Martin Lemke
2007-01-10 20:30:30 UTC
Was mich mal hinsichtlich Gästebuch-, Foren- und Blog-Kommentar-Spam
interessieren würde, sind die Erfahrungen damit. Besteht das SDpma-Problem
nur bei Standard-Software (also typischerweise Open source-Software) oder
auch bei selbst entwickenten Lösungen?
In ersterem Fall würde es den Spammern ja genügen, die Parameter der
jeweiligen Software zu kennen (z. B. für Wordpress oder phpBB), um per Post
request beliebig viele Kommentare bzw. Beiträge an den URL posten zu
können.
Ein individuelles Formular zu analysieren, bereitet etwas mehr Aufwand,
wobei dies nicht unmöglich ist. Da Spamming und Despammiung immer auch
einen Wettlauf darstellt, bedeutet dies natürlich, dass Algorithmen, die
heute greifen, schon morgen unwirksam sein können.
Hintergrund meiner Frage: Derzeit könnte die Umbenenntung von
Formularfeldern von Standardsoftware noch immer einen wirksamen
Schutzbieten.
Beispiel punBB:
Das Feld für den Usernamen heißt $_POST['req_username']. Benennt man dieses
Feld um zu meinetwergen $_POST['username'] fällt jeder Spammer bei der
Längenprüfung des Usernamen durch, weil nichts ankommt und folglich sind
Spammer, die die Standardfeldnamen zur Grundlage nehmen, ausgegrenzt.
Das ist auf jede ander Standardsoftware übertragbar. Aber es ist zu
erwarten, dass diese Lösung möglicherweise nicht bis alle Ewigkeit
funktioniert. Aber derzeit scheint das noch eine wirksame Strategie
darzustellen.
Vorteil dieses Verfahrens: Es gibt praktisch keine false positives.
Martin
interessieren würde, sind die Erfahrungen damit. Besteht das SDpma-Problem
nur bei Standard-Software (also typischerweise Open source-Software) oder
auch bei selbst entwickenten Lösungen?
In ersterem Fall würde es den Spammern ja genügen, die Parameter der
jeweiligen Software zu kennen (z. B. für Wordpress oder phpBB), um per Post
request beliebig viele Kommentare bzw. Beiträge an den URL posten zu
können.
Ein individuelles Formular zu analysieren, bereitet etwas mehr Aufwand,
wobei dies nicht unmöglich ist. Da Spamming und Despammiung immer auch
einen Wettlauf darstellt, bedeutet dies natürlich, dass Algorithmen, die
heute greifen, schon morgen unwirksam sein können.
Hintergrund meiner Frage: Derzeit könnte die Umbenenntung von
Formularfeldern von Standardsoftware noch immer einen wirksamen
Schutzbieten.
Beispiel punBB:
Das Feld für den Usernamen heißt $_POST['req_username']. Benennt man dieses
Feld um zu meinetwergen $_POST['username'] fällt jeder Spammer bei der
Längenprüfung des Usernamen durch, weil nichts ankommt und folglich sind
Spammer, die die Standardfeldnamen zur Grundlage nehmen, ausgegrenzt.
Das ist auf jede ander Standardsoftware übertragbar. Aber es ist zu
erwarten, dass diese Lösung möglicherweise nicht bis alle Ewigkeit
funktioniert. Aber derzeit scheint das noch eine wirksame Strategie
darzustellen.
Vorteil dieses Verfahrens: Es gibt praktisch keine false positives.
Martin
--
homepage: http://newblog.maaaddin.de/
feed: http://newblog.maaaddin.de/rss/descfeed.xml
homepage: http://newblog.maaaddin.de/
feed: http://newblog.maaaddin.de/rss/descfeed.xml