/ Forside / Teknologi / Udvikling / PHP / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
PHP
#NavnPoint
rfh 3959
natmaden 3372
poul_from 3310
funbreak 2700
stone47 2230
Jin2k 1960
Angband 1743
Bjerner 1249
refi 1185
10  Interkril.. 1146
Forhindre spam indlæg.
Fra : Mathias Mejborn


Dato : 05-08-06 17:55

Hej gruppe.

Så blev det min tur til at få spam indlæg på min hjemmeside, jeg har en
gæstebog hvor der ikke spammes i men så har jeg et artikel og blog
system hvor der bliver spammet i, jeg har dog godkendelse på de
kommentare man kan komme med til artiklerne og blogs'ne så de bliver
ikke vist på siden, men det er lidt irriterende at de kommer hele tiden.

Så er det jeg vil høre jer andre om hvordan i undgår disse irriterende
indlæg?

Gør man det ved at sætte billedegodkendelse op (hvor man skal skrive
nogle tegn som så skal passe til billedet), hvilket jeg ikke har prøvet
at lege med.

Eller vælger man bare at blokere fra udenlandske ip adresser (hvilket
jeg nok godt kunne leve med, hvis overstående var for indviklet at
implementere).

Et eksempel på en besked:

Hej Mathias, der er skrevet en ny kommentar til en blog.

Ipadresse: 217.119.114.154

Navn: In other words risk <a
href=\"http://www.ajcarvelli.com/us/free-keno\">free keno</a> <a
href=\"http://www.ajcarvelli.com/us/free-keno\">http://www.ajcarvelli.com/us/free-keno
upcard house price?

Besked: In other words risk <a
href=\"http://www.ajcarvelli.com/us/free-keno\">free keno</a> <a
href=\"http://www.ajcarvelli.com/us/free-keno\">http://www.ajcarvelli.com/us/free-keno
upcard house price?

Jeg har her i dag sat REMOTE_ADDR til så jeg kan se hvilken ipadresse de
kommer fra og der er ikke 2 der er ens.

--
Mvh
Mathias Mejborn.

 
 
Jens E. (05-08-2006)
Kommentar
Fra : Jens E.


Dato : 05-08-06 17:57

Mathias Mejborn wrote:

> Så blev det min tur til at få spam indlæg på min hjemmeside, jeg har en
> gæstebog hvor der ikke spammes i men så har jeg et artikel og blog
> system hvor der bliver spammet i

Hvilket CMS bruger du?

WordPress?
http://codex.wordpress.org/Plugins/Spam_Tools

--
Jens

Mathias Mejborn (05-08-2006)
Kommentar
Fra : Mathias Mejborn


Dato : 05-08-06 18:26

Jens E. wrote:
> Mathias Mejborn wrote:
>
>> Så blev det min tur til at få spam indlæg på min hjemmeside, jeg har
>> en gæstebog hvor der ikke spammes i men så har jeg et artikel og blog
>> system hvor der bliver spammet i
>
> Hvilket CMS bruger du?
>
> WordPress?
> http://codex.wordpress.org/Plugins/Spam_Tools
>
Hvis det er cms systemer ligesom mambo osv. du mener, så er svaret at
jeg ikke bruger nogle af disse, men har kodet det hele selv.

--
Mvh
Mathias Mejborn

Jens E. (05-08-2006)
Kommentar
Fra : Jens E.


Dato : 05-08-06 18:51

Mathias Mejborn wrote:

> Hvis det er cms systemer ligesom mambo osv. du mener, så er svaret at
> jeg ikke bruger nogle af disse, men har kodet det hele selv.

Hjemmestrikkede løsninger er nemmere at gøre sikre. Har du
brugerregistrering på? Det er måske nok i dit tilfælde.

Er din kode på dansk?

En CAPTCHA er som du nævner også en mulighed. Problemet er
bare at man derved risikerer at afskære svagtseende fra at bruge siden.
Om dette er et problem afhænger mest af sidens karakter og brugere.

Der er heller ingen garanti for at det vil virke, da mange implementationer
er relativt nemme at bryde maskinelt.

--
Jens

Mathias Mejborn (05-08-2006)
Kommentar
Fra : Mathias Mejborn


Dato : 05-08-06 19:08

Jens E. wrote:
> Mathias Mejborn wrote:
>
>> Hvis det er cms systemer ligesom mambo osv. du mener, så er svaret at
>> jeg ikke bruger nogle af disse, men har kodet det hele selv.
>
> Hjemmestrikkede løsninger er nemmere at gøre sikre. Har du
> brugerregistrering på? Det er måske nok i dit tilfælde.

Jeg er ikke interesseret i at man skal oprette bruger på siden for at
skrive kommentarer, så det ville jeg gerne undgå.
>
> Er din kode på dansk?

Ja det er den, eller nogle af mine variabler er navngivet med engelske
navne.

>
> En CAPTCHA er som du nævner også en mulighed. Problemet er
> bare at man derved risikerer at afskære svagtseende fra at bruge siden.
> Om dette er et problem afhænger mest af sidens karakter og brugere.

Jeg tror ikke at det er noget problem med svagtseende på min side (det
er mest venner osv. der bruger den) Men det afhænger vel også af
kvaliteten af billedet?
Men hvis den er nem at omgås kan det jo være lige meget.
>
> Der er heller ingen garanti for at det vil virke, da mange implementationer
> er relativt nemme at bryde maskinelt.
>

Jacob Atzen (05-08-2006)
Kommentar
Fra : Jacob Atzen


Dato : 05-08-06 22:01

On 2006-08-05, Mathias Mejborn <mame06@ceus.dk> wrote:
> Jens E. wrote:
>> Mathias Mejborn wrote:
>>
>>> Hvis det er cms systemer ligesom mambo osv. du mener, så er svaret at
>>> jeg ikke bruger nogle af disse, men har kodet det hele selv.
>>
>> Hjemmestrikkede løsninger er nemmere at gøre sikre. Har du
>> brugerregistrering på? Det er måske nok i dit tilfælde.
>
> Jeg er ikke interesseret i at man skal oprette bruger på siden for at
> skrive kommentarer, så det ville jeg gerne undgå.
>>
>> Er din kode på dansk?
>
> Ja det er den, eller nogle af mine variabler er navngivet med engelske
> navne.

Hvad med et input felt, der skal udfyldes med et eller andet?

"Skriv "hej" i boksen: []"

Low tech, men sandsynligheden for at spammerne gider bruge tid på at
kode noget, der kan håndtere det er nok rimelig lav. Og hvis de
alligevel bryder det, så har du ikke brugt man minutter på at
implementere det og kan prøve noget mere avanceret.

--
Med venlig hilsen
- Jacob Atzen

Andreas Falck (05-08-2006)
Kommentar
Fra : Andreas Falck


Dato : 05-08-06 18:51

Mathias Mejborn skrev i news:44d4cd58$0$870$edfadb0f@dread12.news.tele.dk

[ ... ]
> Navn: In other words risk <a
> href=\"http://www.ajcarvelli.com/us/free-keno\">free keno</a> <a
> href=\"http://www.ajcarvelli.com/us/free-keno\">http://www.ajcarvelli.com/us/free-keno
> upcard house price?
>
> Besked: In other words risk <a
> href=\"http://www.ajcarvelli.com/us/free-keno\">free keno</a> <a
> href=\"http://www.ajcarvelli.com/us/free-keno\">http://www.ajcarvelli.com/us/free-keno
> upcard house price?
>
> Jeg har her i dag sat REMOTE_ADDR til så jeg kan se hvilken ipadresse de
> kommer fra og der er ikke 2 der er ens.

Jeg har også en gæstebog der bliver vildt spammet med de der sider fra
www.ajcarvelli.com

--
Med venlig hilsen Andreas Falck - ICQ 108 480 093
http://bibeltro.dk/ + http://ny.skabelsen.info/ + *DebatForum*
http://RUI.ravsted.dk - den lokale ungdoms- & idrætsforening
http://ravsted.dk/ - nok Danmarks mest besøgte landsby-webside


Arne Feldborg (06-08-2006)
Kommentar
Fra : Arne Feldborg


Dato : 06-08-06 00:21

"Andreas Falck" <dewnull@tiscali.dk.invalid> skrev Sat, 5 Aug 2006
19:50:31 +0200


>Jeg har også en gæstebog der bliver vildt spammet med de der sider fra
>www.ajcarvelli.com
>
Hvis du bruger eet af de kendte CMS systemer og / eller hvis din
gæstebog ligger i roden og hedder "guestbook.php" så kan du være
rimeligt sikker på at blive spammet, medmindre du tager
modforholdsregler.

Men for nu ikke at risikere et nyt møgfald for at være for teknisk, vil
jeg allerhøfligst undlade at forklare, hvordan du løser problemet.

--
mvh, A:\Feldborg

Slægtsforskning og lokalhistorie i midt- vestjylland
http://hammerum-herred.dk/

Andreas Falck (06-08-2006)
Kommentar
Fra : Andreas Falck


Dato : 06-08-06 05:53

Arne Feldborg skrev i news:5k9ad290688nglosvciupn0qdt378ck2bc@4ax.com

[ ... ]
>> Jeg har også en gæstebog der bliver vildt spammet med de der sider fra
>> www.ajcarvelli.com
>>
> Hvis du bruger eet af de kendte CMS systemer

Jeg ved ikke hvor kendt det er endnu i de brede kredse, men jeg bruger
Fundanemt (http://fundanemt.com), den kan jeg som nybegynder næsten finde ud
af.

> og / eller hvis din
> gæstebog ligger i roden og hedder "guestbook.php" så kan du være
> rimeligt sikker på at blive spammet, medmindre du tager
> modforholdsregler.

Det gør den ikke. Den ligger sådan her:
domæne/cmsnavn/moduler/fundaGuestbook/fundaGuestbook.php

> Men for nu ikke at risikere et nyt møgfald for at være for teknisk, vil
> jeg allerhøfligst undlade at forklare, hvordan du løser problemet.

Denne tråd er ikke for nybegyndere

Du ønskes en rigtig god søndag.

--
Med venlig hilsen Andreas Falck - ICQ 108 480 093
http://bibeltro.dk/ + http://ny.skabelsen.info/ + *DebatForum*
http://RUI.ravsted.dk - den lokale ungdoms- & idrætsforening
http://ravsted.dk/ - nok Danmarks mest besøgte landsby-webside


Mathias Mejborn (06-08-2006)
Kommentar
Fra : Mathias Mejborn


Dato : 06-08-06 10:13

Arne Feldborg wrote:
> "Andreas Falck" <dewnull@tiscali.dk.invalid> skrev Sat, 5 Aug 2006
> 19:50:31 +0200
>
>
>> Jeg har også en gæstebog der bliver vildt spammet med de der sider fra
>> www.ajcarvelli.com
>>
> Hvis du bruger eet af de kendte CMS systemer og / eller hvis din
> gæstebog ligger i roden og hedder "guestbook.php" så kan du være
> rimeligt sikker på at blive spammet, medmindre du tager
> modforholdsregler.
>
> Men for nu ikke at risikere et nyt møgfald for at være for teknisk, vil
> jeg allerhøfligst undlade at forklare, hvordan du løser problemet.
>
Jeg bruger som før skrevet ikke et CMS system, og det er ikke min
gæstebog der spammes men min kommentar funktion til blogs og artikler.

Forstår ikke hvor du skriver i denne tråd hvis du alligevel ikke vil
skrive hvordan du synes man skal løse det?

--
Mvh
Mathias Mejborn

jopa (06-08-2006)
Kommentar
Fra : jopa


Dato : 06-08-06 19:05

Arne Feldborg skriblede bla:
>
> Men for nu ikke at risikere et nyt møgfald for at være for teknisk,
> vil jeg allerhøfligst undlade at forklare, hvordan du løser problemet.

Så lad dog være med at svare spasser

--
Mvh.John




Henrik Stidsen (06-08-2006)
Kommentar
Fra : Henrik Stidsen


Dato : 06-08-06 01:15

Mathias Mejborn formulated on lørdag :
> Så blev det min tur til at få spam indlæg på min hjemmeside, jeg har en
> gæstebog hvor der ikke spammes i men så har jeg et artikel og blog system
> hvor der bliver spammet i, jeg har dog godkendelse på de kommentare man kan
> komme med til artiklerne og blogs'ne så de bliver ikke vist på siden, men det
> er lidt irriterende at de kommer hele tiden.

> Så er det jeg vil høre jer andre om hvordan i undgår disse irriterende
> indlæg?

En nem måde hvorpå jeg har stoppet spam via en kontaktformular er ved
at sætte en cookie når formularen vises og checke om den stadig er der
når formularen behandles (= mailen afsendes).

Det kan udvides til at man sætter cookies der fortæller hvad de
tilfældigt genererede <input> id er og så læser cookien for at finde de
værdier der er indtastet i formularen.

Det syns jeg har været effektivt og det har virket indtil videre.

--
Henrik Stidsen - http://henrikstidsen.dk/
"I´m sorry for whatever I´m going to do and I swear I didn´t do any of
that stuff I did." - Rufus Riley, The Minority Report



Mathias Mejborn (06-08-2006)
Kommentar
Fra : Mathias Mejborn


Dato : 06-08-06 10:15

Henrik Stidsen wrote:
> Mathias Mejborn formulated on lørdag :
>> Så blev det min tur til at få spam indlæg på min hjemmeside, jeg har
>> en gæstebog hvor der ikke spammes i men så har jeg et artikel og blog
>> system hvor der bliver spammet i, jeg har dog godkendelse på de
>> kommentare man kan komme med til artiklerne og blogs'ne så de bliver
>> ikke vist på siden, men det er lidt irriterende at de kommer hele tiden.
>
>> Så er det jeg vil høre jer andre om hvordan i undgår disse irriterende
>> indlæg?
>
> En nem måde hvorpå jeg har stoppet spam via en kontaktformular er ved at
> sætte en cookie når formularen vises og checke om den stadig er der når
> formularen behandles (= mailen afsendes).
>
> Det kan udvides til at man sætter cookies der fortæller hvad de
> tilfældigt genererede <input> id er og så læser cookien for at finde de
> værdier der er indtastet i formularen.
>
> Det syns jeg har været effektivt og det har virket indtil videre.
>
Jeg vil prøve det af med inputfeltet som man skal udfylde for at se om
det virker, og hvis ikke så må jeg prøve at lege med dit forslag Henrik,
eftersom det virker som det mest seriøse bud på hvordan jeg skal løse
problemet.

--
Mvh
Mathias Mejborn


Kim Ludvigsen (06-08-2006)
Kommentar
Fra : Kim Ludvigsen


Dato : 06-08-06 14:21

Den 06-08-06 11.15 skrev Mathias Mejborn følgende:

> Jeg vil prøve det af med inputfeltet som man skal udfylde for at se om
> det virker

Du skal dog ikke skrive det brugte ord ved siden af feltet. Man behøver
ikke at kunne forstå dansk for at kunne regne den ud. Bed fx i stedet
brugeren indtaste navnet det dyr der siger muuh og som er på to
bogstaver. Kun dem der forstår dansk vil kunne regne den ud.

Du kan også gå den modsatte vej med et skjult felt, der /ikke/ skal
udfyldes. Spamrobotterne vil udfylde feltet, og er derfor nemme at
sortere fra. Denne metode vil dog ikke stoppe de spammere der skriver
manuelt.

--
Mvh. Kim Ludvigsen
Gratis bridgeprogram, så du kan øve dig uden at blive udsat for
makkerens hvasse blikke og spark under bordet.
http://kimludvigsen.dk

Dennis Munding (07-08-2006)
Kommentar
Fra : Dennis Munding


Dato : 07-08-06 17:10

Hej Kim!
"Kim Ludvigsen" <usenet@kimludvigsen.dk> skrev i en meddelelse
news:44d5ecc4$0$2110$edfadb0f@dtext02.news.tele.dk...
> Du kan også gå den modsatte vej med et skjult felt, der /ikke/ skal
> udfyldes. Spamrobotterne vil udfylde feltet, og er derfor nemme at sortere
> fra. Denne metode vil dog ikke stoppe de spammere der skriver manuelt.

Her vil jeg så lige tillade mig at bryde ind...

Jeg ændrede min kontakt-formular på skovaa-munding.dk til ovenstående
løsning i aftes, men det skulle jeg aldrig have gjort! Har lige slettet over
50 spam-indlæg, som slap igennem "filteret"!
De er muligvis ikke genereret af en robot men derimod en person, men uanset
hvad, så er det også lykkes vedkommende at skjule sin ip-adresse:
Afsenderens IP-adresse er: online poker???

Jeg henter ip-adressen sådan:
<? echo $_SERVER["REMOTE_ADDR"]; ?> og input-feltet, hvor den står skrevet,
er sat til readonly="readonly"....

Hvordan bærer de sig ad med det?
Gætter de sig frem til min variabel og laver så noget kode ud fra det?

Det kan tænkes, at jeg har fået fjernet den forkerte "tuborg-klamme" i
aftes - før benyttede jeg Dan Storms løsning, og der var implementeret noget
validering fra hans løsning i en løsning fra Erik Ginnerskov...

Koden som validerer formularen kan ses her:
http://www.pastebin.dk/index.php?show=1963


Håber der er nogen, som kan hjælpe mig...?

På forhånd tak!


Med venlig hilsen
--
Dennis Munding
http://pe-vagtservice.dk/, http://cantica.dk/, http://munding-webdesign.dk/,
http://skovaa-munding.dk/, http://mundings-memorial.dk/,
http://eds-denmark.dk/



Peter Brodersen (07-08-2006)
Kommentar
Fra : Peter Brodersen


Dato : 07-08-06 18:14

On Mon, 7 Aug 2006 18:10:17 +0200, "Dennis Munding" <mail@invalid.dk>
wrote:

>Jeg henter ip-adressen sådan:
><? echo $_SERVER["REMOTE_ADDR"]; ?> og input-feltet, hvor den står skrevet,
>er sat til readonly="readonly"....

I http://www.pastebin.dk/index.php?show=1963 henter du ikke
$_SERVER["REMOTE_ADDR"] men derimod $_POST['ip'] som jo netop er data
fra formulaten - altså data, brugeren selv har sendt.

At du beder en klient om ikke at skrive til feltet er helt irrelevant.
Klienten kan sende, hvad den vil. Hvis det er et input-felt, vil
spambots normalt antage, at det er et eller andet form for navn eller
overskrift, og så er det passende at sende fx "online poker" som
tekst.

Igen, det er brugerdata. Det er brugeren selv, der sender dataen. Den
er uden for din kontrol, så du har ingen grund til at stole på den.

--
- Peter Brodersen
Ugens^WMånedens^WSommerens værktøj - Find vej: www.findvej.dk
Nu med valgfri tekst: www.findvej.dk/Nybrogade2,1203?text=Kulturministeriet

Dennis Munding (07-08-2006)
Kommentar
Fra : Dennis Munding


Dato : 07-08-06 19:32

Hej Peter
"Peter Brodersen" <usenet2006@ter.dk> skrev i en meddelelse
news:eb7sej$i8d$2@news.klen.dk...
> I http://www.pastebin.dk/index.php?show=1963 henter du ikke
> $_SERVER["REMOTE_ADDR"] men derimod $_POST['ip'] som jo netop er data
> fra formulaten - altså data, brugeren selv har sendt.

Jeg troede, at jeg gjorde det rigtigt sådan:

<p>Din ip-adresse:<br />
<input type="text" name="ip" size="11" class="formip" value="<? echo
$_SERVER["REMOTE_ADDR"]; ?>" readonly="readonly" /></p>

....men jeg tog tilsyneladende fejl...

> At du beder en klient om ikke at skrive til feltet er helt irrelevant.
> Klienten kan sende, hvad den vil. Hvis det er et input-felt, vil
> spambots normalt antage, at det er et eller andet form for navn eller
> overskrift, og så er det passende at sende fx "online poker" som
> tekst.

Jo, men når jeg nu har mit "validerings-input-felt" her...
<p><input type="hidden" value="Skriv ikke her" name="valid" size="10" /></p>

....og så tjekker værdien her...
$valid = $_POST['valid'];
if(!empty($_POST['valid'])) {
header("Location: kontakt.php");
}
....så skulle de jo ikke kunne skrive noget i det, og sende formularen...??


> Igen, det er brugerdata. Det er brugeren selv, der sender dataen. Den
> er uden for din kontrol, så du har ingen grund til at stole på den.

A fatter aller en ski'!


Med venlig hilsen
--
Dennis Munding
http://pe-vagtservice.dk/, http://cantica.dk/, http://munding-webdesign.dk/,
http://skovaa-munding.dk/, http://mundings-memorial.dk/,
http://eds-denmark.dk/



Peter Brodersen (07-08-2006)
Kommentar
Fra : Peter Brodersen


Dato : 07-08-06 23:05

On Mon, 7 Aug 2006 20:32:08 +0200, "Dennis Munding" <mail@invalid.dk>
wrote:

>Jeg troede, at jeg gjorde det rigtigt sådan:
>
><p>Din ip-adresse:<br />
><input type="text" name="ip" size="11" class="formip" value="<? echo
>$_SERVER["REMOTE_ADDR"]; ?>" readonly="readonly" /></p>
>
>...men jeg tog tilsyneladende fejl...

Nej. Her indsætter du værdien i en formular, som du sender tilbage til
brugeren. Den værdi skal aldrig sendes tilbage til brugeren.

På din slut-side har du:
$ip = $_POST['ip'];
... altså, den værdi, der bliver sendt med form'en.

Hvorfor ikke bare aflæse den rigtige værdi, og ikke den, der
tilfældigvis bliver sendt med en form? Fx:

$ip = $_SERVER["REMOTE_ADDR"];

Alle data, der kommer udefra, kan ændres. Det har intet at gøre med om
et felt tilfældigvis er sat til "readonly" eller ej. Det er allerhøjst
et forslag til en normal browser. Brugeren kan sende alle de data, han
vil. Spammere sidder ikke med almindelige browsere og udfylder alle
felter manuelt, men bruger programmer til at finde forms på nettet,
finder felt-navnene og sender form-data med spam-data lagt ind.

>> At du beder en klient om ikke at skrive til feltet er helt irrelevant.
>> Klienten kan sende, hvad den vil. Hvis det er et input-felt, vil
>> spambots normalt antage, at det er et eller andet form for navn eller
>> overskrift, og så er det passende at sende fx "online poker" som
>> tekst.
>Jo, men når jeg nu har mit "validerings-input-felt" her...
><p><input type="hidden" value="Skriv ikke her" name="valid" size="10" /></p>
>
>...og så tjekker værdien her...
>$valid = $_POST['valid'];
>if(!empty($_POST['valid'])) {
>header("Location: kontakt.php");
>}
>...så skulle de jo ikke kunne skrive noget i det, og sende formularen...??

Det kan være, spam-robotten lader hidden-felter være af samme årsag.

--
- Peter Brodersen
Ugens^WMånedens^WSommerens værktøj - Find vej: www.findvej.dk
Nu med valgfri tekst: www.findvej.dk/Nybrogade2,1203?text=Kulturministeriet

Michael Zedeler (06-08-2006)
Kommentar
Fra : Michael Zedeler


Dato : 06-08-06 19:55

Henrik Stidsen wrote:
> Mathias Mejborn formulated on lørdag :
>
>> Så blev det min tur til at få spam indlæg på min hjemmeside, jeg har
>> en gæstebog hvor der ikke spammes i men så har jeg et artikel og blog
>> system hvor der bliver spammet i, jeg har dog godkendelse på de
>> kommentare man kan komme med til artiklerne og blogs'ne så de bliver
>> ikke vist på siden, men det er lidt irriterende at de kommer hele tiden.
>
>> Så er det jeg vil høre jer andre om hvordan i undgår disse irriterende
>> indlæg?
>
> En nem måde hvorpå jeg har stoppet spam via en kontaktformular er ved at
> sætte en cookie når formularen vises og checke om den stadig er der når
> formularen behandles (= mailen afsendes).

Det er da ekstremt nemt at omgå. Faktisk har jeg skrevet en
perl-oneliner, som gør præcis det.

> Det kan udvides til at man sætter cookies der fortæller hvad de
> tilfældigt genererede <input> id er og så læser cookien for at finde de
> værdier der er indtastet i formularen.

Ej forstå. Hvilke tilfældige id'er?

Hvis jeg skulle foreslå andet end det sædvanlige med et billede, der
indeholder noget som man skal taste ind, ville det være at lave noget
som forudsætter at klienten har JavaScript, så som at lave en eller
anden indviklet beregning, som tager noget tid at implementere i et
andet sprog. Det vil gøre det noget sværere at lave en robot, der
automatisk poster indlæg i gæstebogen.

Mvh. Michael.
--
Which is more dangerous? TV guided missiles or TV guided families?
I am less likely to answer usenet postings by anonymous authors.
Visit my home page at http://michael.zedeler.dk/

Henrik Stidsen (06-08-2006)
Kommentar
Fra : Henrik Stidsen


Dato : 06-08-06 22:40

It happens that Michael Zedeler formulated :
>> En nem måde hvorpå jeg har stoppet spam via en kontaktformular er ved at
>> sætte en cookie når formularen vises og checke om den stadig er der når
>> formularen behandles (= mailen afsendes).

> Det er da ekstremt nemt at omgå. Faktisk har jeg skrevet en perl-oneliner,
> som gør præcis det.

Ja, men om ikke andet så virker det fint på det site jeg implementerede
det på. Jeg ved godt det bare handler om at hente modtage cookien og så
sende den med igen - men alene det kræver jo et ekstra request til
serveren.

>> Det kan udvides til at man sætter cookies der fortæller hvad de tilfældigt
>> genererede <input> id er og så læser cookien for at finde de værdier der er
>> indtastet i formularen.

> Ej forstå. Hvilke tilfældige id'er?

Giv input felterne tilfældigt generedede ID/name og læg beskederne i en
cookie. Læs herefter cookien og du ved hvilke værdier du skal kigge
efter i requestet når formen skal afsendes. Stadigvæk nemt at omgå -
det kræver bare at robotten kan gennemskue systemet og hvilke felter
der skal indeholde hvilke værdier (er jo trist at sætte spambeskeden i
det forkerte felt). Man kan også vælge at gemme feltnavnene i en
session variabel, så kan klienten ikke aflure det nogen steder. Evt.
garnere med en række hidden felter med random ID for at forvirre en
robot.

> Hvis jeg skulle foreslå andet end det sædvanlige med et billede, der
> indeholder noget som man skal taste ind, ville det være at lave noget som
> forudsætter at klienten har JavaScript, så som at lave en eller anden
> indviklet beregning, som tager noget tid at implementere i et andet sprog.
> Det vil gøre det noget sværere at lave en robot, der automatisk poster indlæg
> i gæstebogen.

Det er også en mulighed. Der er mange muligheder og man behøver ikke
gøre det mere avanceret end nødvendigt.

--
Henrik Stidsen - http://henrikstidsen.dk/
"You can observe a lot just by watching." - Yogi Berra, Berra's Law



Michael Zedeler (07-08-2006)
Kommentar
Fra : Michael Zedeler


Dato : 07-08-06 07:51

Henrik Stidsen wrote:
> It happens that Michael Zedeler formulated :
>
>>> En nem måde hvorpå jeg har stoppet spam via en kontaktformular er ved
>>> at sætte en cookie når formularen vises og checke om den stadig er
>>> der når formularen behandles (= mailen afsendes).
>
>
>> Det er da ekstremt nemt at omgå. Faktisk har jeg skrevet en
>> perl-oneliner, som gør præcis det.
>
> Ja, men om ikke andet så virker det fint på det site jeg implementerede
> det på. Jeg ved godt det bare handler om at hente modtage cookien og så
> sende den med igen - men alene det kræver jo et ekstra request til
> serveren.

Nej.

>>> Det kan udvides til at man sætter cookies der fortæller hvad de
>>> tilfældigt genererede <input> id er og så læser cookien for at finde
>>> de værdier der er indtastet i formularen.
>
>> Ej forstå. Hvilke tilfældige id'er?
>
> Giv input felterne tilfældigt generedede ID/name og læg beskederne i en
> cookie. Læs herefter cookien og du ved hvilke værdier du skal kigge
> efter i requestet når formen skal afsendes. Stadigvæk nemt at omgå - det
> kræver bare at robotten kan gennemskue systemet og hvilke felter der
> skal indeholde hvilke værdier (er jo trist at sætte spambeskeden i det
> forkerte felt). Man kan også vælge at gemme feltnavnene i en session
> variabel, så kan klienten ikke aflure det nogen steder. Evt. garnere med
> en række hidden felter med random ID for at forvirre en robot.

Okay. Så er jeg med.

>> Hvis jeg skulle foreslå andet end det sædvanlige med et billede, der
>> indeholder noget som man skal taste ind, ville det være at lave noget
>> som forudsætter at klienten har JavaScript, så som at lave en eller
>> anden indviklet beregning, som tager noget tid at implementere i et
>> andet sprog. Det vil gøre det noget sværere at lave en robot, der
>> automatisk poster indlæg i gæstebogen.
>
> Det er også en mulighed. Der er mange muligheder og man behøver ikke
> gøre det mere avanceret end nødvendigt.

Men i modsætning til det du beskriver, er der den kvalitative forskel at
man enten forudsætter JavaScript i den modsatte ende, eller (ultimativt)
forudsætter noget OCR-software, som endnu ikke findes (hvis billederne
bare er tilstrækkeligt slørede).

Mvh. Michael.
--
Which is more dangerous? TV guided missiles or TV guided families?
I am less likely to answer usenet postings by anonymous authors.
Visit my home page at http://michael.zedeler.dk/

Henrik Stidsen (07-08-2006)
Kommentar
Fra : Henrik Stidsen


Dato : 07-08-06 17:54

Michael Zedeler expressed precisely :
>> Ja, men om ikke andet så virker det fint på det site jeg implementerede det
>> på. Jeg ved godt det bare handler om at hente modtage cookien og så sende
>> den med igen - men alene det kræver jo et ekstra request til serveren.

> Nej.

Ikke ? hvordan vil du finde værdien af en cookie uden at lave et
request til serveren ?

>> Det er også en mulighed. Der er mange muligheder og man behøver ikke gøre
>> det mere avanceret end nødvendigt.

> Men i modsætning til det du beskriver, er der den kvalitative forskel at man
> enten forudsætter JavaScript i den modsatte ende, eller (ultimativt)
> forudsætter noget OCR-software, som endnu ikke findes (hvis billederne bare
> er tilstrækkeligt slørede).

Captcha billeder er for længst "brudt" og en stor del af dem er pinligt
nemme at aflæse elektronisk HVIS man vil. Javascript kunne også sagtens
implementeres i en robot hvis det var nødvendigt.

--
Henrik Stidsen - http://henrikstidsen.dk/
"I´m sorry for whatever I´m going to do and I swear I didn´t do any of
that stuff I did." - Rufus Riley, The Minority Report



Peter Brodersen (07-08-2006)
Kommentar
Fra : Peter Brodersen


Dato : 07-08-06 18:12

On Mon, 07 Aug 2006 18:54:00 +0200, Henrik Stidsen <nntpspam@hs235.dk>
wrote:

>Captcha billeder er for længst "brudt" og en stor del af dem er pinligt
>nemme at aflæse elektronisk HVIS man vil. Javascript kunne også sagtens
>implementeres i en robot hvis det var nødvendigt.

Som sådan er der vel to uafhængige problemstillinger:

1. Forhindre at vilkårlige requests resulterer i indlæg eller e-mails
eller på anden måde støj

2. Forhindre målrettede automatiske requests

For en privat blog/gæstebog vil det typisk være nok at slippe for at
de allermest primitive requests resulterer i en post. På det område er
spam-post-bots' succesrate-pr-time stadigvæk større ved at de blot
finder forms, finder variabelnavne og submitter samme data over det
hele.

Enkelte kan være målrettede og lure bestemte systemer (fx Wordpress,
m.m.), men generelt kan man stadigvæk komme langt ved bare at fylde
data ud og submitte. Her vil selv de mindste forhindringer hjælpe. En
radiobutton, der default står på "Preview dette indlæg", et
indtastningsfelt med forskriften "Indtast bogstavet H her:",
javascript til at sætte en værdi eller til at submitte til en anden
url end den umiddelbare eller andre fuldstændige basale krav til
brugeren.

Det hjælper "kun" mod det vilkårlige robot-form-submitteri, men det er
også det, der er problemet for den almindelige bruger.

Hvis man derimod administrerer Hotmail eller Geocities, så er det ikke
nok kun at have løst punkt 1.

Egentligt er der også punkt 3, der handler om at forhindre målrettede
manuelle requests, men det er næppe et så stort problem. Det er typisk
her, en foruddefineret abuse-politik kommer ind i billedet.

Jeg tvivler på at hjemmelavede scripts med Captcha-billeder bliver
brudt foreløbigt. Undtagelsen kan selvfølgelig være, hvis et helt
bestemt script eller implementation bliver meget udbredt.

--
- Peter Brodersen
Ugens^WMånedens^WSommerens værktøj - Find vej: www.findvej.dk
Nu med valgfri tekst: www.findvej.dk/Nybrogade2,1203?text=Kulturministeriet

Michael Zedeler (07-08-2006)
Kommentar
Fra : Michael Zedeler


Dato : 07-08-06 18:45

Henrik Stidsen wrote:
> Michael Zedeler expressed precisely :
>
>>> Ja, men om ikke andet så virker det fint på det site jeg
>>> implementerede det på. Jeg ved godt det bare handler om at hente
>>> modtage cookien og så sende den med igen - men alene det kræver jo et
>>> ekstra request til serveren.
>
>> Nej.
>
> Ikke ? hvordan vil du finde værdien af en cookie uden at lave et request
> til serveren ?

Jeg var lidt hurtig - det er uden /ekstra/ forespørgsler. Din løsning
med de obfuskerede input-felter, eller hvad det nu er, udgør den
forespørgsel, hvor man får tildelt en cookie.

>>> Det er også en mulighed. Der er mange muligheder og man behøver ikke
>>> gøre det mere avanceret end nødvendigt.
>
>> Men i modsætning til det du beskriver, er der den kvalitative forskel
>> at man enten forudsætter JavaScript i den modsatte ende, eller
>> (ultimativt) forudsætter noget OCR-software, som endnu ikke findes
>> (hvis billederne bare er tilstrækkeligt slørede).
>
> Captcha billeder er for længst "brudt" og en stor del af dem er pinligt
> nemme at aflæse elektronisk HVIS man vil. Javascript kunne også sagtens
> implementeres i en robot hvis det var nødvendigt.

Hmmm. Jeg er slet ikke overbevist.

Mvh. Michael.
--
Which is more dangerous? TV guided missiles or TV guided families?
I am less likely to answer usenet postings by anonymous authors.
Visit my home page at http://michael.zedeler.dk/

Dan Storm (06-08-2006)
Kommentar
Fra : Dan Storm


Dato : 06-08-06 13:54

Mathias Mejborn skrev:
> Så er det jeg vil høre jer andre om hvordan i undgår disse irriterende
> indlæg?

Jeg har lavet en uhyre simpel captcha kontrol af input som jeg selv
benytter mig af på mit website. Systemet virker, efter egen mening,
fotrinligt. Er selv sluppet af med spamindlæg.

Kig på det <url: http://err0r.dk/download.php?details=6>


--
Dan Storm - storm at err0r dot dk / http://err0r.dk

Tro ikke brugerne vil gøre noget for at undgå dit killfilter
- Så vigtig er du heller ikke!

Lars Koch \(5000\) (12-08-2006)
Kommentar
Fra : Lars Koch \(5000\)


Dato : 12-08-06 08:55

>
> Jeg har lavet en uhyre simpel captcha kontrol af input som jeg selv
> benytter mig af på mit website. Systemet virker, efter egen mening,
> fotrinligt. Er selv sluppet af med spamindlæg.
>
> Kig på det <url: http://err0r.dk/download.php?details=6>
>
>
> --
> Dan Storm - storm at err0r dot dk / http://err0r.dk

Jeg har nu integreret dit script på min side, men det virker desværre ikke.
Har nu prøvet med en anden skrifttype og ændret lidt på billedet (så det er
noget sværere at aflæse - desværre også lidt for de besøgende)... Kan være
jeg har sat det forkert ind i min gæstebog. Tjek evt.
www.letsbeat.dk/forum/gbog.php.

Kan en robot "springe" f.eks. de første 10 linjer over min gem.php (altså
den fil som "accept comment" knappen kører når der trykkes). Hvis det er
muligt så forsvinder spærringen jo desværre.

Hvis nogen har lyst har jeg lagt min skriv.php (til indtastning af comments)
og min gem.php (som tjekker om alt er i orden og skriver til databasen) på
flg. adresse: www.letsbeat.dk/forum/forum.rar. Er der noget galt i dette,
eller er det rigtigt lavet. Det fungerer fint nu, men er spændt da der ikke
gik mere en 15 min i går til der var posts igen...




Peter Westh (17-08-2006)
Kommentar
Fra : Peter Westh


Dato : 17-08-06 11:33

Mathias Mejborn skrev:

> Så er det jeg vil høre jer andre om hvordan i undgår disse irriterende
> indlæg?

Jeg har selv haft samme problem. Jeg har en simpel php-side, som så
blev udfyldt fra en række alim htm-formularer vha <FORM METHOD="POST"
ACTION="mailform.php">

php-sidens indhold var indtil for nylig som følger:
<?php
@extract($_POST);
mail('min@mailadresse.dk',
$subject,
"$fornavn $efternavn
$adresse1 $adresse2
$postnr $by
$email
$besked
$etc,
"From: <$email>");
header("location:$kvittering");
?>

Det har resulteret i en stigende mængde spam. Jeg har imidlertid
kunnet se, at spammen ikke kom via html-formularerne (fordi bla e-mail
emnet i så fald ville have et bestemt indhold).

Jeg fik problemet løst ganske simpelt ved at give de centrale felter
usædvanlige navne, dvs. ændre $subject til $emne, $email til
$epostadresse (og ændre tilsvarende i formularerne). Det har fjernet
bølgen af spam fuldstændig, indtil videre.

MVH

Peter


Peter Westh (18-08-2006)
Kommentar
Fra : Peter Westh


Dato : 18-08-06 10:26

Peter Westh skrev:

> Jeg har selv haft samme problem.

Og har det stadig (eller igen). Lad venligst være med at spilde tid
med at følge mine gode råd... suk.

/P


Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408926
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste