Script-solution.de » Community » Support-Board » Foren » Sonstige Produkte » Linksolution » SPAM Intrusion

  • Willkommen, Gast!
  • Freitag, 10. Februar 2012, 04:46:23
 
Thema: "SPAM Intrusion" [ Seite 1 ]

Kein neuer Beitrag Connie , 10.09.2006, 16:22
Beitrag #1   

IP: n/a
Rang: * * O O O O O
Registrierung: 08.02.2004, 17:18
 

Flaschengeist mit 28 Punkte, 18 Beiträge
Hallo, liebe Leute!
Seit vielleicht 3 Jahren setzen wir auf jazzhamburg.de die Linkliste ein.

Seitdem Vorschläge erstmal freigegeben werden müssen, haben wir auch eine schöne gepflegte Liste
ohne SPAM und Müll

Nun nervt es uns aber, dass wir in letzter Zeit verstärkt Pseudo-Link-Einträge bekommen, die wir
dann statt sie freizuschalten, eben löschen

aber es nervt.

Habt Ihr eine Möglichkeit, das Vorschlagsscript so abzusichern, daß diese Vorschläge überhaupt
nicht versandt werden? Also die übliche Geschichte: Variablen initialisieren abprüfen etc.?

mir geht es um das Formular in start.php..

ich kann leider nicht sagen, welche Version von linksolution im Einsatz ist, aber Ihr habt uns
damals die Freischaltlösung eingebunden..

Gruss, Connie

 
Kein neuer Beitrag Henrik , 13.09.2006, 15:23
Beitrag #2   

IP: n/a
Rang: * * * * * * O
Registrierung: 03.07.2003, 19:49
Homepage: http://www.script-solution.de
Wohnort: Hamburg
 

Forum-Beherrscher mit 621 Punkte, 601 Beiträge
Hallo,

die einzige Lösung die ich sehe, wäre es, ein Abfragefeld anzugeben, wo der Benutzer
erst einen Code eingeben muss, bevor er den Link eintragen kann.
Pseudo-Link einträge kann man damit zwar auch nicht verhindern, aber man
macht utomatisierten scripten das leben schwerer..
Wenn du eine weise Antwort verlangst, musst du vernünftig fragen.

 
Kein neuer Beitrag Connie , 14.09.2006, 10:43
Beitrag #3   

IP: n/a
Rang: * * O O O O O
Registrierung: 08.02.2004, 17:18
 

Flaschengeist mit 28 Punkte, 18 Beiträge
Hallo Henrik,

danke für die Antwort. Aber nein: ein Captcha ist nicht die Lösung

ich dachte eher:

Variablen im Script initialisieren
kein POST, nur Get

und was der Sicherheitsmöglichkeiten mehr ist,..


 
Kein neuer Beitrag Henrik , 18.09.2006, 12:38
Beitrag #4   

IP: n/a
Rang: * * * * * * O
Registrierung: 03.07.2003, 19:49
Homepage: http://www.script-solution.de
Wohnort: Hamburg
 

Forum-Beherrscher mit 621 Punkte, 601 Beiträge
Wenn alles korrekt eingegeben wird,kann man spameinträge leider nicht von echten einträgen
unterscheiden.
man kan natürlich bestimmte zeichenketten verbieten...
Wenn du eine weise Antwort verlangst, musst du vernünftig fragen.

 
Kein neuer Beitrag Connie , 18.09.2006, 23:35
Beitrag #5   

IP: n/a
Rang: * * O O O O O
Registrierung: 08.02.2004, 17:18
 

Flaschengeist mit 28 Punkte, 18 Beiträge
Henrik, da liegst du falsch

man kann zum Beispiel bestimmte Zeichenketten verbieten
mehr als einen Link
bestimmte Worte

man kann verhindern, dass Einträge per URL übergeben werden können und nicht durch tatsächlichen
Eintrag mit SUBMIT im Formular

und darum eben geht es mir, ich bin aber mit dieser Anwendung nicht mehr sehr vertraut und ich
denke, es wäre eine wünschenswerte Verbesserung Eures Scriptes,

wir bekommen pro Tag bis zu 50 dieser Einträge.. natürlich lösche ich die im Verwaltungsmenü raus,
aber da sollen sie erst gar nicht reinkommen!

Gruss, Connie

 
Kein neuer Beitrag Nils , 21.09.2006, 14:24
Beitrag #6   

IP: n/a
Rang: * * * * * * *
Registrierung: 01.07.2003, 18:55
Homepage: http://www.script-solution.de
Wohnort: Marburg
 

Forum-Gott mit 7594 Punkte, 7360 Beiträge
Hallo,

das man bestimmte Worte verbieten kann hat Henrik doch auch gesagt !?

Nur das ist nunmal keine wirklich gute Lösung, da man damit nie mit 100%iger Sicherheit sagen kann
ob es ein Bot oder ein Mensch war.
Captcha ist da schon eine wesentlich effektivere Methode, da man Bilder, sofern sie gut gemacht
sind, nur sehr sehr schwer automatisiert lesen kann...

mfg Nils

 
Kein neuer Beitrag Connie , 28.01.2007, 09:44
Beitrag #7   

IP: n/a
Rang: * * O O O O O
Registrierung: 08.02.2004, 17:18
 

Flaschengeist mit 28 Punkte, 18 Beiträge
ich komme nochmal auf das Thema zurück, und ich hoffe, dass Ihr inzwischen ein wenig mehr
Sensibilität für mein Problem habt ;=(

ich habe jetzt erstmal den Namen der Formular-Seite geändert. damit die Idioten, die nun bis zu
100x am Tag das Formular meinen befüllen zu müssen, ins Leere laufen

die Übergaben an das Formular müssen abgefangen werden und dürfen nicht einfach an die Datenbank
übergeben werden.

dazu braucht man folgendes:

1) die Variablennamen müssen weniger deutlich sein, also nicht mehr $login oder $passw, sondern
irgendwelche Strings mit Gross- und Kleinschreibung, Ziffern und Buchstaben

auch der Tabellenname muss in einer Variablen stehen und darf nicht in Klartext auftauchen (ls_table)

2) in die Datenbank dürfen nicht mehr $_POST[..] Variablen geschrieben werden sondern diese
Variablen müssen vorher umgesetzt werden in Variablen, die zuerst einmal initialisiert werden und
deren Namen auch wieder nicht sprechend sind

3) die Input-Felder im Formular dürfen keine Klartext-Namen haben sondern auch irgendwelche
Strings, also auf keinen Fall sowas wie OK, das ist zu simpel

4) die IP-Adresse der Eintragungen sollte mitgeloggt werden, dann könnte man einzelne IPs in
.htaccess oder im Script selbst sperren (nicht alle IPs sind dynamisch ... )

Ich schreibe diese Punkte hier, weil es nicht geholfen ist, wenn ein User für sich das anpasst, Ihr
müßt Eure Scripte so absichern und ALLE User müssten per Update ihre Scripte absichern können

Eure Anregung, ich solle ein Captcha einbauen, hilft nicht den anderen Usern, das muss von Euch
geschehen, denn es ist Euer Script, meine ich mal :-O

Kurz gefasst, ich brauche Eure Hilfe und für Eure Scripte wäre es auch gut, wenn Ihr sicherere
Scripte anbötet! :D

 
Kein neuer Beitrag Nils , 28.01.2007, 11:16
Beitrag #8   

IP: n/a
Rang: * * * * * * *
Registrierung: 01.07.2003, 18:55
Homepage: http://www.script-solution.de
Wohnort: Marburg
 

Forum-Gott mit 7594 Punkte, 7360 Beiträge
Connie hat folgendes geschrieben:
ich komme nochmal auf das Thema zurück, und ich hoffe, dass Ihr inzwischen ein wenig mehr
Sensibilität für mein Problem habt ;=(

Naja, du schreibst das alles so als ob es der Weisheit letzte Schluss wäre. Daher haben wir auch
entsprechend reagiert ;)

Connie hat folgendes geschrieben:
1) die Variablennamen müssen weniger deutlich sein, also nicht mehr $login oder $passw, sondern
irgendwelche Strings mit Gross- und Kleinschreibung, Ziffern und Buchstaben

auch der Tabellenname muss in einer Variablen stehen und darf nicht in Klartext auftauchen (ls_table)

Was sollen die Variablennamen damit zu tun haben?
Falls register_globals an ist und die Variablen nicht im Script initialisiert werden, ist es zwar
möglich deren Werte zu manipulieren, aber ansonsten nicht. Bei $login und $passw geht das daher
nicht, da die in der config.php initialisiert werden.
(Ok, wenn man sich ganz blöd anstellt, bekommt man es auch anders hin eine Manipulation zu
erlauben, aber im Normalfall nicht)

Connie hat folgendes geschrieben:
2) in die Datenbank dürfen nicht mehr $_POST[..] Variablen geschrieben werden sondern diese
Variablen müssen vorher umgesetzt werden in Variablen, die zuerst einmal initialisiert werden und
deren Namen auch wieder nicht sprechend sind

Das gleiche wie oben: Bringt rein gar nichts.
Ob du nun direkt die Werte aus $_POST nimmst oder die erst in eine andere Variable kopierst ist
total egal. Ist beides unsicher (da man die Werte natürlich prüfen muss). Und der Name der
Variablen, in die du das kopierst, spielt nun wirklich keine Rolle.

Connie hat folgendes geschrieben:
3) die Input-Felder im Formular dürfen keine Klartext-Namen haben sondern auch irgendwelche
Strings, also auf keinen Fall sowas wie OK, das ist zu simpel

Bringt dir nicht wirklich was. Jemand brauch sich nur deine Seite kurz wieder anzugucken und zu
schauen wie die Felder heißen und schon kann er seinen Bot so umstellen, dass es wieder funktioniert.

Connie hat folgendes geschrieben:
4) die IP-Adresse der Eintragungen sollte mitgeloggt werden, dann könnte man einzelne IPs in
.htaccess oder im Script selbst sperren (nicht alle IPs sind dynamisch ... )

Ja, das stimmt. Das sollte man machen.

Connie hat folgendes geschrieben:
Ich schreibe diese Punkte hier, weil es nicht geholfen ist, wenn ein User für sich das anpasst, Ihr
müßt Eure Scripte so absichern und ALLE User müssten per Update ihre Scripte absichern können

Unabhängig von meinen allgemeinen Kommentaren bisher, ist mir nicht bekannt, dass man in
Linksolution als User (nicht Admin) Einträge erstellen kann. Daher frag ich mich ob du wirklich
unser Linksolution hast oder ob es eine Modifizierte Version ist.
Ok, ich gebe zu, ich weiß im Moment nicht ob Henrik dir das Script angepasst hat. Aber wenn, dann
müssen wir natürlich nicht Linksolution für alle anpassen.

Connie hat folgendes geschrieben:
Eure Anregung, ich solle ein Captcha einbauen, hilft nicht den anderen Usern, das muss von Euch
geschehen, denn es ist Euer Script, meine ich mal :-O

1. Siehe oben
2. Wir haben nun mal so einige Scripte im Angebot (wovon einige älter und schlechter sind und
einige jünger und besser) und es ist leider zeitlich unmöglich alle aktuell zu halten und
weiterzuentwickeln. Sorry.

Connie hat folgendes geschrieben:
Kurz gefasst, ich brauche Eure Hilfe und für Eure Scripte wäre es auch gut, wenn Ihr sicherere
Scripte anbötet! :D

Lad dir aktuelle Scripte von uns runter, dann wirst du sehen, dass diese relativ (absolut sicher
ist gar nichts) sicher sind.

Naja, aber wie es aussieht betrifft uns das ganze gar nicht, da es nur um das Eintragen von Links
geht, welches nicht von uns ist.
Aber um dir nochmal einen allgemeinen Tipp zu geben (auch wenn ich das schon mal gesagt habe):
Sicher das ganze mit einem Captcha Bild. Das ist eine der wenigen Methoden, die es den Bots
wirklich schwer macht automatisch Formulare auszufüllen. Die ganzen anderen Sachen, die du genannt
hast, helfen nur für kurze Zeit, da man einen Bot lediglich kurz anpassen muss um wieder
erfolgreich dein Formular missbrauchen zu können.

mfg Nils

 
Kein neuer Beitrag Henrik , 28.01.2007, 22:35
Beitrag #9   

IP: n/a
Rang: * * * * * * O
Registrierung: 03.07.2003, 19:49
Homepage: http://www.script-solution.de
Wohnort: Hamburg
 

Forum-Beherrscher mit 621 Punkte, 601 Beiträge
Hallo,

ja, bei jazzhamburg.de wird eine geänderte Version eingesetzt, bei der auch User Vorschläge machen
können.


die Punkte von Nils stimmen weitestgehend schon. Eine Umbenennung von Variablen bringt
im Script macht keinen Sinn. Die Inputfeld umzubenennen, hindert vielleicht einige Roboter am
eintragen.

Ich würde dann noch einen Captcha + IP-Logging vorschlagen. Kann ich auch relativ schnell umsetzen,
wenn gewünscht.

Bitte per Mail bei mir melden dann: henrik[-et-]script-solution.de

Viele Grüße,
Henrik

Wenn du eine weise Antwort verlangst, musst du vernünftig fragen.

 
Kein neuer Beitrag Connie , 30.01.2007, 17:40
Beitrag #10   

IP: n/a
Rang: * * O O O O O
Registrierung: 08.02.2004, 17:18
 

Flaschengeist mit 28 Punkte, 18 Beiträge
Nils,

also mit User meine ich Admin (user war in meinem Text "euer User" aber "mein Admin";)src="bs/images/smileys/wink.png" />

ich habe eine Version, bei der in ein Formular Linkvorschläge eingetragen werden
diese müssen dann vom Admin freigeschaltet werden
das ist damals als Erweiterung für uns gemacht worden, ich dachte das sei längst ein Feature des
Scriptes geworden

ich habe in meiner Mail die Punkte aufgelistet, die Schwachstellen sind bei Scripten die per
Formular versorgt werden und die mir als Möglichkeiten, wo man etwas absichern kann, inzwischen
begegnet sind

deine Reaktion darauf finde ich sehr überheblich
das Captcha kann nicht der Weisheit letzter Schluß sein, wenn die Parameter auch ohne über das
Formular zu gehen übergeben werden und das ist ja wohl der Fall, ich habe die Datei umgesetzt und
umbenannt auf der Webseite und erhalte genausoviel von diesen Drecks-Einträgen wie vorher
also müssen die ja wohl anders ankommen

ich bin ziemlich desillusioniert, daß Ihr das so cool nimmt
CrossScriptingIntrusion ist ja wohl keine Idee von mir, das hab ich mir ja nicht ausgedacht,
aber ich hatte erwartet, daß Euch das irgendwie doch tangiert.

Tut es anscheinend nicht. Interessiert Euch nicht, weil es nicht in Euren Horizont passt.
Sorry. muss mir eine andere Lösung suchen, ich habe keine Lust, fast 100 Einträge pro Tag löschen
zu müssen mit diesem ganzen Dreck in den Einträgen :-/

 
Kein neuer Beitrag Henrik , 30.01.2007, 18:06
Beitrag #11   

IP: n/a
Rang: * * * * * * O
Registrierung: 03.07.2003, 19:49
Homepage: http://www.script-solution.de
Wohnort: Hamburg
 

Forum-Beherrscher mit 621 Punkte, 601 Beiträge
Klar, wer will schon 100 Einträge am Tag löschen.... Ich verstehe ja die Verärgerung..
Ich glaube die Horizontdebatte lassen wir mal, da sind wir zu professionell um uns darauf
einzulassen.
Eine Captcha-Lösung ist eine Sache von 5 Minuten, da der Code dafür schon vorhanden ist,

Die Robots suche halt nach formularen, analysieren sie, müllen die variablen zu und schicken sie
ab. klar, man kann auch prüfen,
ob das von außen geschieht, was aber nicht zwangsläufig sein muss. oder man kann bestimmte
verhaltensmuster
analysieren. aber wozu den aufwand treiben, wenn ein captcha es auch tut.

Do the simplest thing possible!!!

vg,
Henrik
Wenn du eine weise Antwort verlangst, musst du vernünftig fragen.
Dieser Beitrag wurde insgesamt 2 mal editiert. Das letzte mal 30.01.2007, 18:11 von Henrik.

 
Kein neuer Beitrag Nils , 30.01.2007, 18:10
Beitrag #12   

IP: n/a
Rang: * * * * * * *
Registrierung: 01.07.2003, 18:55
Homepage: http://www.script-solution.de
Wohnort: Marburg
 

Forum-Gott mit 7594 Punkte, 7360 Beiträge
Connie hat folgendes geschrieben:
deine Reaktion darauf finde ich sehr überheblich

Überheblich?
Sorry, aber wenn jemand hier ankommt und nur Unsinn erzählt, dies aber als absolute Wahrheit
darstellt, dann kann ich da nicht anders reagieren. Ich hätte ganz anders reagiert, wenn du die
genannten Dinge als wirkliche Vorschläge (d.h. als eine Frage, kein Befehl) rübergebracht hättest.

Connie hat folgendes geschrieben:
das Captcha kann nicht der Weisheit letzter Schluß sein, wenn die Parameter auch ohne über das
Formular zu gehen übergeben werden und das ist ja wohl der Fall, ich habe die Datei umgesetzt und
umbenannt auf der Webseite und erhalte genausoviel von diesen Drecks-Einträgen wie vorher
also müssen die ja wohl anders ankommen

Das zeigt mal wieder, dass du kein Plan hast wovon du redest (aber es so darstellst).
Natürlich muss man das Formular nicht benutzen um Einträge zu erstellen. Ich kann mir auch ein
Programm schreiben und per HTTP eine POST-Anfrage stellen und dort die entsprechenden Werte
übergeben.
Es kommt darauf an, was das Script, welches die Eingaben für den Link entgegen nimmt, damit macht.
Und wenn du dort prüfst ob ein z.B. in einer Session abgelegter Wert (der Code auf dem Bild) dem
Wert, der per POST (d.h. im Normalfall aus dem Formular) kommt, entspricht, dann kann ein Bot
keinen Link eintragen ohne das Bild lesen zu können. Denn an den Wert in der Session kommt niemand
ran.
Eine Zahlen-/Buchstabenfolge automatisiert aus einem Bild zu "lesen" ist alles andere als trivial.
Für Menschen ist dies hingegen einfach. Daher ist dies ein recht effektiver Schutz gegen Spam (wenn
auch kein perfekter).

Connie hat folgendes geschrieben:
ich bin ziemlich desillusioniert, daß Ihr das so cool nimmt
CrossScriptingIntrusion ist ja wohl keine Idee von mir, das hab ich mir ja nicht ausgedacht,
aber ich hatte erwartet, daß Euch das irgendwie doch tangiert.

Tut es anscheinend nicht. Interessiert Euch nicht, weil es nicht in Euren Horizont passt.
Sorry. muss mir eine andere Lösung suchen, ich habe keine Lust, fast 100 Einträge pro Tag löschen
zu müssen mit diesem ganzen Dreck in den Einträgen :-/

Wir versuchen dir die ganze Zeit weiterzuhelfen, nur scheinbar möchtest du dir nicht helfen lassen,
sondern möchtest, dass deine (total sinnlosen) Vorschläge von uns umgesetzt werden.

mfg Nils


n/a n/a 1     ( Anzeige: 1 - 12 , Gesamt: 12 ) n/a n/a
User in diesem Thema: 0 Registrierte, 0 Versteckte, 1 Gast, 0 Bots
Keine
Thema-Aktionen:

Toggle Ähnliche Themen zu "SPAM Intrusion"
  Antworten Aufrufe Themeneröffnung Letzter Beitrag
Keine neuen Beiträge, nicht wichtig Keine neuen Beiträge, kein 'heißes Thema'
Keine neuen Beiträge, offen Keine neuen Beiträge, nicht verschoben 		  Problem mit Spam
Boardsolution » Boardsolution v1.4x
 4 4500 31.07.2010, 00:31
Von: hans001 		01.08.2010, 15:26
Von: Rafioso Zum letzten Beitrag
Keine neuen Beiträge, nicht wichtig Keine neuen Beiträge, kein 'heißes Thema'
Keine neuen Beiträge, offen Keine neuen Beiträge, nicht verschoben 		  Spambots in der Mitgliederliste
Boardsolution » Boardsolution v1.4x » Boardsolution v1.40 Beta
 3 3610 20.03.2009, 07:45
Von: Hendriks_Island 		04.05.2009, 09:39
Von: Nils Zum letzten Beitrag
Keine neuen Beiträge, nicht wichtig Keine neuen Beiträge, kein 'heißes Thema'
Keine neuen Beiträge, offen Keine neuen Beiträge, verschoben 		  Spam bei E-Mails
Allgemeines » Allgemeines Board
 2 1639 18.09.2007, 16:47
Von: Mars 		18.09.2007, 17:15
Von: Mars Zum letzten Beitrag
Keine neuen Beiträge, nicht wichtig Keine neuen Beiträge, 'heißes Thema'
Keine neuen Beiträge, offen Keine neuen Beiträge, nicht verschoben 		  Spamproblem   Seiten 1 2 3 4 ]
Sonstige Produkte » Gbooksolution
 46 8179 13.10.2005, 20:45
Von: ckl 		29.10.2006, 06:36
Von: Nils Zum letzten Beitrag
Keine neuen Beiträge, nicht wichtig Keine neuen Beiträge, kein 'heißes Thema'
Keine neuen Beiträge, offen Keine neuen Beiträge, nicht verschoben 		  Spam Problem
Sonstige Produkte » Newslettersolution
 1 4109 31.08.2006, 01:16
Von: ckl 		31.08.2006, 21:58
Von: Henrik Zum letzten Beitrag
  • 0.189323 Sek., 10 DB-Zugriffe, 6.430 MiB
  • Boardsolution v1.43 | © Nils Asmussen 2003-2009
Valid XHTML and CSS © 2003 - 2009 script-solution.de, Powered by Joomla!