---

Hej

Ved ikke om det er den rigtig gruppe jeg spørg i, men jeg har en formular på
min website og der er kommer nogle mærkelig forespørgelse ind fra den.

Jeg mistænker at det er en "formular worm" som crawler igennem nettet og
automatisk udfylder formularen.
Hvad formål har det ?? og hvordan beskyttes det uden en f.eks. gif billede
med en kode??

MVH

N9

---

ddd skrev:

> Ved ikke om det er den rigtig gruppe jeg spørg i, men jeg har en formular på
> min website og der er kommer nogle mærkelig forespørgelse ind fra den.

Hvis det er det eneste problem, så er du heldig. En åben formular
giver f.eks. adgang til at sætte serveren til at spytte spam.

> Jeg mistænker at det er en "formular worm" som crawler igennem nettet og
> automatisk udfylder formularen.
> Hvad formål har det ??

Hvordan skulle vi kunne gætte det ud fra så få oplysninger?

> og hvordan beskyttes det uden en f.eks. gif billede
> med en kode?

Ved i det program der modtager input fra brugeren at tjekke
omhyggeligt at der ikke er noget snavs i og så forkaste inputtet
hvis der er.

Beskyttelsen med et gif-billede er til stor gene for brugeren, så
det kan jeg ikke anbefale. Det vil desuden ikke forhindre
hackning af din hjemmeside. Det kræver blot at det er en person
der gør det.

--
Bertel
http://bertel.lundhansen.dk/      http://fiduso.dk/

---

ddd skrev:
> Ved ikke om det er den rigtig gruppe jeg spørg i, men jeg har en formular på
> min website og der er kommer nogle mærkelig forespørgelse ind fra den.

Det er desværre helt normalt efterhånden. Forms skal beskyttes en del
for ikke at være "åbne hoveddøre" for spammere og hackere.

> Jeg mistænker at det er en "formular worm" som crawler igennem nettet og
> automatisk udfylder formularen.
> Hvad formål har det ??

Sikkert at at sende spam, eller at få kontrol over en eventuel
bagvedliggende database på dit website

og hvordan beskyttes det uden en f.eks. gif billede
> med en kode??

Erik Ginnerskov har samlet et par bud på beskyttelse her:
<http://www.hjemmesideskolen.dk/scripts/mailform.asp>. Jeg kan ikke
huske om han har nævnt muligheden af at lave et felt som man med CSS
skjuler for almindelige brugere, robotterne udfylder feltet, og afslører
sig selv (og det skal du selvfølgelig checke når du processerer formdata).

mvh

Jesper Brunholm

---

Jesper Brunholm skrev:

> Erik Ginnerskov har samlet et par bud på beskyttelse her:
> <http://www.hjemmesideskolen.dk/scripts/mailform.asp>.

Det er vist mere et spørgsmål om beskyttelse mod at
modtageradressen høstes af spamrobotter - der er så vidt jeg kan se
ikke nogen beskyttelse mod blogspam på Eriks side.

> Jeg kan ikke huske om han har nævnt muligheden af at lave et
> felt som man med CSS skjuler for almindelige brugere,
> robotterne udfylder feltet, og afslører sig selv (og det skal
> du selvfølgelig checke når du processerer formdata).

Den metode har Toke Eskildsen lavet en fin side om:
<http://ekot.dk/www/spamtrap/>
--
Jens Gyldenkærne Clausen
Svar venligst under det du citerer, og citer kun det der er
nødvendigt for at forstå dit svar i sammenhængen. Se hvorfor og
hvordan på http://usenet.dk/netikette/citatteknik.html

---

Jens Gyldenkærne Clausen skrev:
> Det er vist mere et spørgsmål om beskyttelse mod at
> modtageradressen høstes af spamrobotter - der er så vidt jeg kan se
> ikke nogen beskyttelse mod blogspam på Eriks side.

Man kan diskutere hvor effektivt det er, men på "php-script med
spamfælde" <http://www.hjemmesideskolen.dk/scripts/phpmail.php> står der
"Dette script er udformet således, at spambotters forsøg på injection
bliver fanget og blokeret."

Effektivt er til gengæld "Mail via php-script m/kode"
<http://www.hjemmesideskolen.dk/scripts/phpmailc.php> - metoden hvor man
skal indtaste en kode fra en grafikfil for at sende.

>> Jeg kan ikke huske om han har nævnt muligheden af at lave et
>> felt som man med CSS skjuler for almindelige brugere,
>> robotterne udfylder feltet, og afslører sig selv (og det skal
>> du selvfølgelig checke når du processerer formdata).
>
> Den metode har Toke Eskildsen lavet en fin side om:
> <http://ekot.dk/www/spamtrap/>

Godt du kunne indsupplere med den, jeg havde ikke set den

I øvrigt så har jeg flere gange haft held med at lave en løsning hvor et
felt som skal udfyldes rigtigt ud fra forståelse af et andet sprog end
engelsk sikrer imod både robotter og udenlandske hånd-spammere. Jeg
indsætter 1 af 5 tilfældige spørgsmål af typen "Skriv navnet på et
husdyr der spiser mus, tre bogstager", men hvis man kan klare sig med
"Style-fælder" så er det da at foretrække for brugerne...

I øvrigt kunne style-fælden gøres lidt sværere at komme udenom ved at
lave visibility:hidden med id's og eksternt stylesheet.

mvh

Jesper Brunholm

---

Jesper Brunholm skrev:

> Man kan diskutere hvor effektivt det er, men på "php-script
> med spamfælde"
> <http://www.hjemmesideskolen.dk/scripts/phpmail.php> står der
> "Dette script er udformet således, at spambotters forsøg på
> injection bliver fanget og blokeret."

Jeg tror det er et gammelt script. Jeg ville ikke sætte min lid til
en spamtjekker der alene tjekker om ens eget domæne står i navn
eller mail-feltet, men det kan selvfølgelig godt fange lidt. Til
gengæld er metoden problematisk hvis flere brugere deler samme
domæne - her kunne en mailadresse fra samme domæne jo være helt
legitim.


> Effektivt er til gengæld "Mail via php-script m/kode"
> <http://www.hjemmesideskolen.dk/scripts/phpmailc.php> -
> metoden hvor man skal indtaste en kode fra en grafikfil for at
> sende.

Ja, helt afgjort. Den er dog også mere besværlig at anvende en
modellen med css og skjulte felter.

Men jeg overså at det var modeller med spamfælder blandt Eriks
eksempler - det beklager jeg.


>> Den metode har Toke Eskildsen lavet en fin side om:
>> <http://ekot.dk/www/spamtrap/>
>
> Godt du kunne indsupplere med den, jeg havde ikke set den

Jeg fandt den frem for få dage siden fordi et af de sites jeg
administrerer blev ramt af kommentarspam. Det er ikke så længe
siden der kørte en tråd om emnet - det var det der affødte Tokes
side.

> I øvrigt så har jeg flere gange haft held med at lave en
> løsning hvor et felt som skal udfyldes rigtigt ud fra
> forståelse af et andet sprog end engelsk sikrer imod både
> robotter og udenlandske hånd-spammere.

Hvis man kan leve med at frasortere folk der ikke kan læse/skrive
dansk, er sådan en løsning særdeles effektiv. Jeg har set en anden
løsning der viser et simpelt regnestykke (10 + 50) - den er ikke så
afhængig af sproget og dermed let at bryde for en "håndspammer",
men den er formentlig stadig effektiv mod botter.

Håndspammere er normalt også lettere at håndtere, da man ofte kan
blokere dem via ip-adressen.
--
Jens Gyldenkærne Clausen
Svar venligst under det du citerer, og citer kun det der er
nødvendigt for at forstå dit svar i sammenhængen. Se hvorfor og
hvordan på http://usenet.dk/netikette/citatteknik.html

---

Jens Gyldenkærne Clausen wrote:

[http://ekot.dk/www/spamtrap/]

> Jeg fandt den frem for få dage siden fordi et af de sites jeg
> administrerer blev ramt af kommentarspam. Det er ikke så længe
> siden der kørte en tråd om emnet - det var det der affødte Tokes
> side.

Jeg så lige den her tråd og tog mig sammen til at opdatere siden. Jeg
har lagt en graf med noget statistik i bunden, som nok kan fungere som
en advarsel til dem, der er naive nok til at køre uden nogen form for
filtrering (det var jeg som bekendt for mindre end et år siden).

En noget kedelig konklusion på det seneste halve års spam er at der er
spammere, der laver fuld parsing og tolkning af JavaScript på siderne.
Det er med andre ord ikke nogen sikker metode at lade et JavaScript
udfylde nogen felter på en bestemt måde. På den anden side hjælper det
godt til, så det skal nok snarere ses som endnu en hjælp, i stedet for
en endelig løsning.

[Få brugeren til at udfylde på en bestemt måde]

> Hvis man kan leve med at frasortere folk der ikke kan læse/skrive
> dansk, er sådan en løsning særdeles effektiv. Jeg har set en anden
> løsning der viser et simpelt regnestykke (10 + 50) - den er ikke så
> afhængig af sproget og dermed let at bryde for en "håndspammer",
> men den er formentlig stadig effektiv mod botter.

Det skalerer desværre ikke til f.eks. et blog-system, hvor der er
rigtig mange installationer rundt omkring, for der vil der blove lavet
spambots specifikt til systemet og de kan let fiske "x + y" eller
lignende simple opgaver ud fra siderne.

På enkeltpersoners sider vil det derimod virke rigtig godt. Jeg kunne
forestille mig at "Skriv 'spam er svineri' i feltet til højre" ville
være nok.

Dog er jeg principielt imod at der stilles forhindringer op mod de
rigtige brugere, men det er mere et personligt valg.


Et par andre ideer, som gutterne på kontoret kom op med:

- Lad klienten foretage en reel udregning med JavaScript, som f.eks. at
beregne decimal nummer X af pi. Dette belaster spammaskinerne
væsentligt, da de kører rigtig mange jobs. Til dem uden JavaScript
vises et billede med kodeord.

Desværre belaster det også serveren at skulle kontrollere svaret og det
er svært at finde et problem, der tager "passende" kraft både på en
gammel 300 MHz Pentium og en moderne 3000+ AMD-processor.

- Lav en timeout på f.eks. 5 sekunder. Sendes formularindholdet før
denne tid er gået, klassificeres den som spam. Det burde virke ret godt
de fleste steder, evt. kombineret med en nedtælling, så de meget
hurtige tastere ikke sender for tidligt.
--
Toke Eskildsen - http://ekot.dk/

---

"Toke Eskildsen" <darkwing@daimi.au.dk> wrote in message
news:Xns9859D0CC5BFF2tokeeskildsen@130.225.247.90...
> Jens Gyldenkærne Clausen wrote:
>
> - Lav en timeout på f.eks. 5 sekunder. Sendes formularindholdet før
> denne tid er gået, klassificeres den som spam. Det burde virke ret godt
> de fleste steder, evt. kombineret med en nedtælling, så de meget
> hurtige tastere ikke sender for tidligt.
> --
> Toke Eskildsen - http://ekot.dk/

Den del synes jeg lyder meget tiltalende fremfor indtastninge af diverse
sikekrhedkoder.
Tak, for forslaget...

/Thrane

---

Jens Gyldenkærne Clausen wrote:

> Jeg tror det er et gammelt script.

Alting er relativt. Sammenlignet med mig halvgamle knark (57) er det ikke et
gammelt script.

Det blev strikket sammen i september 2004, så i dagens IT-verden kan man da
godt sige, at det er gammelt.

--
Med venlig hilsen
Erik Ginnerskov
http://hjemmesideskolen.dk/ - http://ginnerskov.dk/
http://html-faq.dk