05.11.2010, 10:26:26
Hi @all
Ich bin gerade den umgekehrten Weg gegangen und hab die Captchas jetzt deaktiviert ... 8)
Stattdessen habe ich einen Honigtopf in das Formular eingebaut, der (zumindest bisher) auch wunderbar funktioniert:
Das Input-Feld "email" ist jetzt per CSS ausgeblendet ("display: none;") - also für Menschen im Normalfall nicht sichtbar.
In dieselbe Zelle hab ich ein weiteres Feld namens "blah1" eingebaut, das sichtbar ist. In dieses Feld wird von Menschen die tatsächliche eMail-Adresse eingetragen und es wird in der newentry.php wie das bisherige email-Feld behandelt.
Da Spambots ohne CSS "surfen", "sehen" sie das eigentlich ausgeblendete Feld, und da es auch einen so schönen Namen hat ("email"), kann der Bot nicht widerstehen, hier seine eMail auch einzutragen ...
Sollte also im Feld "email" etwas stehen, ist es mit an Sicherheit grenzender Wahrscheinlichkeit ein Spam-Eintrag.
Damit Menschen, die ebenfalls ohne CSS unterwegs sind, nicht allzu verwirrt sind, habe ich den Label-Text um einen (ebenfalls per CSS ausgeblendeten) Kommentar erweitert: "Das erste Feld ist ein Spamschutz! Bitte NUR das zweite ausfüllen!"
Dasselbe habe ich dann auch noch mit dem Feld für den Homepage-Link gemacht (als "blah2").
Diese Honeypot-Methode ist sicherlich noch ausbaubar ...
Alternativ habe ich festgestellt, dass Spam-Bots (noch) nicht in der Lage sind, auch die simpelsten Rechenaufgaben zu lösen ...
Das CMS auf unserer Website hat für Kommentare einen Spamschutz mit drei verschiedenen Textaufgaben, von denen jeweils eine zufällig ausgewählt wird:
"Bitte addieren Sie %d und %d."
"Was ist die Summe aus %d und %d?"
"Bitte rechnen Sie %d plus %d."
%d wird dann per sprintf() mit einstelligen Zufallszahlen gefüllt.
Das hat bisher noch kein Bot geknackt.
Das Blocken von IPs läuft leider ins Leere, da es sich (zumindest bei der aktuellen Attacke) sämtlich um weltweit verteilte Zombie-Rechner mit dynamischen IPs handelt.
BTW: Der abgefahrenste Eintragsversuch war (lt. Serverlogs) bisher ein Zombie-Handy aus Singapur, das seinen Spam während der Fahrt gepostet haben muss. :roll:
Captchas halte ich persönlich für die blödeste Art, Spam zu verhindern, da sie ja jetzt schon selbst für Menschen kaum noch zu entziffern und eher was für den Augenarzt sind.
Und die Zukunft dieser Dinger wird so (http://blog.fefe.de/?ts=b231c2b4) oder so (http://img145.imageshack.us/i/259k5eqol8.png/) wirklich grausam! :shock: :mrgreen:
mopzz schrieb:zorbas2 schrieb:Ich denke, man müsste in das mgb ein wesentlich schwierigeres captcha einbauen, oder gar ein Fragenkatalog mit dazugehörigen Antworten die der Admin des Gästebuchs selber editieren kann...
Sobald ich wieder mehr Zeit habe, werde ich mich dem Thema widmen und ein neues Captcha einbauen, bzw. vielleicht sogar mehrere.
Ich bin gerade den umgekehrten Weg gegangen und hab die Captchas jetzt deaktiviert ... 8)
Stattdessen habe ich einen Honigtopf in das Formular eingebaut, der (zumindest bisher) auch wunderbar funktioniert:
Das Input-Feld "email" ist jetzt per CSS ausgeblendet ("display: none;") - also für Menschen im Normalfall nicht sichtbar.
In dieselbe Zelle hab ich ein weiteres Feld namens "blah1" eingebaut, das sichtbar ist. In dieses Feld wird von Menschen die tatsächliche eMail-Adresse eingetragen und es wird in der newentry.php wie das bisherige email-Feld behandelt.
Da Spambots ohne CSS "surfen", "sehen" sie das eigentlich ausgeblendete Feld, und da es auch einen so schönen Namen hat ("email"), kann der Bot nicht widerstehen, hier seine eMail auch einzutragen ...
Sollte also im Feld "email" etwas stehen, ist es mit an Sicherheit grenzender Wahrscheinlichkeit ein Spam-Eintrag.
Damit Menschen, die ebenfalls ohne CSS unterwegs sind, nicht allzu verwirrt sind, habe ich den Label-Text um einen (ebenfalls per CSS ausgeblendeten) Kommentar erweitert: "Das erste Feld ist ein Spamschutz! Bitte NUR das zweite ausfüllen!"
Dasselbe habe ich dann auch noch mit dem Feld für den Homepage-Link gemacht (als "blah2").
Diese Honeypot-Methode ist sicherlich noch ausbaubar ...
Alternativ habe ich festgestellt, dass Spam-Bots (noch) nicht in der Lage sind, auch die simpelsten Rechenaufgaben zu lösen ...
Das CMS auf unserer Website hat für Kommentare einen Spamschutz mit drei verschiedenen Textaufgaben, von denen jeweils eine zufällig ausgewählt wird:
"Bitte addieren Sie %d und %d."
"Was ist die Summe aus %d und %d?"
"Bitte rechnen Sie %d plus %d."
%d wird dann per sprintf() mit einstelligen Zufallszahlen gefüllt.
Das hat bisher noch kein Bot geknackt.
Das Blocken von IPs läuft leider ins Leere, da es sich (zumindest bei der aktuellen Attacke) sämtlich um weltweit verteilte Zombie-Rechner mit dynamischen IPs handelt.
BTW: Der abgefahrenste Eintragsversuch war (lt. Serverlogs) bisher ein Zombie-Handy aus Singapur, das seinen Spam während der Fahrt gepostet haben muss. :roll:
Captchas halte ich persönlich für die blödeste Art, Spam zu verhindern, da sie ja jetzt schon selbst für Menschen kaum noch zu entziffern und eher was für den Augenarzt sind.
Und die Zukunft dieser Dinger wird so (http://blog.fefe.de/?ts=b231c2b4) oder so (http://img145.imageshack.us/i/259k5eqol8.png/) wirklich grausam! :shock: :mrgreen: