes
Wochenende werde ich mir dann mal eine der anderen Varianten näher
ansehen.
Naja, es ist auch relativ einfach zu knacken. Seite mit dem Formular laden,
Felder und Daten rausfischen, Leere füllen und dann zurückposten.
--
mit freundlichen Grüßen! Warum schließen Sie meine Gebote aus ?????
Holgi, +49-531-3497854 ! Weil ich es kann.
Thomas Hochstein
2005-10-25 19:21:10 UTC
Permalink
Post by Holger Lembke
Naja, es ist auch relativ einfach zu knacken. Seite mit dem Formular laden,
Felder und Daten rausfischen, Leere füllen und dann zurückposten.
Ich weiß - meine Hoffnung war, daß das reichen würde ...

-thh
Holger Lembke
2005-10-25 20:03:40 UTC
Permalink
Post by Thomas Hochstein
Post by Holger Lembke
Naja, es ist auch relativ einfach zu knacken. Seite mit dem Formular laden,
Felder und Daten rausfischen, Leere füllen und dann zurückposten.
Ich weiß - meine Hoffnung war, daß das reichen würde ...
Komisch ist, dass die c't es entsprechend kommentiert. Bei denen scheint es
zu funktionieren.
--
mit freundlichen Grüßen! Warum schließen Sie meine Gebote aus ?????
Holgi, +49-531-3497854 ! Weil ich es kann.
Florian Weimer
2005-10-23 10:48:27 UTC
Permalink
Post by Thomas Hochstein
Momentan würde es mir zunächst mal reichen, wenn die Seite für jeden
Aufruf vorher geparst werden muß, man also nicht "einfach so" mit
POST-Requests darauf werfen kann. Ich vermeine mal etwas von
zusätzlichen Formularfeldern gelesen zu haben, deren Rücklauf geprüft
wird, o.ä., erinnere mich aber nicht mehr genau, wie das nun
funktionieren sollte. Vielleicht kann mich ja jemand in die richtige
Richtung, gerne auch in eine passende Newsgroup schubsen?
Die üblichen Verfahren, um CSRF zu verhindern, sollte fürs erste
ausreichen.

Grundsätzlich ist es leider sinnvoll, Spam-Gegenmaßnahmen nicht
öffentlich zu diskutieren.
Gerrit Brodmann
2005-10-23 11:45:33 UTC
Permalink
Bots sollten sich davon abhalten lassen, daß Du irgendwas
Ungewöhnliches in ein Feld eintragen mußt, was hinterher abgefragt
wird.

Sei es ein zufällig generierter Code, wie es bei vielen Foren der Fall
ist (finde ich extrem nervig diese Dinger abzutippen) oder eben etwas
Einfaches wie ein bestimmtes Wort, welches im Fließtext der Begrüßung
genannt wird.
--
Fotografie und Foto - Kunst aus Braunschweig
photography - art - sketches: http://gerrit.brodmann.com
LARP, Mittelalter und Fantasy: http://derLARPfotograf.de
One Minute/Random Photoart: http://one-minute.info
Ralph J.Mayer
2005-10-24 01:20:03 UTC
Permalink
Post by Gerrit Brodmann
Sei es ein zufällig generierter Code, wie es bei vielen Foren der Fall
ist (finde ich extrem nervig diese Dinger abzutippen)
Es verhindert auch zuverlässig die Benutzung der Webseite für z.B. Blinde
die ja uaf funktionierende Texterkennung angewiesen sind,
Post by Gerrit Brodmann
oder eben etwas
Einfaches wie ein bestimmtes Wort, welches im Fließtext der Begrüßung
genannt wird.
Das ist auf jeden Fall sinnvoller. Oder eine einfache Frage wie "Der
Vorname von Helmut Kohl ist", wenn dann im Eingabefeld Helmut steht passt
das und gut.


rm
Gerrit Brodmann
2005-10-24 11:01:35 UTC
Permalink
Post by Ralph J.Mayer
Post by Gerrit Brodmann
Sei es ein zufällig generierter Code, wie es bei vielen Foren der Fall
ist (finde ich extrem nervig diese Dinger abzutippen)
Es verhindert auch zuverlässig die Benutzung der Webseite für z.B. Blinde
die ja uaf funktionierende Texterkennung angewiesen sind,
Post by Gerrit Brodmann
oder eben etwas
Einfaches wie ein bestimmtes Wort, welches im Fließtext der Begrüßung
genannt wird.
Das ist auf jeden Fall sinnvoller. Oder eine einfache Frage wie "Der
Vorname von Helmut Kohl ist", wenn dann im Eingabefeld Helmut steht passt
das und gut.
Vorsicht, vergiss die PISA-Generation nicht, mach die Frage nicht zu
schwer 8-)
--
Fotografie und Foto - Kunst aus Braunschweig
photography - art - sketches: http://gerrit.brodmann.com
LARP, Mittelalter und Fantasy: http://derLARPfotograf.de
One Minute/Random Photoart: http://one-minute.info
Ralph J.Mayer
2005-10-24 12:20:02 UTC
Permalink
Post by Gerrit Brodmann
Vorsicht, vergiss die PISA-Generation nicht, mach die Frage nicht zu
schwer 8-)
Wie war das? Mach etwas idiotensicher und Gott wird einen besseren Idioten
erschaffen.


rm
Felix Saphir
2005-10-24 15:47:17 UTC
Permalink
Post by Ralph J.Mayer
Post by Gerrit Brodmann
Sei es ein zufällig generierter Code, wie es bei vielen Foren der
Fall ist (finde ich extrem nervig diese Dinger abzutippen)
Es verhindert auch zuverlässig die Benutzung der Webseite für z.B.
Blinde die ja uaf funktionierende Texterkennung angewiesen sind,
Richtig. Hat aber den Vorteil, recht sicher zwischen Mensch und
Maschine unterscheiden zu können. Ein Blinder hat evtl. jemanden, der
ihm diese Hürde erleichtert? Macht mehr Aufwand, das Problem ist aber
gelöst.
Post by Ralph J.Mayer
Post by Gerrit Brodmann
oder eben etwas
Einfaches wie ein bestimmtes Wort, welches im Fließtext der
Begrüßung genannt wird.
Das ist auf jeden Fall sinnvoller. Oder eine einfache Frage wie "Der
Vorname von Helmut Kohl ist", wenn dann im Eingabefeld Helmut steht
passt das und gut.
Ja, hat aber (mindestens einen) Nachteil: Mit einer statischen
Frage/Antwortprüfung kann der Spammer die Seite selbst besuchen und
sich die Antwort merken (wenn er nicht merkbefreit ist). Einen
entsprechend großen Katalog an Fragen hab ich noch nicht gesehen...

Grüße,
Felix
--
/^\ ASCII Ribbon "In a world without
\ / Campaign walls and fences -
X No HTMLin who needs windows
/ \ email & news and gates?"
Ralph J.Mayer
2005-10-24 19:20:03 UTC
Permalink
Post by Felix Saphir
Post by Ralph J.Mayer
Post by Gerrit Brodmann
Sei es ein zufällig generierter Code, wie es bei vielen Foren der
Fall ist (finde ich extrem nervig diese Dinger abzutippen)
Es verhindert auch zuverlässig die Benutzung der Webseite für z.B.
Blinde die ja uaf funktionierende Texterkennung angewiesen sind,
Richtig. Hat aber den Vorteil, recht sicher zwischen Mensch und
Maschine unterscheiden zu können. Ein Blinder hat evtl. jemanden, der
ihm diese Hürde erleichtert? Macht mehr Aufwand, das Problem ist aber
gelöst.
Lies bitte folgende Links
http://de.wikipedia.org/wiki/Barrierefreiheit
http://de.wikipedia.org/wiki/Barrierefreies_Internet


rm
Felix Saphir
2005-10-24 19:23:45 UTC
Permalink
Ralph J.Mayer (***@vinotech.de) wrote:

[CAPTCHA schließt Benutzergruppen aus]
Post by Ralph J.Mayer
Post by Felix Saphir
Richtig. Hat aber den Vorteil, recht sicher zwischen Mensch und
Maschine unterscheiden zu können. Ein Blinder hat evtl. jemanden,
der ihm diese Hürde erleichtert? Macht mehr Aufwand, das Problem
ist aber gelöst.
Lies bitte folgende Links
http://de.wikipedia.org/wiki/Barrierefreiheit
http://de.wikipedia.org/wiki/Barrierefreies_Internet
... bekannt. Und nu? Hast Du einen besseren Vorschlag? Danach wird ja
gesucht. Oder bin ich Dir zu nahe getreten?

Grüße,
Felix
--
/^\ ASCII Ribbon "In a world without
\ / Campaign walls and fences -
X No HTMLin who needs windows
/ \ email & news and gates?"
Ralph J.Mayer
2005-10-24 20:20:03 UTC
Permalink
Hallo Felix,
Post by Felix Saphir
... bekannt. Und nu? Hast Du einen besseren Vorschlag? Danach wird ja
gesucht. Oder bin ich Dir zu nahe getreten?
Nein, absolut nicht. Bin auch selbst nicht in dem Sinne betroffen.

Aber Du hast recht, der Fragenkatalog ist das Problem. Zumindest
automatisiertes Gespame sollte sich damit einige Zeit unterbinden lassen.
Man kan ja die Fragen umstellen, Rechenaufgaben einbauen usw.

Patentrezept gibts wohl nicht, man sollte nur bedenken dass man auch
berechtigte Besucher unabsichtlich ausschliesst.


rm
Felix Saphir
2005-10-24 20:42:26 UTC
Permalink
Hallo Ralph
Post by Ralph J.Mayer
Aber Du hast recht, der Fragenkatalog ist das Problem. Zumindest
automatisiertes Gespame sollte sich damit einige Zeit unterbinden
lassen. Man kan ja die Fragen umstellen, Rechenaufgaben einbauen
usw.
Rechenaufgaben ist auch nicht blöd: kein Fragenkatalog *notier*
Erklärt sich zusätzlich jemand bereit, die Fragen zu sammeln?
Post by Ralph J.Mayer
Patentrezept gibts wohl nicht, man sollte nur bedenken dass man auch
berechtigte Besucher unabsichtlich ausschliesst.
Den Satz mußte ich jetzt dreimal lesen. Bis mir auffiel, daß zwischen
"man" und "auch" z.B. "damit" fehlt... :)

So, Schluß für heute,
Felix
--
/^\ ASCII Ribbon "In a world without
\ / Campaign walls and fences -
X No HTMLin who needs windows
/ \ email & news and gates?"
Ralph J.Mayer
2005-10-24 23:20:02 UTC
Permalink
Moin,
Post by Felix Saphir
Post by Ralph J.Mayer
Aber Du hast recht, der Fragenkatalog ist das Problem. Zumindest
automatisiertes Gespame sollte sich damit einige Zeit unterbinden
lassen. Man kan ja die Fragen umstellen, Rechenaufgaben einbauen
usw.
Rechenaufgaben ist auch nicht blöd: kein Fragenkatalog *notier*
Erklärt sich zusätzlich jemand bereit, die Fragen zu sammeln?
Wenn Dein Katalog öffentlich ist hat ein Spammer ja wieder eine Vorlage.
Post by Felix Saphir
Post by Ralph J.Mayer
Patentrezept gibts wohl nicht, man sollte nur bedenken dass man auch
berechtigte Besucher unabsichtlich ausschliesst.
Den Satz mußte ich jetzt dreimal lesen. Bis mir auffiel, daß zwischen
"man" und "auch" z.B. "damit" fehlt... :)
Das ist natürlich auch eine Idee, welches Wort fehlt in diesem Satz :)
Post by Felix Saphir
So, Schluß für heute,
Felix
Indeed.

rm
Michael Schierl
2005-10-24 20:57:29 UTC
Permalink
Post by Ralph J.Mayer
Es verhindert auch zuverlässig die Benutzung der Webseite für z.B. Blinde
die ja uaf funktionierende Texterkennung angewiesen sind,
Wie sieht das eigentlich aus mit Lösungen wie auf
https://www.e-gold.com/acct/login.html, bei denen man sich die Zahl
auch "vorlesen" lassen kann? Hilft das in der Praxis was (Leute mit
Textbrowsern werden kaum nen Audioplayer starten...)?

Michael
--
Mit amerikanischer (oder deutscher) Tastatur "bequem" internationale
Sonderzeichen eingeben - und das plattformübergreifend (bei Bedarf
auch im Internet-Cafè, falls Java-fähiger Browser vorhanden).
Kostenlos und Open Source. -- http://intltyper.sf.net/
Ralf Döblitz
2005-10-23 12:57:12 UTC
Permalink
Thomas Hochstein <***@inter.net> schrieb:
[...]
Post by Thomas Hochstein
Momentan würde es mir zunächst mal reichen, wenn die Seite für jeden
Aufruf vorher geparst werden muß, man also nicht "einfach so" mit
POST-Requests darauf werfen kann. Ich vermeine mal etwas von
zusätzlichen Formularfeldern gelesen zu haben, deren Rücklauf geprüft
wird, o.ä., erinnere mich aber nicht mehr genau, wie das nun
funktionieren sollte. Vielleicht kann mich ja jemand in die richtige
Richtung, gerne auch in eine passende Newsgroup schubsen?
Ich erzeuge für so etwas ein Token in einem Hidden-Field, das u.a. einen
Timestamp enthält und mittels Crypto-Hash gesichert wird. Beim POST wird
dann geprüft, ob das Token nicht zu neu (ein Mensch braucht eine gewisse
Zeit zum AUsfüllen eines Formulars, selbst wenn er nur einen einzigen
Fehler korrigieren muß) oder zu alt ist. Für ganz hartnäckige Fälle
speichere ich die Tokens über ihre Lebensdauer um Reuse zu verhindern.
Bisher war das ausreichend um Gewinnspiel-Spammer zu blocken (wird für
die wohl einfach zu teuer).

Süß sind allerdings die, die ihre POSTs an das falsche Formular schicken
(Newsletter-Subscribe statt Gewinnspiel-Teilnahme) - ein paar der Leute
haben die Subscription sogar tatsächlich confirmed (erkennbar an den
speziellen Mailaccounts, die benutzt werden).

Ralf
--
Ralf Döblitz * Schapenstraße 6 * 38104 Braunschweig * Germany
Phone: +49-531-2361223 Fax: +49-531-2361224 mailto:***@doeblitz.net
Homepage: http://www.escape.de/users/selene/
Mit UTF-8 kann man gleichzeitig äöüßÄÖÜæœłø¼½¾¤¹²³¢€£¥¶§¬÷×±©®™¡¿ verwenden.
Thomas Hog
2005-10-24 21:09:29 UTC
Permalink
Post by Thomas Hochstein
Ich weiß, ich weiß, Gästebücher sind eh out. Aber abgesehen davon
würde mich schon interessieren, was sich an einfachen (!) Maßnahmen
zur Spamabwehr da bewährt hat.
Ich kenne jetzt deinen Spam nicht, bei mir hat sich jedoch bewährt,
einfach "HTML deaktiviert" drüberzuschreiben und sämtliche Einträge mit
"<a href" einfach zu verwerfen.

Ist vom Aufwand noch akzeptabel gewesen und seitdem besucht mich der Robot
nicht mehr...

Und das ganz ohne Ausgrenzung irgendwelcher Surfer, die die Seiten
vorher auch schon erreichen konnten(!).

Gruß,
Thomas
Loading...