Aktuelle Stable: 1.6.0.3 - Aktuelle Beta: 1.7.0.0 / 04.05.2017
Willkommen auf DZCP.deUser online: 0
Verwende bitte "https://www.dzcp.de" um dich über eine verschlüsselte Verbindung anzumelden!
Forum
deV!L`z Clanportal Forum: Hauptforum Thread: KeyCaptcha
KeyCaptcha Seite: «  1 2 »
#1 am 07.09.2017 um 08:39 Uhr Diesen Beitrag zitieren
[SMEK]DirtyHarry
User
Posts: 383

MoinMoin liebe Admis

 

Warum baut ihr nicht das KeyCaptcha auf eure Seite ? Alle 2 Tage Reg.Bots die alles zuspammen ist doch echt ?tzend.

 

10-15 emails zu meinen Abbonierten Themen wegen des Bots ist doch Mist !

 

Gru?

 


[SMEK]DirtyHarry

 

IP gespeichert
#12 am 11.09.2017 um 07:59 Uhr Diesen Beitrag zitieren
[SMEK]DirtyHarry
User
Posts: 383
koma schrieb:

@ [EXP]DirtyHarry f?r die Spam Reg habe ich mit Lukas mal einen HoneyPot geschrieben wenn du willst kannst du den mal bei dir testen???

-------

Sehr gern !

 

 



zuletzt editiert von [EXP]DirtyHarry am 11.09.2017 06:59 Uhr 



[SMEK]DirtyHarry

 

IP gespeichert
#13 am 11.09.2017 um 13:04 Uhr Diesen Beitrag zitieren
Hammermaps.de DEV
Coder
Posts: 360
reVerB schrieb:

Wenn ich da einmal einh?ngen darf. DZCP hat was die Bots angeht ein grundlegendes Architektur-Problem.

 

1. Formulare umgehen

Das Problem ist, das die Formulare weder geladen noch manuell ausgef?llt werden m?ssen. Dadurch lassen sich mit CURL-Skripts innerhalb einer Minute 10 Beitr?ge und mehr posten (abh?ngig von Latenz und Traffic), ohne das sich DZCP dagegen wehrt. Ein CSRF-Protection Key in einem "Type=hidden" kann dabei Abhilfe schaffen. Zudem sollte man die Formulare erst nach Ablauf einer gewissen Zeit aktzeptieren. Dabei rechnet man mit 500 ms in beide Richtung + X-Sekunden f?r das Ausf?llen des Formulares. Das hat zur Folge, das CURL-Skripts/Bots angepasst werden m?ssen und somit die Effizienz erheblich sinkt und das maschinelle spammen unwirtschaftlicher wird.

 

2. Flood-System

Ein weiterer wichtiger Punkt ist ein modulspezifisches Flood-System mit IP-Adressbindung, um das fluten mit Multiaccounts zu unterbinden. Ein solcher Flood-Lock l?sst nur einen Beitrag z.B. alle 2 Minuten pro Modul zu. Das bedeutet jede IP kann in dieser Zeitspanne nur einen Beitrag z.B. im Forum, einen als Newskommentar usw. machen. Dadurch wird das ganze selbst bei manuellem Spam ziemlich unwirtschaftlich und kann auf Dauer weiteren Spam unterbinden.

 

3. Admintool + Inhaltsanalyse

Um die Administration kommt kein Webmaster herum und vollst?ndig Spam kann man sowieso nicht unterbinden. Aber man kann die Administrationsarbeit deutlich erleichtern, in dem man den Inhalt der Beitr?ge analysiert. Dazu kann man einen Schlagwort-Sucher verwenden, den Typ des Inhalts analysieren (wenn zum Beispiel X % des Inhalts aus Hyperlinks besteht), Sprache erfassen (Deutsch als Hauptsprache aber Texte in anderen Fremdsprachen) und die entsprachenden Beitr?ge gesondert listen. So kann man die Beitr?ge in einer Liste direkt sehen, pr?fen und entweder l?schen oder als False-Positive einstufen (das ganze ist im Grunde eine Heuriistik f?r Beitr?ge). Zus?tzlich kann man, wenn man einen Beitrag l?scht, den Verfasser-Account auf Wusch auch direkt sperren. Eine Funktion mit einer One-Click-Add Methode f?r Schlagw?rter aus dem Beitrag w?re auch eine gute Funktion. Au?erdem sollte man eine direkte Verlinkung zu einem Whois-Service einbauen um zu schauen, aus welcher Region die IP kommt. Stammt sie aus einem Land, das nicht als Zielgruppenland angedacht ist, kann entweder den Anschluss (komplette IP) oder die Range (die ersten 2 oder 3 Bl?cke) gesperrt werden. Wenn man es richtig implementiert, lernt das System automatisch und mit der Zeit wird der Spam immer weniger. Die Grunddaten der Filter kann man nach einer gewissen Zeit auch exportieren und seinen Nutzern zum Download anbieten.

 

4. Registrierung

E-Mailvalidierung ist das A und O. Ohne die w?rde es nurnoch Captcha in Verbindung mit CSRF-Protection geben. Die E-Mailvalidierung sollte immer per Default angeschaltet sein und w?hrend der Installationsroutine sollte man auch die SMTP-Daten angeben k?nnen. Das Umstellen auf Captcha sollte Optional zwar angeboten werden. Aber default sollte E-Mail aktiviert sein. Nutzer von Freehosting-Angeboten und begrenztem E-Mail-Kontingent haben dann selber schuld und m?ssen mit dem unsicheren Captcha vorlieb nehmen. In der heutigen Zeit ist Webspace mit gro?em oder unbegrenztem E-Mailkontingent l?cherlich g?nstig und wer eine Community-F?hige Webseite betreiben will, der sollte die Kosten f?r so einen Space nicht scheuen. Schlie?lich gibt es TL-Domains auch nicht f?r lau.

 

https://www.manitu.de/webhosting/ ab 2,50 Euro

https://www.netcup.de/hosting/#vergleich ab 1,19 Euro

https://www.hosteurope.de/WebHosting/Vergleichen/ ab 3,99 Euro

 

Ein Hosting Paket kostet weniger als eine Schachtel Kippen und sind durch die Bank weg fast alle besser als jedes kostenlose Angebot. Und Domain ist ebenfalls immer dabei! Und das waren nur die ersten drei nach der Suche mit Google. Da muss man als Entwickler auch mal Arsch sein. Man kann nicht jeden Bevormunden. Aber wenn man sich dann vom Gewissen her besser f?hlt, kann man ja ReCaptcha als Addon anbieten. Damit macht sich der Webmaster zwar von Google weiter abh?ngig. Aber am Ende muss er es ja selber wissen. Aber ReCaptcha fest ins System integrieren halte ich pers?nlich f?r den falschen Weg. Die Software sollte ohne fremde API funktionsf?hig sein.

 

Das war jetzt mal mein Kommentar zu dem Thema

 

PS:?Noch ein kleiner Nachtrag. Was auch immer untersch?tzt wird, sind ID's. Dadurch, das ID's einfache Integer sind, kann ein Zufallszahlen-Generator die ID z.B. eine Forumthreads ausw?rfeln. Daher kommt es auch hier zu Spam in alten Threads und der Bot muss keinen Links Folgen. Man k?nnte hier die Threadheadline nehmen, Leerzeichen gegen Underscores austauschen, Sonderzeichen entfernen und Umlaute ausschreiben (? = ae). Dann h?ngt man noch eine 4 oder 5 stellige Zufallszahl dahinter, um Kollisionen zu vermeiden und schon kann ein Bot keine Thread-ID ausw?rfeln.



Danke f?r deine Ideen, einiges h?rt sich sehr gut an und werde das warschreinlich in der neuen seite br?cksichtigen.

 
IP gespeichert
Seite: «  1 2 »