Forum-Spamanmeldungen?

**lbccaleb**

Also hatte das in meinem Forum auch, und ich habe es einfach eingestellt das die nutzer von nem mod oder Admin akzeptiert werden müssen. Das hat geholfen.

Allerdings sollten die Neuanmeldungenhin und wieder mal aussortiert werden, da du sonnst die Neuanmeldungen nicht mitbekommst, die keine Spam-Bots sind.

Edit:
Das wird wohl auch nur funktionieren, wenn du keine 400.000 Neuanmeldungen am Tag hast^^

**himitsu**

@patti
aus eigener Erfahrung waren die Ergebnisse oft im einstelligen oder zumindestens im unteren zweistelligen Bereich.

Wenn man also irgendeine höhere einstellige Nummer in das Feld einträg und absendet ... dieses mehrmals wiederholt, ddann wird irgendwann zufällig mal die Antword auf die Frage mit deinem zufällig gewähltem Wert übereinstimmen.

Was scheinbar noch recht zuverlässig zu sein scheint, daß sind so animierte Flash-Capatchas.
Und bei einer 5- bis 6-stelligen Zahl bringt Bruteforce auch nicht mehr soviel, wie bei der 1- bis 2-stelligen Rechenaufgabe.

**stahli**

Ok, danke für die Antworten.
Ich werde mal die Entwicklung beobachten und schauen, ob ich das Problem mit möglichst wenig Aufwand minimieren kann.
Eigentlich will ich mich ja lieber um mein Projekt kümmern...

Nachmal Danke an alle.

**Matze**

Zitat von wicht:

[...] aber ich vermute, dass die Spam-Bots darauf ausgelegt sind, weit verbreitete Foren-Software zu überlisten, und ich persönlich halte die Dinger nicht unbedingt für besonders intelligent.

Da gibt's solche uns solche. Die meisten analysieren die HTML-Formulare und auch bei selbstgeschriebenen Seiten füllen die das z.T. korrekt aus. Je aussagekräftiger dein Code (eigentlich guter Programmierstil), desto leichter haben sie es. id="email" verrät den Bots gleich, dass dort eine Mail-Adresse hin muss. Aber die probieren auch gerne mal wild durch.
Das ist die Erfahrung, die ich mit einigen Websites gemacht habe.

Zitat von wicht:

Jetzt wird man mir sagen "wer kennt diese Seite schon, finden die Bots das überhaupt??"

Wieso sollte ich mich das fragen? Sobald deine Seite irgendwo verlinkt ist oder gar in Suchmaschinen auftaucht, finden Bots die auch.

Zitat von wicht:

Meine Empfehlung ist deswegen es selbst zu bauen, nichts vorgefertigtes zu nehmen, und es 'langsam' anzugehen.

Es gibt brauchbare vorgefertigte Captchas, aber selbst die einfachsten eigenen Hindernisse (habe oben Beispiele erwähnt) reichen normalerweise völlig. Es gibt auch Möglichkeiten, ohne Captchas Bots zu blocken. Diese verstehen z.B. noch kein JavaScript, zumindest ist mir noch keiner untergekommen, der JS interpretiert. Gut, das sperrt die Leute erstmal aus, die das im Browser deaktiviert haben, aber es gibt auch andere Lösungen.

Zitat von wicht:

Es gibt z.B. diverse Foren, wo man, obwohl man ein Mensch ist, das falsche Captcha eingibt, weil da so viele Linien, Verwischungen und so weiter drin sind, dass es kaum noch lesbar ist... Die Seite sollte also benutzbar bleiben und die Bots abwehren - nicht dazu noch menschliche Benutzer, wovon einige Foren meiner Meinung nach nicht weit entfernt sind...

Ganz meine Meinung. Das ist das, was ich oben auch angesprochen habe.

**patti**

Zitat von Matze:

Es gibt auch Möglichkeiten, ohne Captchas Bots zu blocken. Diese verstehen z.B. noch kein JavaScript, zumindest ist mir noch keiner untergekommen, der JS interpretiert.

Das kann ich auch bestätigen. Habe früher ein vorgefertigtes Gästebuch von 1&1 auf meiner Internetseite verwendet. Zunächst hatte ich das Gästebuch ganz einfach verlinkt, allerdings haben sich da die Spam-Einträge sehr schnell vermehrt. Habe dann das Gästebuch neu verlinkt (neue Adresse) und den Link dynamisch per JavaScript in das HTML-Dokument geschrieben - und siehe da: die nervigen Spam-Einträge blieben aus. Aber wie du schon gesagt hast: diese Methode sperrt halt nicht nur Spam-Bots sondern auch Besucher mit deaktiviertem JavaScript aus...

**Assarbad**

Moin, also ich benutze seit Jahren eine andere Methode ohne CAPTCHA und daher auch für Blinde benutzbar. Man nehme einen Salt-Wert (bei mir ein String), man nehme diverse Eigenschaften des Clients (bspw. IP usw.) die man nicht mitschleppen muß, sondern die bei der nächsten Anfrage auch da sein werden.

Im ersten Schritt berechnet man anhand des Originalnamens der ID eines Feldes dessen f(ID). Da ich beim Empfang des abgeschickten Formulars (bspw. für die Anmeldung) den Salt-Wert kenne und auch wieder f(ID) errechnen kann und daher meine Daten zum Auswerten zur Hand habe. Als f() kann dabei eine Hashfunktion ala SHA1 oder MD5 funktionieren.

Durch den Salt-Wert wird es auch schwer das zu umgehen. Ich persönlich benutze auch das Datum, was zugegebenermaßen um 0:00 herum ein Problem ist, aber durch den Nutzen verschmerzbar wird.

Hat mir gegen den massenmäßigen Ansturm damals geholfen und die Analyse der paar die danach durchkamen schien zu bestätigen, daß es sich nicht um Bots handelte.

Auf dieser Methode aufbauend werde ich das Forum an weiteren Ecken und Enden sichern, nicht nur bei der Anmeldung selber. Der Aufwand ist sehr überschaubar, das Prinzip relativ einfach und ich hätte es vielleicht verkaufen sollen ... aber egal

**Stevie**

Keine Ahnung, welche Foren Software du nutzt, aber ich hab selber ein PHPBB laufen und hab dort die Sicherheitsfrage und Account Aktivierung durch den Admin eingeschaltet und hab nahezu Null Spamaccounts. Ich muss dazu sagen, dass es ein kein hochfrequentiertes Forum ist, aber trotzdem.

**Assarbad**

Zitat von Stevie:

Keine Ahnung, welche Foren Software du nutzt, aber ich hab selber ein PHPBB laufen und hab dort die Sicherheitsfrage und Account Aktivierung durch den Admin eingeschaltet und hab nahezu Null Spamaccounts. Ich muss dazu sagen, dass es ein kein hochfrequentiertes Forum ist, aber trotzdem.

Okay, mein Forum hat einen Pagerank von 6. Zum Vergleich, die DP hat einen Pagerank von 4. Es läuft auch auf phpBB, aber noch nicht 3.x.

**Matze**

Ich denke, Stefan meint die Software des Themenerstellers, nicht deine.

Zitat von Assarbad:

Im ersten Schritt berechnet man anhand des Originalnamens der ID eines Feldes dessen f(ID). Da ich beim Empfang des abgeschickten Formulars (bspw. für die Anmeldung) den Salt-Wert kenne und auch wieder f(ID) errechnen kann und daher meine Daten zum Auswerten zur Hand habe. Als f() kann dabei eine Hashfunktion ala SHA1 oder MD5 funktionieren.

Auch wenn ich das nicht einbauen werde: Wie meinst du das genau?

Du hast etwas wie <input type="text" id="mytext" /> Nun berechnest du z.B. den MD5-Hash von "mytext": 947ef8c8db156a568d5974d71f7638f4
Dann hast du einen Salt-String, Datum/Uhrzeit, IP etc. pp. und was machst du damit?

Was passiert, wenn ich z.B. per Programm die POST-Daten sende, z.B. die von "mytext"?

**rollstuhlfahrer**

eine Wikimedia-Erweiterung die Bots aussperren will, arbeitet mit unsichtbaren Feldern. Du baust also weitere Input-Felder ein, die du mit Hilfe von CSS ausblendest. Im HTML-Code stehen die trotzdem drin. Wenn die dann so schön aussagekräftige Namen haben wie EMail, dann tragen da Bots auch was ein, der normale User aber nicht, weil er das Feld nicht sieht. Schon hast du eine ganz einfache Unterscheidung zwischen Bot und Mensch, die sogar ohne Javascript auskommt. Nur die Kommandozeilenbrowser-Benutzer könnten sich verarscht vorkommen. Aber bitte: Wer verwendet heutzutage in Zeiten von IE (fast) 9, Firefox (fast) 4 und Google Crome 2 noch einen Browser der kein CSS drauf hat?

Bernhard