Hi,

Diese sind "notwendig". Das @ _muss_ enthalten sein, der Zeilenumbruch _muss_ enthalten sein, sonst passt das gesamte Angriffsszenario nicht.

naja, es gibt auch (zu viele) Mailscripts, denen man die Zieladresse übergeben kann, anstatt evtl. eines Tokens, aus welchem der Server diese ermittelt. Hier ist der Zeilenumbruch nicht mehr nötig.

Auch das ist ein Herumgedoktore an Symptomen:

Sicher - es existiert schließlich keine technisch eindeutige Definition von "Spamming". Meiner Ansicht nach treffen diese Symptome aber auf weitaus mehr Fälle zu.

Der Spammer könnte sich darauf einstellen und seinen Request n+3 Sekunden nach Abruf des Formulars und des Session-Cookies starten. Auch ein Unix-Batch kennt sleep n.

Ja, aber er müsste das n (sowie dessen Existenz) erst einmal ermitteln. Ferner kostet es ihn die doppelte Anzahl an Requests[1] sowie ein komplexeres Datenmanagement. Ich behaupte, mit dieser Methode hat man langfristig die höhere Trefferquote bei weniger False Positives.

Dauerhafter ergo nicht.

Doch :-)

Der an anderer Stelle genannte Weg mit der Grafik ist meines Ermessens ungangbar: Für viele zu schwer nachzurüsten, von zu vielen Vorbedingungen (Grafikbibliotheken) abhängig, zugangsbeschränkend für Besucher.

Ja, das fände ich auch eher nervig. Es mag zudem ggf. eine Verletzung der Impressumspflicht sein.

[Umbrüche per Copy & Paste]

Sendet der Browser die eigentlich?

Es gibt hier mindestens zwei Leute, die das schon leidlich haben erfahren dürfen ;-)

Man könnte die Daten vorher trimmen, um festzustellen ob sich der Umbruch inmitten von Text befindet und so eine Reihe solcher Fehlbedienungen ausschließen- jedoch nicht alle.

Du könntest Umbrüche in Header-relevanten Daten allgemein durch Leerzeichen ersetzen. Das erfordert natürlich Umrüstungen "irgendwo innerhalb der Scripts". Vielleicht kann dazu eine Funktion dienen, die sämtliche Daten erhält, auf Konsistenz checkt, ggf. verändert und zurück liefert (aber bitte ohne Seiteneffekte *g*).

Der "jrubin3456" versucht schlicht in jedes Feld eine Mailadresse einzutragen. Grund : jedes kann 'nützlich' sein und er will sich nicht mit Kram wie Fremdsprachen und der Benennung aufhalten- das Muster wird er fortsetzen.

Zumindest solange er damit hinreichenden Erfolg hat.

die ("Error: in function jrubin3456: Die Anzahl der erlaubten Felder mit @ ist größer als die Anzahl der Felder.");
Dies kann nicht von außen manipuliert werden (Hacking mal ausgenommen), wäre also IMHO kein Grund für einen Abbruch.
Doch. Es ist ein sozusagen fataler logischer Fehler im Script.

Nicht unbedingt, es kann auch eine Erleichterung für den Entwickler sein. "Ich will für alle Felder @-Zeichen erlauben, egal wie viele es sind." - Vernachlässige nicht die Faulheit des Menschen :-)

Cheatah

[1] Ich gehe davon aus, dass die Formulardaten zur optimalen Nutzung zwischen- oder dauergespeichert werden.