Seite 1 von 6 123 ... LetzteLetzte
Ergebnis 1 bis 10 von 60

Thema: Absicherungsmaßnahmen für Gästebücher, Foren, Weblogs, ...

  1. #1
    BOFH Avatar von exe
    Registriert seit
    17.07.2005
    Ort
    Serverraum
    Beiträge
    5.936

    Idee Absicherungsmaßnahmen für Gästebücher, Foren, Weblogs, ...

    Da ja die Fragen sich hier in letzter Zeit wiederholen, möchte ich hier auf das Problem und seine Möglichen Lösungen eingehen. Wenn einer der Admins Lust hat kann er das Thema ja auch sticky machen. Ideen, Korrekturen, Ergänzungen usw. per PN an mich oder einfach darunter schreiben.

    Problem
    Gästebücher, Foren, Wikis, Weblogs, Shoutboxen und Kommentarfeldern sind von dieser Art von Spam betroffen. Oft werden dort Einträge gemacht, die als Inhalt Links diverse Internetseiten enthalten. Der Grund für diesen Spam ist, bei Google und anderen Suchmaschinen einen möglichst hohen Pagerank für die Seite des Spammers zu erzeugen. Google bewertet eine Internetseite höher, wenn sie von vielen anderen Seiten verlinkt wird. Er will also in den Suchtreffern möglichst weit nach oben gelangen und dazu erzeugt er Einträge z. B. in Gästebüchern und verlinkt von dort aus seine Seite.

    Das alles wäre im Grunde ein recht kleines Problem, weil man die Einträge ja wieder manuell löschen könnte. Leider lassen die meisten Spammer diese Aufgabe von so genannten Bots erledigen. Diese Computerprogramme erzeugen solche Einträge automatisiert und oft werden die gleichen Einträge immer und immer wieder wiederholt. Oft kommen Bots täglich oder mehrmal die Woche um den gleichen oder ähnlichen Mist abzuladen. Diese Bots rufen die Seite mit den Einträgen meist garnicht auf, sie füllen nur das Formular mit ihren Werbeeinträgen und schicken es an den Server ab.

    Lösungen
    Vorab eines: Die perfekte Lösung gibt es nicht. Man kann dem Problem auf viele Arten begegnen, irgendwie hat aber jede Art ihre Vor- und Nachteile. Ich werde diese aber bei jeder Lösungsmöglichkeit dazu schreiben. Leider sind die wirkunksvollen Lösungen aber nicht ganz ohne technisches Wissen einsetzbar. Viele fertige Skripte verfügen aber über ein paar Vorkehrungen um den Spam zu minimieren, seht euch also die Optionen an und vergleicht die Software mit anderer Software. Folgende Beispiele werden immer anhand eines Gästebuches beschrieben, das grundsätzliche Vorgehen ist aber bei allen Onlineformularen, wie Weblogs, Kommentarfelder usw. gleich.

    Grundsätzliches
    Da die Werbeeinträge fast immer von Bots getätigt werden, welche das Eingabeformular analysieren und automatisch beschicken, empfiehlt es sich ein paar grundsätzliche Regeln zu beachten um der großen Spamwelle zu entkommen.
    • Nehmt wenn möglich keine fertigen Skripte und wenn ihr sie einsetzt ändert sie etwas ab (wie unten beschrieben). Fertige Gästebücher sind den Spammern gut bekannt und er weiß wie er welche Felder mit seinem Mist befüllen muss. Sucht auch nach alternativen Skripten und nehmt nicht das erstbeste. Es gibt mittlerweile genügend Websoftware die wenigstens die einfachsten Filter und Spamschutzfunktionen mitbringt. Meist gegnügt das schon.
    • Benutzt bei den Eingabefeldern im INPUT-Tag als Feldnamen nicht "email", "name" oder "comment". Ändert die Feldnamen auf "aaa" oder "asdf1". Damit ist es Bots schon mal nicht möglich anhand des Feldnames den gewünschten Inhalt des Feldes herauszufinden. Dann scheitern sie z. B. daran, dass sie ein Feld, welches eine syntaktisch korrekte E-Mail-Adresse enthalten muss (irgendwas@domail.tld), mit Mist befüllen der keine E-Mail-Adresse ist.
    • Nennt eure Gästebuchseite nicht "guestbook.html" oder "gaestebuch.php", ihr macht es den Spammern damit nur leichter die für sich interessanten Seite bei Google zu finden.
    • Lasst euch bei jedem neuen Eintrag eine E-Mail senden, damit ihr reagieren könnt falls etwas vorfällt.


    Moderation
    Die Moderation ist die einfachste Lösung für das Problem. Moderation bedeutet, euer Gästebuch nimmt einen Eintrag entgegen, aber veröffentlicht ihn nicht sofort. Es sendet euch einen E-Mail und lässt euch entscheiden ob der Eintrag erscheinen soll oder nicht. Diese Lösung hält euer Gästebuch zu 100% werbefrei, leider ist es aber mit etwas Arbeit verbunden und eure Besucher sehen ihre eigenen Einträge auch nicht mehr sofort.

    Disclaimer / Nutzungsbestimmungen
    Vereinzelt wurde im Forum besprochen, man könnte das Problem lösen, indem man in sein Gästebuch ein virtuelles "Verbotsschild" (oft auch als Disclaimer bezeichnet) montiert. Man verbietet also ausdrücklich, dass in dem Formular Werbeeinträge erfasst werden. Dies könnte einzelne davon abhalten dort ihre Spameinträge zu hinterlassen, weil sie rechtliche Folgen befürchten. Leider interessieren sich Bots überhaupt nicht für diese Verbote, sie wollen nur ihren Müll loswerden. Außerdem kommen viele Bots aus dem Ausland, so dass eine effektive strafrechtliche Verfolgung meist unmöglich wird. Disclaimer sind also schönes Beiwerk, wirklich bringen werden sie in der Praxis aber nichts.

    IP-Blacklists
    Unter Blacklisten versteht man eine Art der Filterung gegen eine Liste von bekannten Bösewichten. So kann man bekannte IP-Adressen oder ganze Adressbereiche auf eine Liste setzen und von diesen keine Einträge mehr annehmen. Grundsätzlich kann man die Filterung durch den Webserver erledigen lassen (s. Beitrag von dk99hi) oder man schreibt sich selbst ein kleines Skript welches unerwünschte Gäste fern hält. Der Aufwand für solche Blacklisten ist mittelmäßig. Sie müssen von euch regelmäßig manuell aktualisiert werden, sonst werden sie nutzlos. Außerdem gibt es auch gegügend Bots welche auf Einwahlnummer laufen, die alle 24h ihre IP-Adresse ändern. Hier müsstet ihr dann ganze Subnetze blockieren um den gewünschten Erfolg zu erreichen. Es gibt auch Blacklisten die von anderen gewartet und aktualisiert werden. SURBL bietet eine solche URL-Blacklist an. Mit ihr kann man Beiträge ausfiltern lassen welche bestimmte URLs enthalten und damit sind wir schon beim nächsten Punkt.

    Filter
    Der Einsatz von Filtern kann auch sehr nützlich sein. Man kann die Beiträge z. B. nach bestimmten Schlüsselwörtern oder ganz allgemein nach URLs durchsuchen und solche Beiträge ablehnen. Weiterhin sollte man auch falls möglich HTML, JavaScript und solches Gedöhns ausfiltern und/oder kodieren. Gute Dienste leisten hier in PHP die Funktionen "strip_tags()" und "htmlentities()". Natürlich können dann aber auch keine normalen Besucher Einträge mit URLs verfassen. Sollte sich diese Filterung deshalb nicht einsetzen lassen, empfehle ich die Links mit dem Attribut rel="nofollow" auszustatten. Für Google erzeugt dieser Link dann keinen Pagerankwert mehr (s. Punkt 14 - http://www.google.com/webmasters/bot.html#www).

    Cookies / Referer
    Wer in PHP fit ist, kann auch den Trick mit den Cookies probieren. Dabei erzeugt man auf der Einstiegsseite des Gästebuchs auf dem Rechner des Eintragenden ein Cookie. Wird eine Eintrag erfasst prüft man, ob der Browser dieses Cookie mitgeliefert hat. Wenn nicht wird der Eintrag ignoriert. Ähnliche Spielereien sind auch mittels der Session-Funktion von PHP möglich. Leider können dann Benutzer ohne aktivierte Cookies keine Einträge mehr verfassen und auch vor schlauen Bots bietet dies keine Sicherheit. Sie können das Cookie wie gewünscht zurückliefern. Im Moment aber ist diese Variante noch sehr sicher, es wurden noch keine Bots gesehen die dies konnten. Genauso fläschbar sind Überprüfungen des Referers, auch wenn dieser Check im Moment noch recht effektiv sein sollte.

    Captchas
    Unter Captchas versteht man meist Bilder aus denen mal eine Buchstaben- und Zahlenkombination ablesen muss. Captchas sind mittlerweilen bei allen großen Onlinediensten verbreitet. Sie sind von Rechnern sehr schwer oder nur mit erheblichem Rechenaufwand auszulesen (wenn es auch nicht unmöglich ist - http://sam.zoy.org/pwntcha/) und deshalb z. Z. fast 100%ig sicher. Der größte Nachteil ist, dass Besucher mit reinen Textbrowsern oder z. B. blinde Menschen nicht in der Lage sind diese Bilder in ihrem Browser zu sehen. Sie werden damit auch ausgeschlossen.

    zusätzliche Felder
    Hier im Forum wurde auch schon der Einsatz von zusätzlichen Feldern empfohlen. Dabei muss der Eintrager in ein bestimmtes Feld einen vorgegebenen Text eingeben, welcher daneben steht. Im Grunde sind solche Überprüfungen recht leicht zu umgehen. Allerdings wird dies noch kaum ein Bot automatisiert schaffen. Eine weitere Spielart sind einfach zu lösende Rechenaufgaben.
    Dieser Beitrag kann Spuren von Ironie und billiger Polemik enthalten. Die Schöpfungshöhe ist technisch bedingt.

    Wir müssen die Religion des anderen respektieren, aber nur in dem Sinn und dem Umfang, wie wir auch seine Theorie respektieren, wonach seine Frau hübsch und seine Kinder klug sind.
    Richard Dawkins

  2. #2
    Neues Mitglied
    Registriert seit
    06.03.2006
    Beiträge
    41

    Blinzeln

    Du hast alles hier in der letzten Zeit "wild diskutierte" mal sehr schön zusammengefaßt. Danke!

  3. #3
    Neues Mitglied
    Registriert seit
    02.05.2006
    Ort
    Dortmund
    Beiträge
    1

    Standard

    Hallo Exe,

    auch von mir ein grosses Kompliment zu Deinen ausführlichen Beitrag. Dieser hat mir bei der Problemlösung auf meiner Webseite viele Anregungen gegeben.

    Sofern man z.B. in php einigermassen fit ist, ist es meiner Meinung nach am besten wenn man sich die Logfiles genau anschaut und sich individuell ein Script schreibt, welches die wirklich auffälligen Besucher automatisch sperrt. Man wird natürlich nie alle Bots erwischen :-)

    Es ist schon sehr witzig wenn man sieht... man sperrt eine IP-Adresse (meistens Open-Proxys) und nach wenigen Minuten starten genau die gleichen Seitenaufrufe wieder unter einer anderen IP - und das wiederholt sich nicht einmal - nein, mehrmals!

    Habe mit einem kleinen Script schon mehr wie 40 Attacken seit gestern blocken können. Aber wie schon gesagt, sowas muss man individuell schreiben.

    Formularspam wird bei mir auf vorhandensein von Links mit href geprüft. IP-Adressen die sowas Posten (Mit oder ohne Aufruf des entsprechenden Formulars) werden sofort gesperrt weil die ansonsten meist noch die Webseite weiter nach anderen Formularen durchsuchen.

    Nochmals DANKE für den ausführlichen Beitrag!

    Ich werde gerne meine Erfahrungen in diesem Board weitergeben!

    Gruss
    Michael

  4. #4
    Neues Mitglied
    Registriert seit
    03.05.2006
    Beiträge
    5

    Standard

    Hi Exe,

    erstmal klasse Beitrag und fein zusammengefasst.

    wir haben ein eigenes Gästebuch unter PHP entwickelt und seit ca . 1 Jahr im Einsatz.

    So langsam haben die Spammer einige unserer Gästebücher entdeckt und wir haben uns der Problematik mal angenommen und folgende Feststellungen bzw. Erfahrungen gemacht:

    - IP-Adressen-Filterung bringt nach meiner Erfahrung nicht viel.

    - Hinweise auf rechtliche Konsequenzen bringen nix … was interessiert ein ausländisches Onlinecasino oder ein OnlineViagra-Versender das deutsche Recht. …. ?

    - 100prozentigen Schutz gibt es keinen. Man kann es ihnen nur so schwer wie möglich machen, ihre Schrott-Einträge zu platzieren

    Wenn Ihr eigene GB habt bzw. verwaltet, Nehmt eine kryptische ID
    Wenn eine ID = 1 da ist, kann man auch mal die ID = 2 etc. probieren
    Bei uns hat jedes GB eine sinnfreie kryptische ID „QB1nm“ „f1DKj“ etc…. nix, woraus sie eine Systematik erkennen lässt.

    Wir haben im Script verschiedene mehrstufige Prüfungen eingebaut

    1. Prüfung auf Mail-Domäne
    Haben uns eine eigene Blacklist erstellt, die Einträge ablehnt, die auf einen der Einträge verweist „@gmail.com;@email.com;@search.com;@mail.com“ etc…

    2. ICQ
    auch hier eine Blacklist mit „123456789“ etc. Wenn Ihr den ICQ-Link verfolgt, kommt Ihr immer beim gleichen Schrott raus.
    Im Moment kennzeichne ich Einträge mit einer gültigen Maildomäne und ICQ-Adresse und lasse mir den Eintrag zumailen.
    Ist der Eintrag jedoch OK, übertrage ich manuell in das GB…… worauf ich seit 2 Monaten warte :o) … Rest ist Schrott.

    3. Prüfung auf Links und Keyworter.
    Konzept wie bei 1 und 2

    Gästebücher die weiterhin bespammt werden, bekommen eine neue externe ID für unsere Kunden, … die alte ID bleibt zu Dokumentationszwecken bestehen .
    Somit bleiben die aktiven GB wieder sauber. …. Bis die Site wieder gefunden wird ….

    Sämtliche Spam-Einträge lasse ich mir zumailen, schreibe sie aber nicht in die DB sondern füttere meine Blacklist.
    Eventuell lasse ich sie auch gekennzeichnet zum Nichtanzeigen in der Tabelle … mal sehen, wie ich Zeit habe.

    Was auf jeden Fall noch als Funktionalität reinkommen wird:

    1. Es wird noch die REFERER-Variable ausgewertet. Kommt jemand direkt in das GB ohne vorher auf der Hauptseite gewesen zu sein, wird er auf die Hauptseite erstmal weitergeleitet werden, wo er dann das GB wieder auswählen kann..

    2. Beim zweiten abgelehnten Eintrags-Versuch leite ich ihn wieder auf die Hauptseite, … oder wenn der Versuch innerhalb von 10 sek kommt, auf ne russische Hackersite wo’s vor Viren und Trojaner grad so wimmelt ;o)

    3. eventuell noch Captchas.... mal sehen.


    Die GB-Seiten werden nach meiner Meinung das erste mal gefunden und händisch ausgefüllt.
    Und anschließend mit Robots/Spiders bearbeitet. Ich erkenne es daran, dass wenn ein Eintrag abgelehnt wird, wird das GB mit einer Serie von Versuchen bombardiert.
    ….. ca. 10 – 20 Versuche pro Minute !!! ….

    Jeweils mit anderer eMail- und ICQ-Adresse ….
    Und das kriegt kein Mensch über copy & Paste hin.


    Gruß

    Günni

  5. #5
    Mitglied
    Registriert seit
    15.01.2006
    Beiträge
    386

    Standard

    Zitat Zitat von Guenther Weinerth
    1. Es wird noch die REFERER-Variable ausgewertet. Kommt jemand direkt in das GB ohne vorher auf der Hauptseite gewesen zu sein, wird er auf die Hauptseite erstmal weitergeleitet werden, wo er dann das GB wieder auswählen kann..
    Fies! Oder unklar.

    Was ist mit Leuten, die aus Paranoia den Referrer gar nicht übertragen?

    Zitat Zitat von Guenther Weinerth
    2. Beim zweiten abgelehnten Eintrags-Versuch leite ich ihn wieder auf die Hauptseite, … oder wenn der Versuch innerhalb von 10 sek kommt, auf ne russische Hackersite wo’s vor Viren und Trojaner grad so wimmelt ;o)
    Wertlos! Absolut wertlos. Ein Tool interessiert der 301er oder 302er Status deines Servers einen $%&$@§. Damit ärgerst du nur Menschen, aber kein Spammer-Tool. Vergiss das bitte!

    Zitat Zitat von Guenther Weinerth
    Günni
    Hmm, warum bekomm ich jetzt Lust auf Weißwürste

  6. #6
    Neues Mitglied
    Registriert seit
    03.05.2006
    Beiträge
    5

    Standard

    >Hmm, warum bekomm ich jetzt Lust auf Weißwürste
    Weiß nicht, sags mir )

    Dass manche Sachen bei Spamabwehr fies sind, ist nicht zu bestreiten. Wenn ich aber irgendwo zu Besuch bin, sollte ich mich auch benehmen, wie es der Hausherr wünscht, ... und Spam hinterlassen find ich eben nicht als OK und versuche mich dementsprechend zu wehren wenn's sein muss dann eben auch mit fiesen Mitteln.

    Meine GB-Kunden freuen sich, wenn ihr GB eben dadurch n Stückchen sauberer bleibt und das ist mir schon wichtig.

    ... und ey ... das mit der russischen Site war n Joke ;o)



    Günni

  7. #7
    Mitglied
    Registriert seit
    15.01.2006
    Beiträge
    386

    Standard

    Zitat Zitat von Guenther Weinerth
    >Hmm, warum bekomm ich jetzt Lust auf Weißwürste
    Weiß nicht, sags mir )

    Dass manche Sachen bei Spamabwehr fies sind, ist nicht zu bestreiten.
    Bei Günni muss ich immer an die Schwanthalerstrasse in MUC denken. Und da komm ich halt auf die Weißwürschte.

    Und zu dem Referrer: Ich selber hab den gelegentlich abgedreht. Wenn man tief im Dreck des Web wühlt, dann soll der aufgewühlte Dreck nicht mitbekommen woher man gekommen ist. Gut, ich bin kein Gästebuchbesucher, ich versteh den Sinn von Gästebüchern ganz einfach nicht. Wahrscheinlich hat der typische Gästebuchbesucher so einen Drang wie ihn Hunde verspüren, überall eine Markierung setzen und das Revier abstecken?

    Aber zurück zum Referrer. Es gibt da einige Seiten, die verfallen in einen Endlosloop, wenn man denen keinen Referrer mitliefert. Aber wozu brauchen die denn den Referrer? Wenn ich auf die Hauptseite surfe, dann hinterlasse ich dort einen Eintrag *mindestens* im Logfile des Servers. Wozu einem fälschbaren Referrer vertrauen, wenn es den sicheren Eintrag am Server selber gibt -- identifizierbar durch die Kombination von IP-Adresse und Browser-Kennung?

  8. #8
    Neues Mitglied
    Registriert seit
    03.05.2006
    Beiträge
    5

    Standard

    Zitat Zitat von Wurgl
    Bei Günni muss ich immer an die Schwanthalerstrasse in MUC denken. Und da komm ich halt auf die Weißwürschte.
    sind sie dort wenigsten lecker?

    Der Vergleich mit der Hundeduftmarke is net schlecht

    Das mit den Logfiles muss ich mir mal anschauen. Danke


    Günni

  9. #9
    Mitglied Avatar von heinerle
    Registriert seit
    07.09.2005
    Beiträge
    776

    Standard

    Zitat Zitat von Wurgl
    Bei Günni muss ich immer an die Schwanthalerstrasse in MUC denken. Und da komm ich halt auf die Weißwürschte.
    Zitat Zitat von Guenther Weinerth
    sind sie dort wenigsten lecker?
    ...
    Es geht da mehr um einen Anwalt, der mit Vornamen Guenther (Spitzname Günni) heißt und in früheren Zeiten auch als Tanja Mailboxbetreiber (meist Schüler) zum unberechtigten Kopieren von Software angestiftet und anschließend abgemahnt/verklagt hat. Hat am oben genannten Ort eine Kanzlei mit einem weiteren Bernhard Syndikus betrieben, der z.B. im Zusammenhang mit FTPWorld auffällig geworden ist.

  10. #10
    BOFH Avatar von exe
    Registriert seit
    17.07.2005
    Ort
    Serverraum
    Beiträge
    5.936

    Standard

    Eine andere schöne Idee war, das Captcha nur anzuzeigen wenn z. B. die IP verdächtig ist oder sonstige Kriterien eintreten, die einen Eintrag verdächtig erscheinen lassen.

    Ist deshalb praktisch, weil 95% aller Nutzer kein Captcha ausfüllen müssen. Ob das mit den IPs in Zeiten von Bots allerdings so eine gute Idee ist, wäre zu prüfen.
    Dieser Beitrag kann Spuren von Ironie und billiger Polemik enthalten. Die Schöpfungshöhe ist technisch bedingt.

    Wir müssen die Religion des anderen respektieren, aber nur in dem Sinn und dem Umfang, wie wir auch seine Theorie respektieren, wonach seine Frau hübsch und seine Kinder klug sind.
    Richard Dawkins

Seite 1 von 6 123 ... LetzteLetzte

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen