• Das Erstellen neuer Accounts wurde ausgesetzt. Bei berechtigtem Interesse bitte Kontaktaufnahme über die üblichen Wege. Beste Grüße der Admin

Hilfe für Konzept zum Formular-Spamschutz

jspit

jspit

Lounge-Member
Hi,
ich möchte ein einfachen Spamschutz für meine Formulare schaffen,
das ohne lästige zusätzliche Eingaben (CAPTCHA) auskommt.
Hier mein Konzept:
Mit der ersten Anforderung des Formulars wird eine zufällige TAN generiert,
die mit einem Hidden-Feld übermittelt und zusammen mit einem Zeistempel
auf dem Server gespeichert wird.
Nach dem Absenden des Formulars wird auf dem Server überprüft, ob
eine gültige TAN im Hiddenfeld geliefert wurde.
Wenn ja, wird zusätzlich überprüft ob der Zeitstempel im Limit liegt (z.B. min 10s, max 20 min).
Ist beides erfüllt, wird das Formular als gültg angenommen und die TAN gelöscht.
Es werden auch immer alle TANs gelöscht die über der max.Zeit liegen.

Mit dieser Methode sollen folgende Arten von Spam geblockt werden:
1. Das zyklische Schicken von "ausgefüllten" Formularen.
2. Die maschinelle "Bearbeitung von Formularen" (scheitern an der Mindestzeit).
3. Das wiederholte (manuelle) Absenden ein und derselben Formulare.

Wo liegt nun mein Problem?
Mangels Erfahrung und Unkenntnis div. Spammermethoden kann ich nicht einschätzen,
ob mein Konzept aufgeht. 100% igen Schutz gibt es eh nicht.
Hat jemand von den Profis hier Erfahrung ?
 
Dir kann man trotzdem noch automatisiert in 1ner Stunde 360 Nachrichten schicken. An einem Tag wären das 8640. Du solltest also vll doch ein Captcha einsetzen, aber nur wenn wiederholt von der gleichen IP gesendet wird.
 
Also ich habe sehr gute Erfahrung mit einem ganz einfachen Timestamp gemacht, den ich mit dem Formular mitschicke. Kein Spammer wartet 10 Sekunden bis er was abschicken kann.
 
Finde den Ansatz nicht schlecht - ist aber viel leichter zu knacken, als ein Captcha. Der Spammer kann sich ja beliebig viele TANs holen und dann für jedes 10s warten - damit ist er nach 10s auf "Maximallast".

@Junkee[]:
Junkee[] schrieb:
1ner
Zum Vergrößern anklicken....
- was man nicht alles tut, um zu sparen... und sei's nur ein Zeichen... ;)
 
Moin,

mir fallen noch "rotierende" Formularelementenamen ein.
Also die Namen der Input-Elemente werden immer neu vergeben.
Ein zusätzliches Element dient sozusagen als Honey pot.

Hat den Nachteil, dass für die Besucher die "Autovervollständigen"-Funktion nicht funktioniert.


Heiko
 
VielenDank für die Hinweise an alle.
kkapsner schrieb:
Finde den Ansatz nicht schlecht - ist aber viel leichter zu knacken, als ein Captcha. Der Spammer kann sich ja beliebig viele TANs holen und dann für jedes 10s warten - damit ist er nach 10s auf "Maximallast".
Zum Vergrößern anklicken....
Junkee[] hat mir ja schon vorgerechnet, wieviele Spams ich immer noch bekommen kann. Wichtig dafür war mir auch die Erfahrung vom 'ein schlauer'.
Captcha hasse ich, würde ich deshalb nur für Wiederholungstäter (wiederholt gleiche IP) aktivieren. Oft habe ich beim Enträtzeln des Captchas soviel Zeit gelassen, das ich dies Niemanden zumuten möchte.
 
Geht mir genauso. Ich würde meinen Nutzer nie Captchas zumuten wollen (wobei das nie relativ sein könnte, wenn ich Millionen von Nutzern hätte und z.b. unbedingt das automatisierte Registrieren verhindern möchte und ich merke dass andere Maßnahmen nur begrenzten Erfolg hätten).

Ich habe ein 4. stufigen Spamschutz in einem öffentlichen Forum/Gästebuch

(0. ist der user eingelogt => keine weitere Prüfung)
1. existiert das timestamp-Feld bzw. hat es einen Inhalt? Nein => Spam
2. ist die Differenz kleiner oder größer eines definierten Intervals? => Spam
3. enthält die Eingabe bestimmte Zeichen? (diese Prüfung habe ich mittlerweile auf [url und http:// beschränkt, d.h. nicht eingeloggte User dürfen keine Links angeben) => Spam
4. wurde ein (für normale Besucher) verstecktes Feld ausgefüllt? => Spam

Momentan arbeite ich an einer Version, wo ich die API eines (kostenloser) Dienstanbieter nutze, mit der die IP von Spammer + Harvester identifiziert werden kann.

Aber durch die 4 Stufen ist das Spamaufkommen in letzter Zeit bei nahezu Null. In den Logs habe ich aber auch nur noch ca. 10-15 Spamversuche pro Tag, die an einen der 4 Prüfungen gescheitert sind. Das Spamaufkommen war vor einigen Jahren mal deutlich höher, allerdings hatte ich bis vor einem 3/4 Jahr noch zusätzlich einen Wortfilter eingebaut und habe die Spamversuche nicht alle geloggt. Aber auch damals kamen maximal ein oder zwei Postings im Monat durch.

EDIT: und was die theoretisch Berechnung angeht, ich glaube kaum, dass es wirklich Spammer gibt, die eine bestimmte Zeit abwarten würden um ihren Mist loszuwerden.
 
@ein schlauer : Voll deiner Meinung, bis auf den letzten Satz mit Einschränkung. Es gibt bestimmt genug Spammer/Kids aus Fleisch und Blut, die auch eine bestimmte Zeit abwarten um ihren Frust loszuwerden.
Als zusätzliche Hürde werde ich noch ein IP-Sperre einbauen und das ganze als php-class realisieren.
Mit der IP-Hürde wird als Spam declariert wenn innerhalb einer bestimmten Zeit eine festlegbare Anzahl Anfragen von der selben IP kommen.
Die Prüfung aller Eingaben halte ich ebenfalls für eine wichtige Sache. Das wird jedoch nicht Thema der zu erstellenden Klasse sein. Wenn spamverdächtige Anzeichen gefunden werden -> Spam, bei einfachen Fehlern sollte der Nutzer die Möglichkeit bekommen seine Eingaben zu korrigieren.
Dafür muß die Möglichkeit geschaffen werden die Gültigkeit einer TAN zu verlängern.
Ich werde wenn es soweit ist mein Ergebnis auch hier vorstellen. PHP ist zwar nicht Schwerpunkt ,
das Thema dürfte aber von allg. Interesse sein oder ?
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben