Aktuelle Stable: 1.6.0.3 - Aktuelle Beta: 1.7.0.0 / 04.05.2017
Willkommen auf DZCP.deUser online: 0
Forum
deV!L`z Clanportal Forum: Hauptforum Thread: KeyCaptcha
KeyCaptcha Seite: «  1 2 »
#1 am 07.09.2017 um 07:39 Uhr Diesen Beitrag zitieren
[EXP]DirtyHarry
User
Posts: 343

MoinMoin liebe Admis

 

Warum baut ihr nicht das KeyCaptcha auf eure Seite ? Alle 2 Tage Reg.Bots die alles zuspammen ist doch echt ätzend.

 

10-15 emails zu meinen Abbonierten Themen wegen des Bots ist doch Mist !

 

Gruß

 


[EXP]DirtyHarry

 

Non-Expendables

1.6.0.2 Testseite

1.6.0.3 Testseite

IP gespeichert
#12 am 11.09.2017 um 06:59 Uhr Diesen Beitrag zitieren
[EXP]DirtyHarry
User
Posts: 343
koma schrieb:

@ [EXP]DirtyHarry für die Spam Reg habe ich mit Lukas mal einen HoneyPot geschrieben wenn du willst kannst du den mal bei dir testen???

-------

Sehr gern !

 

 



zuletzt editiert von [EXP]DirtyHarry am 11.09.2017 06:59 Uhr 



[EXP]DirtyHarry

 

Non-Expendables

1.6.0.2 Testseite

1.6.0.3 Testseite

IP gespeichert
#13 am 11.09.2017 um 12:04 Uhr Diesen Beitrag zitieren
Hammermaps.de DEV
Coder
Posts: 350
reVerB schrieb:

Wenn ich da einmal einhängen darf. DZCP hat was die Bots angeht ein grundlegendes Architektur-Problem.

 

1. Formulare umgehen

Das Problem ist, das die Formulare weder geladen noch manuell ausgefüllt werden müssen. Dadurch lassen sich mit CURL-Skripts innerhalb einer Minute 10 Beiträge und mehr posten (abhängig von Latenz und Traffic), ohne das sich DZCP dagegen wehrt. Ein CSRF-Protection Key in einem "Type=hidden" kann dabei Abhilfe schaffen. Zudem sollte man die Formulare erst nach Ablauf einer gewissen Zeit aktzeptieren. Dabei rechnet man mit 500 ms in beide Richtung + X-Sekunden für das Ausfüllen des Formulares. Das hat zur Folge, das CURL-Skripts/Bots angepasst werden müssen und somit die Effizienz erheblich sinkt und das maschinelle spammen unwirtschaftlicher wird.

 

2. Flood-System

Ein weiterer wichtiger Punkt ist ein modulspezifisches Flood-System mit IP-Adressbindung, um das fluten mit Multiaccounts zu unterbinden. Ein solcher Flood-Lock lässt nur einen Beitrag z.B. alle 2 Minuten pro Modul zu. Das bedeutet jede IP kann in dieser Zeitspanne nur einen Beitrag z.B. im Forum, einen als Newskommentar usw. machen. Dadurch wird das ganze selbst bei manuellem Spam ziemlich unwirtschaftlich und kann auf Dauer weiteren Spam unterbinden.

 

3. Admintool + Inhaltsanalyse

Um die Administration kommt kein Webmaster herum und vollständig Spam kann man sowieso nicht unterbinden. Aber man kann die Administrationsarbeit deutlich erleichtern, in dem man den Inhalt der Beiträge analysiert. Dazu kann man einen Schlagwort-Sucher verwenden, den Typ des Inhalts analysieren (wenn zum Beispiel X % des Inhalts aus Hyperlinks besteht), Sprache erfassen (Deutsch als Hauptsprache aber Texte in anderen Fremdsprachen) und die entsprachenden Beiträge gesondert listen. So kann man die Beiträge in einer Liste direkt sehen, prüfen und entweder löschen oder als False-Positive einstufen (das ganze ist im Grunde eine Heuriistik für Beiträge). Zusätzlich kann man, wenn man einen Beitrag löscht, den Verfasser-Account auf Wusch auch direkt sperren. Eine Funktion mit einer One-Click-Add Methode für Schlagwörter aus dem Beitrag wäre auch eine gute Funktion. Außerdem sollte man eine direkte Verlinkung zu einem Whois-Service einbauen um zu schauen, aus welcher Region die IP kommt. Stammt sie aus einem Land, das nicht als Zielgruppenland angedacht ist, kann entweder den Anschluss (komplette IP) oder die Range (die ersten 2 oder 3 Blöcke) gesperrt werden. Wenn man es richtig implementiert, lernt das System automatisch und mit der Zeit wird der Spam immer weniger. Die Grunddaten der Filter kann man nach einer gewissen Zeit auch exportieren und seinen Nutzern zum Download anbieten.

 

4. Registrierung

E-Mailvalidierung ist das A und O. Ohne die würde es nurnoch Captcha in Verbindung mit CSRF-Protection geben. Die E-Mailvalidierung sollte immer per Default angeschaltet sein und während der Installationsroutine sollte man auch die SMTP-Daten angeben können. Das Umstellen auf Captcha sollte Optional zwar angeboten werden. Aber default sollte E-Mail aktiviert sein. Nutzer von Freehosting-Angeboten und begrenztem E-Mail-Kontingent haben dann selber schuld und müssen mit dem unsicheren Captcha vorlieb nehmen. In der heutigen Zeit ist Webspace mit großem oder unbegrenztem E-Mailkontingent lächerlich günstig und wer eine Community-Fähige Webseite betreiben will, der sollte die Kosten für so einen Space nicht scheuen. Schließlich gibt es TL-Domains auch nicht für lau.

 

https://www.manitu.de/webhosting/ ab 2,50 Euro

https://www.netcup.de/hosting/#vergleich ab 1,19 Euro

https://www.hosteurope.de/WebHosting/Vergleichen/ ab 3,99 Euro

 

Ein Hosting Paket kostet weniger als eine Schachtel Kippen und sind durch die Bank weg fast alle besser als jedes kostenlose Angebot. Und Domain ist ebenfalls immer dabei! Und das waren nur die ersten drei nach der Suche mit Google. Da muss man als Entwickler auch mal Arsch sein. Man kann nicht jeden Bevormunden. Aber wenn man sich dann vom Gewissen her besser fühlt, kann man ja ReCaptcha als Addon anbieten. Damit macht sich der Webmaster zwar von Google weiter abhängig. Aber am Ende muss er es ja selber wissen. Aber ReCaptcha fest ins System integrieren halte ich persönlich für den falschen Weg. Die Software sollte ohne fremde API funktionsfähig sein.

 

Das war jetzt mal mein Kommentar zu dem Thema

 

PS: Noch ein kleiner Nachtrag. Was auch immer unterschätzt wird, sind ID's. Dadurch, das ID's einfache Integer sind, kann ein Zufallszahlen-Generator die ID z.B. eine Forumthreads auswürfeln. Daher kommt es auch hier zu Spam in alten Threads und der Bot muss keinen Links Folgen. Man könnte hier die Threadheadline nehmen, Leerzeichen gegen Underscores austauschen, Sonderzeichen entfernen und Umlaute ausschreiben (Ä = ae). Dann hängt man noch eine 4 oder 5 stellige Zufallszahl dahinter, um Kollisionen zu vermeiden und schon kann ein Bot keine Thread-ID auswürfeln.



Danke für deine Ideen, einiges hört sich sehr gut an und werde das warschreinlich in der neuen seite brücksichtigen.

 
IP gespeichert
Seite: «  1 2 »