Ergebnis 1 bis 10 von 10
  1. #1
    Avatar von jspit
    jspit ist offline Lounge-Member
    registriert
    19-06-2009
    Beiträge
    1.712

    Hilfe für Konzept zum Formular-Spamschutz

    Hi,
    ich möchte ein einfachen Spamschutz für meine Formulare schaffen,
    das ohne lästige zusätzliche Eingaben (CAPTCHA) auskommt.
    Hier mein Konzept:
    Mit der ersten Anforderung des Formulars wird eine zufällige TAN generiert,
    die mit einem Hidden-Feld übermittelt und zusammen mit einem Zeistempel
    auf dem Server gespeichert wird.
    Nach dem Absenden des Formulars wird auf dem Server überprüft, ob
    eine gültige TAN im Hiddenfeld geliefert wurde.
    Wenn ja, wird zusätzlich überprüft ob der Zeitstempel im Limit liegt (z.B. min 10s, max 20 min).
    Ist beides erfüllt, wird das Formular als gültg angenommen und die TAN gelöscht.
    Es werden auch immer alle TANs gelöscht die über der max.Zeit liegen.

    Mit dieser Methode sollen folgende Arten von Spam geblockt werden:
    1. Das zyklische Schicken von "ausgefüllten" Formularen.
    2. Die maschinelle "Bearbeitung von Formularen" (scheitern an der Mindestzeit).
    3. Das wiederholte (manuelle) Absenden ein und derselben Formulare.

    Wo liegt nun mein Problem?
    Mangels Erfahrung und Unkenntnis div. Spammermethoden kann ich nicht einschätzen,
    ob mein Konzept aufgeht. 100% igen Schutz gibt es eh nicht.
    Hat jemand von den Profis hier Erfahrung ?

  2. #2
    Avatar von Junkee[]
    Junkee[] ist offline Lounge-Member
    registriert
    08-05-2009
    Ort
    Leonberg
    Beiträge
    3.169

    AW: Hilfe für Konzept zum Formular-Spamschutz

    Dir kann man trotzdem noch automatisiert in 1ner Stunde 360 Nachrichten schicken. An einem Tag wären das 8640. Du solltest also vll doch ein Captcha einsetzen, aber nur wenn wiederholt von der gleichen IP gesendet wird.

  3. #3
    ein schlauer ist offline Lounge-Member
    registriert
    18-08-2004
    Beiträge
    14.671

    AW: Hilfe für Konzept zum Formular-Spamschutz

    Also ich habe sehr gute Erfahrung mit einem ganz einfachen Timestamp gemacht, den ich mit dem Formular mitschicke. Kein Spammer wartet 10 Sekunden bis er was abschicken kann.

  4. #4
    Avatar von kkapsner
    kkapsner ist offline Super Moderator
    registriert
    28-03-2008
    Beiträge
    17.760

    AW: Hilfe für Konzept zum Formular-Spamschutz

    Finde den Ansatz nicht schlecht - ist aber viel leichter zu knacken, als ein Captcha. Der Spammer kann sich ja beliebig viele TANs holen und dann für jedes 10s warten - damit ist er nach 10s auf "Maximallast".

    @Junkee[]:
    Zitat Zitat von Junkee[] Beitrag anzeigen
    1ner
    - was man nicht alles tut, um zu sparen... und sei's nur ein Zeichen...

  5. #5
    hpetersen2 ist offline Grünschnabel
    registriert
    06-04-2011
    Beiträge
    3

    AW: Hilfe für Konzept zum Formular-Spamschutz

    Moin,

    mir fallen noch "rotierende" Formularelementenamen ein.
    Also die Namen der Input-Elemente werden immer neu vergeben.
    Ein zusätzliches Element dient sozusagen als Honey pot.

    Hat den Nachteil, dass für die Besucher die "Autovervollständigen"-Funktion nicht funktioniert.


    Heiko

  6. #6
    Avatar von Junkee[]
    Junkee[] ist offline Lounge-Member
    registriert
    08-05-2009
    Ort
    Leonberg
    Beiträge
    3.169

    AW: Hilfe für Konzept zum Formular-Spamschutz

    Zitat Zitat von kkapsner Beitrag anzeigen
    @Junkee[]: - was man nicht alles tut, um zu sparen... und sei's nur ein Zeichen...
    ack

  7. #7
    Avatar von jspit
    jspit ist offline Lounge-Member
    registriert
    19-06-2009
    Beiträge
    1.712

    AW: Hilfe für Konzept zum Formular-Spamschutz

    VielenDank für die Hinweise an alle.
    Zitat Zitat von kkapsner Beitrag anzeigen
    Finde den Ansatz nicht schlecht - ist aber viel leichter zu knacken, als ein Captcha. Der Spammer kann sich ja beliebig viele TANs holen und dann für jedes 10s warten - damit ist er nach 10s auf "Maximallast".
    Junkee[] hat mir ja schon vorgerechnet, wieviele Spams ich immer noch bekommen kann. Wichtig dafür war mir auch die Erfahrung vom 'ein schlauer'.
    Captcha hasse ich, würde ich deshalb nur für Wiederholungstäter (wiederholt gleiche IP) aktivieren. Oft habe ich beim Enträtzeln des Captchas soviel Zeit gelassen, das ich dies Niemanden zumuten möchte.

  8. #8
    ein schlauer ist offline Lounge-Member
    registriert
    18-08-2004
    Beiträge
    14.671

    AW: Hilfe für Konzept zum Formular-Spamschutz

    Geht mir genauso. Ich würde meinen Nutzer nie Captchas zumuten wollen (wobei das nie relativ sein könnte, wenn ich Millionen von Nutzern hätte und z.b. unbedingt das automatisierte Registrieren verhindern möchte und ich merke dass andere Maßnahmen nur begrenzten Erfolg hätten).

    Ich habe ein 4. stufigen Spamschutz in einem öffentlichen Forum/Gästebuch

    (0. ist der user eingelogt => keine weitere Prüfung)
    1. existiert das timestamp-Feld bzw. hat es einen Inhalt? Nein => Spam
    2. ist die Differenz kleiner oder größer eines definierten Intervals? => Spam
    3. enthält die Eingabe bestimmte Zeichen? (diese Prüfung habe ich mittlerweile auf [url und http:// beschränkt, d.h. nicht eingeloggte User dürfen keine Links angeben) => Spam
    4. wurde ein (für normale Besucher) verstecktes Feld ausgefüllt? => Spam

    Momentan arbeite ich an einer Version, wo ich die API eines (kostenloser) Dienstanbieter nutze, mit der die IP von Spammer + Harvester identifiziert werden kann.

    Aber durch die 4 Stufen ist das Spamaufkommen in letzter Zeit bei nahezu Null. In den Logs habe ich aber auch nur noch ca. 10-15 Spamversuche pro Tag, die an einen der 4 Prüfungen gescheitert sind. Das Spamaufkommen war vor einigen Jahren mal deutlich höher, allerdings hatte ich bis vor einem 3/4 Jahr noch zusätzlich einen Wortfilter eingebaut und habe die Spamversuche nicht alle geloggt. Aber auch damals kamen maximal ein oder zwei Postings im Monat durch.

    EDIT: und was die theoretisch Berechnung angeht, ich glaube kaum, dass es wirklich Spammer gibt, die eine bestimmte Zeit abwarten würden um ihren Mist loszuwerden.

  9. #9
    Avatar von jspit
    jspit ist offline Lounge-Member
    registriert
    19-06-2009
    Beiträge
    1.712

    AW: Hilfe für Konzept zum Formular-Spamschutz

    @ein schlauer : Voll deiner Meinung, bis auf den letzten Satz mit Einschränkung. Es gibt bestimmt genug Spammer/Kids aus Fleisch und Blut, die auch eine bestimmte Zeit abwarten um ihren Frust loszuwerden.
    Als zusätzliche Hürde werde ich noch ein IP-Sperre einbauen und das ganze als php-class realisieren.
    Mit der IP-Hürde wird als Spam declariert wenn innerhalb einer bestimmten Zeit eine festlegbare Anzahl Anfragen von der selben IP kommen.
    Die Prüfung aller Eingaben halte ich ebenfalls für eine wichtige Sache. Das wird jedoch nicht Thema der zu erstellenden Klasse sein. Wenn spamverdächtige Anzeichen gefunden werden -> Spam, bei einfachen Fehlern sollte der Nutzer die Möglichkeit bekommen seine Eingaben zu korrigieren.
    Dafür muß die Möglichkeit geschaffen werden die Gültigkeit einer TAN zu verlängern.
    Ich werde wenn es soweit ist mein Ergebnis auch hier vorstellen. PHP ist zwar nicht Schwerpunkt ,
    das Thema dürfte aber von allg. Interesse sein oder ?

  10. #10
    Avatar von Junkee[]
    Junkee[] ist offline Lounge-Member
    registriert
    08-05-2009
    Ort
    Leonberg
    Beiträge
    3.169

    AW: Hilfe für Konzept zum Formular-Spamschutz

    immer her damit Dein Vorhaben finde ich genau richtig!

Ähnliche Themen

  1. Spamschutz für Anmeldeformular
    Von SH_KennY im Forum JavaScript
    Antworten: 8
    Letzter Beitrag: 09-04-2010, 18:10
  2. SMTP mit Auth. und Spamschutz mittels Captcha
    Von René im Forum Script-Check
    Antworten: 0
    Letzter Beitrag: 20-05-2006, 11:42
  3. Gästebuch erster kleiner Spamschutz?
    Von Luxiii im Forum Serverseitige Programmierung
    Antworten: 3
    Letzter Beitrag: 22-03-2006, 21:46
  4. Fensteroberfläche, Konzept
    Von LaLALa im Forum Flash
    Antworten: 4
    Letzter Beitrag: 05-06-2005, 16:56
  5. Plugin Konzept bei MS IE und sicherer PluginDetector
    Von kakalake im Forum JavaScript
    Antworten: 1
    Letzter Beitrag: 08-09-2000, 23:38

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •