"Christmas - the time to fix the computers of your loved ones" « Lord Wyrm

PHP: Spamsicheres Gästebuch?

semteX 16.12.2007 - 09:41 2242 13
Posts

semteX

begehrt die rostschaufel
Avatar
Registered: Oct 2002
Location: Pre
Posts: 14592
Da das captcha vom alten GB offenbar ned richtig arbeitet und ich regelmäßig seitenweise spam löschn muss:

Ich such ein simpelstes gästebuch auf PHP basis, dass einigermaßen spamsicher ist.

Thx
semteX

AoD

aka AngelOfDeath
Avatar
Registered: Nov 2002
Location: St. Pölten
Posts: 1482
ich hab grundsätzlich nichts damit am Hut, aber gibt es eine Möglichkeit die Captcha Generierungs Methode zu verändern? zB mehr Rauschen und störende Striche in das Bild bringen.

Dookie

Heimwerker
Avatar
Registered: Sep 2003
Location: Mödling
Posts: 739
also ich machs so das ich den link zum gb und den Form action link pro session dynamisch erzeuge. Bisher funktioniert das eigentlich recht gut.

BiG_WEaSeL

Super Moderator
-
Avatar
Registered: Jun 2000
Location: Wien
Posts: 8275
bitte bitte, vergiss captchas, die erschweren nur dem mensch sich einzutragen, nicht jedoch den computern ;)

AoD

aka AngelOfDeath
Avatar
Registered: Nov 2002
Location: St. Pölten
Posts: 1482
anderer Vorschlag:
ich hab keine Ahnung wie spambots mit javascript umgehen können, aber was hältst du davon
a) den Captcha im onload oder so per JS nachzuladen
b) zur Laufzeit ein HiddenField per JS auf den "richtigen" Wert zu setzen, der dann beim Postback geprüft wird

edit:
hier noch ein paar Links die dir weiterhelfen könnten:
Stopping Spambots: A Spambot Trap
The top 10 spam bot user agents you MUST block. NOW.
Apache: Bots (UserAgent / IP) aussperren per .htaccess
Quelle: Wikipedia.de (nicht hauen :p)
Bearbeitet von AoD am 16.12.2007, 09:59

semteX

begehrt die rostschaufel
Avatar
Registered: Oct 2002
Location: Pre
Posts: 14592
die ideen hörn sich alle ganz gut an, allerdings will ich an diesem aktuellen fix fertig ding nix mehr herumbasteln (ziemlich dafeut...) von daher wär ich auch über "basisvorschläge" der marke "nimm bla bla als basis" glücklich

InfiX

she/her
Avatar
Registered: Mar 2002
Location: Graz
Posts: 14195
Zitat von BiG_WEaSeL
bitte bitte, vergiss captchas, die erschweren nur dem mensch sich einzutragen, nicht jedoch den computern ;)

bilderrätsel sind eine gute alternative imho.

"was ist hier zu sehen"

bild von einem flugzeug z.b.
und als antwortmöglichkeiten halt diverse schreibweisen von flugzeug :P

dosen

Here to stay
Avatar
Registered: Feb 2003
Location: Wien
Posts: 5602
nenn die eingabefelder anders (statt message zb. rosaschluepfer), mach ein pflichtfeld unten dazu mit "diese nachricht wird im gästebuch veröffentlicht" und bennen das script um (gboooook.php oder irgendwas anderes)

sollte schonmal 95% der spambots überfordern. hört sich für mich an als hättest was fertiges genommen was sowieso alle bots kennen?

semteX

begehrt die rostschaufel
Avatar
Registered: Oct 2002
Location: Pre
Posts: 14592
Zitat von dosensteck
nenn die eingabefelder anders (statt message zb. rosaschluepfer), mach ein pflichtfeld unten dazu mit "diese nachricht wird im gästebuch veröffentlicht" und bennen das script um (gboooook.php oder irgendwas anderes)

sollte schonmal 95% der spambots überfordern. hört sich für mich an als hättest was fertiges genommen was sowieso alle bots kennen?
völlig korrekt, i hab damals das erstbeste, was ned total dafeut war gnommen und schnell eingebaut. das ist als boomerang retour gekommen...

i bräucht noch immer konkrete produkte, auf die ich aufsetzn kann :(

thx

UncleFucka

-
Avatar
Registered: Jun 2002
Location: CH
Posts: 4737
könnte man nicht auch einfach eine etwas veränderte bestätigungsmail machen?

indem man zum beispiel für bots einen fake link zum bestätigen reinschreibt und für menschen dazuschreibt das sie um sich korrekt anzumelden noch einen zusatz (zb eine nummer am ende) hinzufügen muss?

daisho

SHODAN
Avatar
Registered: Nov 2002
Location: 4C4
Posts: 19689
Den Leuten zuzumuten dass sie am Ende eines Links noch etwas anfügen sollen ist etwas heftig :D
Bestätigungsmail ist sowieso etwas heftig für ein Guestbook.

Ich denke eine "Ich bin kein Bot" Checkbox wird mal sehr sehr viel wegfiltern, der Rest ist dann meist Crap der manuell reingeschrieben wird ... dagegen kannst du eigentlich nur 2 Dinge tun (die mir einfallen)

a) Beiträge erst nach Freischalten durch dich anzeigen
b) Schlechte/Ungewünschte Beiträge löschen

Einen Wortfilter einbauen ist sicher auch keine schlechte Idee.

gue

Addicted
Avatar
Registered: Feb 2003
Location: Linz
Posts: 400
Ich hab einen sehr einfachen Check gemacht, basiert auf der Annahme, dass Spambots kein Javascript verstehen und hat mir bis jetzt 100% Bots gefiltert:
Code: PHP
<script type="text/javascript">
document.write('<input type="hidden" name="spamcheck" value="1001" />');
// könnte man noch ein bisschen obfuscaten, z.B. mit arithmetischen Auswertungen
</script>
<noscript>
Bitte hier 1001 reinschreiben: <input type="text" name="spamcheck" value="" />
</noscript>

moidaschl

Vollzeit-Hackler
Avatar
Registered: Aug 2002
Location: 1210, ABK-D/L
Posts: 4029
es geht ziemlich gut mit semantischen abfragen die jedes kind lösen kann - abgesehen davon halten sie die _wirklich dummen_ genauso ab .. zb wenns dein privater blog ist: "wie heißt dieser blog?" oder ähnliches, da kann man ruhig erfinderisch sein.

ein guter tipp ist auch: das tatsächliche eingabefeld irgendeinen namen geben und ein hidden erstellen, das nennst du "content" oder "body" oder so... und wenn das ausgefüllt ist, dann droppst du den post :) .. spambots füllen ziemlich sicher immer alles aus.. eine weitere möglichkeit: schreib dazu das keine URLs erlaubt sind und filtere jeden post heraus mit http:// drin. die meisten spambots posten ja URLs .. ich denk aus einem sammelsurium an möglichkeiten kannst du dir schon was zusammenbasteln. ich persönlich bin auch kein fan von captchas

semteX

begehrt die rostschaufel
Avatar
Registered: Oct 2002
Location: Pre
Posts: 14592
jajaja, vielen dank

aber ich brauch ne "basis"... das aktuelle will i nimmer weiterverwenden weil ich davon ausgehen muss, dass der source unsecure ist. i hab aber gleichzeitig keine zeit, mir jetzt da a eigenes zu schreiben, was ein bisserl was kann
Kontakt | Unser Forum | Über overclockers.at | Impressum | Datenschutz