Kommentare zu: Trackbacks holen den Spam ins Blog

By: SteBu

SteBu — Mon, 12 Jun 2006 18:11:30 +0000

>Nicht ein meiner Websites, die ich in den letzten Jahren mit Kommentarfunktionen, Gästebüchern etc.entwickelt habe, haben je ein Spam Comment gesehen. Glück gehabt ;-) . >Denn die SPAM-Script schauen sich in der Regel nicht die Site vor komplett an Falsch. Ein von mir ausgedachte Lösung im Jahr 2004 wurde kaum bekannt gemacht(und selbst wenn, der Value war ja frei wählbar) und hatte kaum 4 Wochen bestand. Die Seiten werden sehr wohl komplett gescannt. Deine Variante mit der Preview ist noch immer die, die das beste Verhältnis aus Usability und Schutz bildet. Und das es WP so massiv trifft, dürfte wohl an seiner Verbreitung liegen. >(...)simplere aber wirkungsvolle Spam-Filter WP-Hash-Cash und Nachfolger sind gut. Haben aber den Nachteil, das User ohne JS nicht kommentieren können. Doch da könnte man ja eine Captcha-Alternative in den noscript-Bereich packen. Ich selber nutze s9y und habe ohne Spamkarma und Co. nur mit TB-Spam zu tun, der aber, auf Grund von Regeln(alte Einträge (>5d), werden bei autom. Nachrichten nur moderiert mit mit Comments versorgt) nich öffentlich wird.

By: LJay

LJay — Mon, 12 Jun 2006 20:27:13 +0000

>> Denn die SPAM-Script schauen sich in der Regel nicht die Site vor komplett an…

>Falsch

Nicht ganz! Mit \”anschauen\” mein ich etwas anderes.
Ein Formular schauen sie sich ggf. an und analysieren es.
Gesetz den Fall ich hab aber auf einer vorhergehenden Seite eine Session-Var gesetzt, wissen die Spider/Bot/Scripte dies nicht, denn die \”attakieren\” direkt die Ziel Seite des Formulars an die die Daten geschickt werden. (Also das File, welches im From als \”action\” (target) definiert ist.

Die Scripts gehen dabei nicht den Weg, den ein User gehen muss, bis er ein Kommentar schreibt.
Der User muss erst auf Seite A einen Link klicken um das Formular auf Seite B zu sehen, welches die Daten an Seite C schickt.
Scripts attakieren direkt Seite C und haben daher nicht die Session aus Seite A!
Bisher hat sich dies jedenfalls sehr bewehrt.
Auf www.drecksmuchte.de z.B. hatte ich arge Probleme im Gästebuch mit SPAM, bis… bis ich die benannte Vorgehensweise dort implementiert habe.

By: SteBu

SteBu — Tue, 13 Jun 2006 14:42:04 +0000

Das die Scripts direkt auf das verarbeitende File schießen ist klar. Aber auf A die SESSION zu generieren kann ein Fehler sein. Wenn ich einen Link von meinem Blog auf diesen Eintrag hier setze(also auf B) hat der User A nie gesehen und das gibt einen False-Positive, weil er fürn Bot gehalten wird.

Trotze allem denke ich noch, das die Scipte die Seiten (auch) parsen. Denn meine Lösung aus 2004 arbeitet mit zufälligen Values(8-12 stellig) die in einem hiddenfeld gesetzt und so nat. ausgelesen wurden.

Meine nächste Lösung entsprach in etwa dem von WP-Hash_Cash, nur das sie selber entwickelt war und damit durchhielt.
Auf den Event onSubmit wurde erst beim absenden ein Input-Feld in das Forumlar geschrieben, Feld und Value mussten C vorhanden sein wenn die PostData auf C ankamen. Das klappte bis zum Schluß, erfoderte aber JS auf Userseite.

By: LJay

LJay — Tue, 13 Jun 2006 15:44:25 +0000

hmmm… ja bei der Art aufgebauten Seiten, wo man auch als User direkt auf die Eingabeseite kommen kann, ist dies in der Tat schwieriger, daher habe ich bisher noch keine solche Gästebücher etc. erstellt, sondern immer mit der anderen Varianten.

By: LJay

LJay — Tue, 13 Jun 2006 15:51:48 +0000

Wie ist das, faken die Bots mittler Weile auch Useragents, geben sich also z.B. Mozialla aus?! Denke mal schon oder, sonst wäre es ja zu leicht die Bots auszuschliessen.

By: SteBu

SteBu — Wed, 14 Jun 2006 03:30:33 +0000

>(..)faken die Bots mittler Weile auch Useragents

Jupp, der IE ist sehr beliebt. Aber, selbst wenn sie keinen UA mitbringen, darf man nicht davon ausgehen, das es alles Bots sind. SW wie die Norton Internet Security übermitteln keinen UA-String.

By: LJay

LJay — Wed, 14 Jun 2006 07:31:45 +0000

hmmm, dachte ich mir fast.

PS: Beim SpamKarma muss ich nun feststellen, es filtert zuverlässig allen Spam raus.
ABER, es filtert z.B. auch deine Comments erstmal raus mit Karma um die 5-8.
Was ich vermisse, ist das man beim SpamKarma direkt den Beitrag nicht freigeben kann, dazu muss ich wieder in die WP Moderation wechseln… naja, solange der positive den negativen Effekt überwiegt, bin ich zufrieden. ;)

By: SteBu

SteBu — Wed, 14 Jun 2006 14:57:08 +0000

Ein Karma von 5-8! Spinnt das Teil. Auf was reagiert es so. Ist kein URL im Text und dann sogar noch ein Zitat. Na ja, soll es halt.
Ich lass mal jetzt den URL zu meinem Blog raus, mal sehen.

By: LJay

LJay — Wed, 14 Jun 2006 15:33:11 +0000

Nachdem ich nachträglich nochmal alle Filter rübergeschickt habe, kam dies heraus:
2: Comment contains no URL at all. 7: Akismet says it\’s ok 2: Comment contains no URL at all. 3: Eintrag vor 3 Tage, 1 Stunde gepostet. 7 Kommentare in den vergangenen 15 Tagen. Aktuelles Karma: 11. 7: Akismet says it\’s ok -6: Kommentar wurde manuell wiederhergestellt.

Hab nun leider nicht mehr die Stats vor meinem manuellen Eingreifen.
Das nächste Mal aber.

By: Mathias

Mathias — Mon, 19 Jun 2006 17:54:33 +0000

Eine zusätzliche Variante zur Vorschau ist die Überprüfung über die $_POST Variable, welcher Button gedrückt wurde. Wenn der Wert des Buttons stimmt, gehts mal weiter; wenn nicht, wird hier schon abgebrochen und die DB nicht belastet.

Ich hoffe, wenn ich hier meinen Artikel dazu verlinke, dass mein Kommentar nicht gleich als Spam erkannt wird ;) Also:

Artikel