2MC
Wer redet hier von Mails?
3-Tage keine Links: effektive Spamabwehr oder Schikane?
Moderators: white, Hacker, Stefan2
Der "Schutz" vor PWNtcha liegt bei 3%:Wie schon gesagt wurde, ist das kein 100%iger Schutz…
http://sam.zoy.org/pwntcha/
Wie der "Schutz" im realen Leben nach nur einem einzigen Seitenrefresh aussieht, kann sich jeder selbst ausrechnen.
Icfu
This account is for sale
Hi, Lefteous.
Der einzige Vorschlag, der nicht bereits realisiert war, aber auch nicht realisiert worden ist, war der, auch beim täglichen Login im Forum ein Captcha einzubauen. - Was anderes fällt mir auch heute nicht ein.
Was der Artikel, auf den icfu verweist, http://sam.zoy.org/pwntcha/, zeigt, ist, dass nur eines der wenigen schwer zu knackenden Captchas den Aufwand lohnt, es überhaupt einzubauen. Das könnte auch heißen, daß das Captcha beim Registrierungsvorgang ersetzt werden muss.
Ob, das hüpfende Captcha aus Icfus nächsten Beitrag, http://executor.21.forumer.com/profile.php?mode=register&agreed=true , die Voraussetzung erfüllt, schwer durch Software knackbar zu sein, kann ich nicht wirklich sagen.
Ansonsten benutzt das Forum, in dem ich mich neben dem T.C. Forum am meisten tummle, eine völlig andere Forensoftware. Diese scheint jetzt nach mindestens 2-Software-Updates und möglicherweise Konfigurationsmodifikationen, die man verständlicherweise nicht öffentlich breittritt, einigermaßen sicher vor automatisierten SpamBots zu schützen. Gegen ein paar zweibeinige Spambots reicht meistens der Lösch-Knopf der Moderatoren/Administratoren aus.
Da es sich um eine völlig andere Forumssoftware handelt, kann man deren Mechanismen nicht einfach auf das T.C. Forum übertragen. Drum bleibt es leider dabei, dass ich bereits in dem o.a. von dir, Lefteous, verlinkten Thread mein Pulver verschossen hatte und keine weiteren oder neueren Vorschläge liefern kann.
Grüße,
Karl
Damit hatte ich damals aber auch mein Pulver verschossen.Lefteous wrote:2karlchen
Spam im Forum bekämpfen - wie?
Sehr interessante Beiträge zum gleichen Thema - unter anderem vom Benutzer "Karlchen"
Der einzige Vorschlag, der nicht bereits realisiert war, aber auch nicht realisiert worden ist, war der, auch beim täglichen Login im Forum ein Captcha einzubauen. - Was anderes fällt mir auch heute nicht ein.
Was der Artikel, auf den icfu verweist, http://sam.zoy.org/pwntcha/, zeigt, ist, dass nur eines der wenigen schwer zu knackenden Captchas den Aufwand lohnt, es überhaupt einzubauen. Das könnte auch heißen, daß das Captcha beim Registrierungsvorgang ersetzt werden muss.
Ob, das hüpfende Captcha aus Icfus nächsten Beitrag, http://executor.21.forumer.com/profile.php?mode=register&agreed=true , die Voraussetzung erfüllt, schwer durch Software knackbar zu sein, kann ich nicht wirklich sagen.
Ansonsten benutzt das Forum, in dem ich mich neben dem T.C. Forum am meisten tummle, eine völlig andere Forensoftware. Diese scheint jetzt nach mindestens 2-Software-Updates und möglicherweise Konfigurationsmodifikationen, die man verständlicherweise nicht öffentlich breittritt, einigermaßen sicher vor automatisierten SpamBots zu schützen. Gegen ein paar zweibeinige Spambots reicht meistens der Lösch-Knopf der Moderatoren/Administratoren aus.
Da es sich um eine völlig andere Forumssoftware handelt, kann man deren Mechanismen nicht einfach auf das T.C. Forum übertragen. Drum bleibt es leider dabei, dass ich bereits in dem o.a. von dir, Lefteous, verlinkten Thread mein Pulver verschossen hatte und keine weiteren oder neueren Vorschläge liefern kann.
Grüße,
Karl
Das heißt also Du willst um die Spammer loszuwerden die "normalen" User vergraulen ?karlchen wrote:Der einzige Vorschlag, der nicht bereits realisiert war, aber auch nicht realisiert worden ist, war der, auch beim täglichen Login im Forum ein Captcha einzubauen. - Was anderes fällt mir auch heute nicht ein.
Jedesmal beim Login auch noch n Capatcha einzugeben
statt nur Alt+Enter zu drücken (Opera!) wäre ne Qual...
Schaut hier jmd die Kanadische Serie jPod ?
Die zeigt sehr schön es gibt KEINEN 100% Spamschutz
und demnach muß halt ein Kompromiß zwischen
Benutzerfreundlichkeit und Spamabwehr gefunden werden
und ich denke der aktuelle hier ist okay zumal die Bilder
im RSSReader angezeigt werden.
wie haste den gefunden ? und wie sicher ist der ?
Hoecker sie sind raus!
Doch so effektiv!icfu wrote:Der "Schutz" vor PWNtcha liegt bei 3%:
Wir betreiben auch ein kleines Forum (winzig im Vergleich zu diesem), mit der gleichen Software. Ohne Captcha wurden wir vom ersten Tag an mit Porno-Spam geradezu überschwemmt. Mit Captcha bei der Registrierung wurde es etwas besser, mit zusätzlicher primitiver Sicherheitsabfrage ("Wie heißt Albert Einstein mit Vornamen?") kommt kaum noch etwas vor. Das kann hier natürlich anders sein. Jedenfalls ist das alles nicht so einfach: http://www.phpbb.de/viewtopic.php?t=118482.
Last edited by Jordi on 2008-02-29, 10:50 UTC, edited 1 time in total.
Jordi
Also ich finde einige der folgenden Vorschläge ganz gut:
http://seo-marketing-blog.de/manuelfu/phpbb-spam/
Ziel muss es sein das Forum auf technischer Ebene zu individualisieren. Es soll also für einen Spambot nicht mehr als phpBB Forum erkennbar sein.
http://seo-marketing-blog.de/manuelfu/phpbb-spam/
Ziel muss es sein das Forum auf technischer Ebene zu individualisieren. Es soll also für einen Spambot nicht mehr als phpBB Forum erkennbar sein.
Habe mich heute morgen im Executor-Forum angemeldet und das Teil dort erblickt.wie haste den gefunden ?
Ich bezweifle, daß es einen durchschnittlichen Spambot interessiert, ob es hüpft oder nicht. Der Ausschnitt wird fotografiert und dann an die OCR-Routine geschickt – ich würde das jedenfalls so machen, wenn ich mir mit AHK einen Spambot zurechtzimmern wollte.und wie sicher ist der ?
Icfu
This account is for sale
Hallo, Lefteous.
Aber lieber Energie und Zeit in das Absichern des Forums stecken, als darin, Spamposts zu löschen und Bot-Accounts.
Der Ansatz, die eigene Systemspezifikation nach außen hin zu verschleiern, ist ja generell ein guter Ansatz, um Angreifer jeder Art das Leben nicht unnütz leicht zu machen.
Die Geschichte mit dem Fragenkatalog gefällt mir. Der muß natürlich umfangreich genug sein. Vielleicht können wir so nicht nur Bots draußen halten, sondern auch noch unser aller Bildungsstandard heben.
Im Ernst:
Wenn die Kombination aus Bild und Frage wirkungsvoller schützt, als ein abzutippender Schriftzug in einem Bild alleine, dann sollte man das versuchen.
Damit käme man dem Ziel vielleicht wieder etwas näher, dass die Bots bereits an der Registrierungsprozedur abprallen.
Und damit würde es dann entbehrlich, neuen Forenmitgliedern besondere Beschränkungen beim Posten aufzuerlegen, die für die übrigen Forenmitglieder nicht gelten.
Grüße,
Karl
Liest sich nach "Ohne Fleiß kein Preis."Lefteous wrote:Also ich finde einige der folgenden Vorschläge ganz gut:
http://seo-marketing-blog.de/manuelfu/phpbb-spam/
Ziel muss es sein das Forum auf technischer Ebene zu individualisieren. Es soll also für einen Spambot nicht mehr als phpBB Forum erkennbar
sein.
Aber lieber Energie und Zeit in das Absichern des Forums stecken, als darin, Spamposts zu löschen und Bot-Accounts. Der Ansatz, die eigene Systemspezifikation nach außen hin zu verschleiern, ist ja generell ein guter Ansatz, um Angreifer jeder Art das Leben nicht unnütz leicht zu machen.
Die Geschichte mit dem Fragenkatalog gefällt mir. Der muß natürlich umfangreich genug sein. Vielleicht können wir so nicht nur Bots draußen halten, sondern auch noch unser aller Bildungsstandard heben.
Im Ernst:
Wenn die Kombination aus Bild und Frage wirkungsvoller schützt, als ein abzutippender Schriftzug in einem Bild alleine, dann sollte man das versuchen.
Damit käme man dem Ziel vielleicht wieder etwas näher, dass die Bots bereits an der Registrierungsprozedur abprallen.
Und damit würde es dann entbehrlich, neuen Forenmitgliedern besondere Beschränkungen beim Posten aufzuerlegen, die für die übrigen Forenmitglieder nicht gelten.
Grüße,
Karl
Dagegen würde mir spontan Interlacing einfallen - bei dem jedes Einzelbild z.B. nur jeden zweiten Buchstaben enthält.icfu wrote:Ich bezweifle, daß es einen durchschnittlichen Spambot interessiert, ob es hüpft oder nicht. Der Ausschnitt wird fotografiert und dann an die OCR-Routine geschickt – ich würde das jedenfalls so machen, wenn ich mir mit AHK einen Spambot zurechtzimmern wollte.
In der Abfrage könnte z.B. nach "den ersten fünf" oder den Buchstaben "drei bis acht" gefragt werden.
Eine recht aufwändige, aber wirkungsvolle Idee aus einem alten PC-Spiel:
Solche Spielchen gingen doch bestimmt auch mit TC's aktueller Hilfedatei."Geben Sie aus der Anleitung folgendes Wort ein: Seite 48, Zeile 17, Wort 4."
Fairerweise sollte der Anwender vielleicht vorher seine bevorzugte Sprache wählen dürfen.
Hat was. Mit anschließender Suche bei Wikipedia ist das dann wie eine Schnitzeljagd. Wer schafft zuerst das Login...karlchen wrote:Vielleicht können wir so nicht nur Bots draußen halten, sondern auch noch unser aller Bildungsstandard heben.
Who the hell is General Failure, and why is he reading my disk?
-- TC starter menu: Fast yet descriptive command access!
-- TC starter menu: Fast yet descriptive command access!
Nee, eigentlich sollte die Hürde beim Registrieren als Forumsbenutzer so verändert werden, dass Bots nicht mehr so leicht drüberspringen können.StatusQuo wrote:Hat was. Mit anschließender Suche bei Wikipedia ist das dann wie eine Schnitzeljagd. Wer schafft zuerst das Login...karlchen wrote:Vielleicht können wir so nicht nur Bots draußen halten, sondern auch noch unser aller Bildungsstandard heben.
Das tägliche Login wollen wir ja nicht erschweren.
Und das Verbot, in den ersten Tagen Links zu senden, würden wir ja auch gerne überflüssig machen.
Desweiteren hatte ich (moralisch) den Ansatz unterstützt, aus den Forumsseiten möglichst alle Hinweise zu entfernen, die ein Bot benutzen kann, um festzustellen, dass es sich um ein phpBB Forum handelt und um welche Version. Damit fällt es dann auch schwerer, evtl. bekannte Lücken auszunutzen.
Karl
Das gilt nur für dynamisch vergebene IP-Adressen, Meister, und auch bei diesen kommt es auf die "DHCP Release Time" an. Bei QSC beispielsweise kannst Du Dich auch als Heimnutzer innerhalb von einer Stunde so oft ein- und ausloggen wie Du willst, an Deiner IP-Adresse ändert das überhaupt nichts.IP-Adresse sperren nützt nichts. Die hat nach dem Ausloggen ein anderer.
Icfu
This account is for sale