Spambot umgeht meinen Spamschutz

[matibaski]

Moin!

Ich habe auf: MyB - Gb_add einen Spamschutz, sehr simpel. Bisher ging der immer in ordnung.

Nun aber schafft es ein Spambot, den Schutz zu umgehen. Wie schafft der das?
Also hier: MyB - Gbook



MfG, matibaski

 

[Web_spider]

Dein Spamschutz zu umgehen ist ein kinderspiel. Man muss nur einfach den Code nehben dem Feld auslesen...Ist ja in Textform.

Richard

 

[Icy]

Richtig.

Schau doch mal hier.

MfG Icy

 

[gollum1990]

Ich würde nicht so große Worte auf Bild Spamschutz legen, diesen kann man leicht umgehen. Was ganz Simpel ist und 100% sicher ist, bevor ein Eintrag angezeigt wird muss er erst vom User aktiviert werden, zwar umständlich, aber sicher. Wenns dich nervt, dann log doch die ips.

 

[Icy]

Achso was auch eine sehr einfache Alternative wäre:

Du generierst eine Grafik, auf der "OK" (oder sonstwas steht). Dann muss der Besucher das Wort auf dem Bild eintippen (darfst du natürlich nicht ausschreiben). Das funktioniert dann ähnlich wie ein Captcha, nur dass das der Inhalt der Grafik nicht extra generiert wird.
Du kannst auch verschiedene Grafiken erstellen und lädst dann per Zufallsprinzip eins ins Gästebuch.

MfG Icy

 

[Sn0opy]

Mach kein extra Captcha Code für sowas. Mach einfach ne Rechenformel, die man ausrechnen muss. Gibt zwar schon Bots, die das erkennen, aber naja ^^ Am besten den Code für die Rechnung nicht direkt in das Formular packen, sondern irgendwo anders anzeigen lasen. Beispielsweise in nem Div, der oben am Rand der Seite angezeigt wird. Den Code dazu kannste dann ja irgendwo in den Quelltext setzen.

 

[Frank]

noch simpler ist ein

<input type="text" name="nocontent" value="" style="display:none;" />

Das ist ein leeres eingabefeld was der Benutzer nicht sieht, der Bot aber schon.
Da Bots darauf aus sind, möglichst viel zu füllen, wird er etwas in das Feld eintragen, und somit hast du ihn.

Ist zwar leicht zu umgehen, indem man den Bot einstellt, aber wenn sich jemand die Mühe macht, nen Bot extra für dein Gästebuch einzustellen, dann wirst den Bot eh nicht los.

 

[Voodoo]

Zusätzlich kann man noch Stolpersteine wie z.B. eine Mindestzeit einbauen.
Ein Mensch wird wahrscheinlich nicht alle Angaben innerhalb von 2 Sekunden machen können.
Könntest ja den aktuellen Timecode in einem hidden-Feld übergeben und dann nach dem Abschicken den Unterschied berechnen.
Nur so eine Idee

Gruß
Voodoo

 

[gollum1990]

wie gesagt Grafische Captchas sind nicht mehr dass was sie einmal waren.

Du könntest ja mit Aktivierung des Eintrages(Per Email) machen, oder dass nur Registriete Benutzer schreiben o. Ä..

 

[daschifahrer]

mit der registrierung hat aber das gästebuch seinen sinn verloren xD
ich finde die idee mit den unsichtbaren feldern am besten

 

[Web_spider]

Wenn es dich interessiert, meine Firma hat mal ein Captache in der Alphaphase entwickelt, welches auf Tabellen beruht:

Einfach mal in den Quelltext gucken, dann verstehste es. Es ist nicht sicherer als ein Bild, aber noch gibt es keine Bots, die sowas erkennen.

Wenns dich interessiert, schick ich dir den Code.

Captcha Test

Richard

 

[gollum1990]

Was im Quellcode steht, interressiert einen Spam Bot überhaupt nicht, Man macht einen Screenshot und schaut nach Strukturen. Wie gesagt Grafische Captchas sind nicht so gut.

Aber eine schlechte Idee ist das auch nicht, aber es zeiht viel Traffic? Haste dir mal angeguckt wie groß die Seite ist? ^^ :)

 

[Web_spider]

Natürlich zieht es Traffic. Wie gesagt, es ist ein Alpha Test, eher aus Neugier ;) Aber wir sind gerade dabei ein Captcha zu entwickeln ohne jede Art von Benutzereingabe.

Richard

 

[gollum1990]

Was hätte das denn für einen Sinn? Wenn der Benutzer nichts eingeben muss?

 

[Gelöschtes Mitglied 3007]

Web Spider ich hab was für dich damit wirst du viel mehr anfangen können und auch viel speichereffizienter ^.^ und für den anderen hier auch :-D

wie ihr das doch immer kompliziert machen müsst ^^

http://www.miahs.de/public/klick_captcha/index.php

 

[neuroleptika]

unsichtbares input

ich finde die idee mit den unsichtbaren feldern am besten

Ich versuche seit 2 Monaten herauszubekommen was das taugt.

Ich habe auf einer recht gut indexierten Seite einen Link auf eine
Gästebuch-Atrappe gesetzt. Den link habe ich mit position-absolute für sehende versteckt.

Damit wollte ich ausprobieren welche Felder die Bots ausfüllen und was sie reinschreiben.
Ein verstecktes Feld ist auch dabei.


Man sollte es nicht glauben, aber es kommen keine Bots.
Wie lockt man die am besten an ohne das Gästebuch selber indexieren zu lassen?

hat einer eine Idee?

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head>
  <title>Gästebuch</title>
  <meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
  <meta name="robots" content="noindex, follow" />
  <link rel="stylesheet" type="text/css" href="style/gaestebuch.css" />

</head>
<body>

<div id="guestbook">
<h1>Gästebuch</h1>

<form action="http://sag ich nicht.php" method="post">
<p><label for="mail">Mail:</label><input type="text" name="mail" id = "mail" /></p>
<p class = "homepage"><label for="hompage">Homepage:</label><input type="text" name="hompage" value="http://" id="hompage" /></p>
<p><label for="text">Text:</label><textarea name="text" rows="10" cols="250" id="text"></textarea></p>

<p><input type="submit" name="senden" value="Speichern" class="submit" /></p>
</form>
<ul>
<li>Guestbook</li>
<li>Hompage Eintragen</li>
<li>mail-Adressen</li>
</ul>


</div>
</body>
</html>

So sehen echte Gästebuch-Formulare doch auch aus.


Das Input mit class = "hompage" habe ich mit position:absolute; top:-1000px; in einer externen css versteckt.

Das noindex möchte ich nicht rausnehmen.
Die verweisende Seite [SIZE=-1]erlaubt Linkverfolgung für Sumas und ist von angesehenen Seiten verlinkt.
Die Gästebuchatrappe befindet sich auf der gleichen Domain wie die verweisende Seite.
[/SIZE]

 

[Corvulus]

Man kombiniert am besten immer einige kleinere. Versteckte Eingabefelder, IP Sperre für eine Stunde usw. Spiele selebr Earthlost und da gibt es noch einen anderen Code seit neurem, bei dem aus ca. 50 verscheidenen Bidlern immer 5 ausgewählt werden. Darunter steht dann, was angeklickt werden muss. Oder man muss Tuxe zählen.
Wie gesagt, ich würde meinem Spam/Botschutz auf einigen kleinen der oben genannten Kniffe aufbauen, dann ist das wirklich eine ziemlich sichere angelegenheit.

Gruß Corvulus

 

[neuroleptika]

Ich würde meine Atrappe auch auf anderen Seiten als iframe einbinden lassen.
Wenn wer Interesse daran hat, würde ich einen Direkt-Link per pn schicken.
Wenn es zu einem Ergebnis kommt ist das bestimmt interessant.

Natürlich würde ich das Ergebnis es hier veröffentlichen.

Ich würde auch eine Subdomain für diesen Zweck einrichten wenn es genügend Leute gibt die mitmachen (verweisen). Dann auch gerne ohne noindex.

 

[Frank]

deine Atrappe ist auch nicht wirklich sinnvoll.

Sie lässt sich genause wie andere grafische Captchas umgehen. Ich möchte sogar behaupten, dass man mit einem Programm einen nicht vollständigen Kreis besser findet als eine Alphanumerische Kennung in x Beliebiger Schriftart, Winkel und Größe

 

[neuroleptika]

deine Atrappe ist auch nicht wirklich sinnvoll.

Sie lässt sich genause wie andere grafische Captchas umgehen. Ich möchte sogar behaupten, dass man mit einem Programm einen nicht vollständigen Kreis besser findet als eine Alphanumerische Kennung in x Beliebiger Schriftart, Winkel und Größe

Genau das würde ich gerne in der Praxis ausprobieren.
Es mag ja sein, daß es sich für richtige Gästebücher nicht eignet.
Aber vielleicht reicht es ja für barrierearme Kontaktformulare.
Nichts ist für immer. Ein Feldversuch währe es aber wert denke ich.
Ein Input mit dem Namen hompage muss für Spammer doch super ankommen.

Außerdem würde nur ich den Spam-Müll abbekommen und niemanden schaden.