Gast: Hidden-Felder verstecken

H a l l o,
ich habe gelesen, man solle 'hidden-fields' verwenden zum 'Anfüttern' der Spam-Bots. Diese sind aber doch 'sichtbar' für diese Programme.
Kann man diese Felder oder auch weitere HTML-Elemente auslagern und damit unsichtbar machen, wie dies mit JS-Programmen ist, die man aus Bibliotheken aufruft?

  1. hallo,

    ich habe gelesen, man solle 'hidden-fields' verwenden zum 'Anfüttern' der Spam-Bots. Diese sind aber doch 'sichtbar' für diese Programme.

    Genau das sollen sie ja auch.

    Kann man diese Felder oder auch weitere HTML-Elemente auslagern und damit unsichtbar machen, wie dies mit JS-Programmen ist, die man aus Bibliotheken aufruft?

    "hidden" heißt "unsichtbar" bzw. "verborgen", also ist so eine Auslagerung unnötig.

    Grüße aus Berlin

    Christoph S.

    --
    Visitenkarte
    ss:| zu:) ls:& fo:) va:) sh:| rl:|
    1. "hidden" heißt "unsichtbar" bzw. "verborgen", also ist so eine Auslagerung unnötig.

      Schön wärs!
      Jeder kann sich die Source anschauen - auch der spam-bot) und sieht die gar nicht so 'hidden-fields'.

      1. hallo Gast,

        Jeder kann sich die Source anschauen - auch der spam-bot) und sieht die gar nicht so 'hidden-fields'.

        Das würde auch so sein, wenn du diese HTML-Snippets "auslagern" würdest. Sie müßten ja wieder eingebunden werden. Und der Trick mit den hidden-Feldern beruht ja nun grade darauf, daß die spambots die Dinger erkennen _sollen_. Sie identifiieren sie übrigens anhand ihres Namens oder ihrer Id. Der ganze Trick besteht darin, daß diese hidden-Felder die üblichen "Namen" bekommen - also beispielsweise "name" und "mail" oder "text", aber vom Formularscript selbst unbeachtet gelassen werden, so daß die dort eventuell eingetragenen Daten gar nicht erst übermittelt werden.
        Dein Seitenbsucher kann dagegen in einem Eingabefeld (das "sichtbar" ist) durchaus seinen Namen eintragen, nur gibts du diesem <input type="text"> dann eben einen Namen wie "husseldiguggeldu" und läßt diesen Namen vom Formularscript auswerten.
        Das Problem ist, daß die bots das irgendwann auch mal durchschauen werden. Die Entwickler von spambots sind, programmiertechnisch gesehen, nicht unbedingt Dummköpfe.

        Grüße aus Berlin

        Christoph S.

        --
        Visitenkarte
        ss:| zu:) ls:& fo:) va:) sh:| rl:|
        1. Hallo

          Jeder kann sich die Source anschauen - auch der spam-bot und sieht die gar nicht so 'hidden-fields'.

          Das würde auch so sein, wenn du diese HTML-Snippets "auslagern" würdest. Sie müßten ja wieder eingebunden werden.

          Wenn es so wäre wie in Javascript, würde man diese Informationen nicht sehen.
          So etwas geht dann wohl nicht!
          Gruß

          1. hallo,

            Wenn es so wäre wie in Javascript, würde man diese Informationen nicht sehen.

            Wie meinst du das, und was soll es dir nutzen?

            So etwas geht dann wohl nicht!

            _Was_ geht "dann" nicht?

            Grüße aus Berlin

            Christoph S.

            --
            Visitenkarte
            ss:| zu:) ls:& fo:) va:) sh:| rl:|
            1. hallo,

              Wenn es so wäre wie in Javascript, würde man diese Informationen nicht sehen.

              Wie meinst du das, und was soll es dir nutzen?

              Wenn ich eine javascript-Funktion in eine eigene Datei auslagere und aufrufe, so sieht man im HTML-Code nicht den Inhalt der Funktion.

              Was es mir nützt? Das will ich leber hier nicht ausbreiten.
              Der Feind hört mit!!

              So etwas geht dann wohl nicht!

              _Was_ geht "dann" nicht?

              Das Verstecken von HTML-Code so wie den Javascript-Code (wie eben beschrieben).

              Grüße

              1. hallo,

                Wenn ich eine javascript-Funktion in eine eigene Datei auslagere und aufrufe, so sieht man im HTML-Code nicht den Inhalt der Funktion.

                Das nicht, aber man sieht, welche externe Javascript-Datei eingebunden wurde und man hat die auch im Cache liegen. Wer will, kann also ebenfalls alles nachlesen.

                Was es mir nützt? Das will ich leber hier nicht ausbreiten.
                Der Feind hört mit!

                Dann hört er nur irgendwelche Tasten klappern. Der "Feind" hätte nur etwas davon, wenn er mitlesen würde. Kann er meinetwewgen gerne tun, es ist hier noch nichts diskutiert worden, was "ihm" nicht längst bekannt sein dürfte.

                _Was_ geht "dann" nicht?
                Das Verstecken von HTML-Code so wie den Javascript-Code (wie eben beschrieben).

                Der Javascript-Code wird nicht "versteckt" (jedenfalls nicht durch Auslagern in externe Scripts), und HTML kannst du sowieso nicht verstecken. Das einzige, was du wirkungsvoll "verstecken" kannst, ist die Art, wie dein HTML oder Javascript eventuell generiert wird.

                Grüße aus Berlin

                Christoph S.

                --
                Visitenkarte
                ss:| zu:) ls:& fo:) va:) sh:| rl:|
                1. Hallo
                  natürlich kann man letztlich alles knacken, aber man sollte es zumindest den 'Halbprofi-Hackern' nicht so leicht machen.

        2. Lieber Christoph,

          Das Problem ist, daß die bots das irgendwann auch mal durchschauen werden. Die Entwickler von spambots sind, programmiertechnisch gesehen, nicht unbedingt Dummköpfe.

          daher meine ich, eine sinnvolle erste Abwehrmaßnahme müsste so sein: Nach dem ersten Absenden kommt eine Zwangsvorschau, in deren Formular dann ein 'hidden'-Input steht, dessen 'name'- und 'value'-Attribute durch Session-abhängige Zufallswerte gefüllt werden. Ohne dieses versteckte Input mit den in der Session abgelegten Werten bewirkt dann eine Bestätigung dieser Vorschau immer wieder eine weitere Vorschau, und der Bot kann nichts erfolgreich abschicken. Natürlich kann man für eine neue Vorschau (entweder weil der User eine solche anfordert, oder weil im POST das versteckte Element nicht vorhanden oder falsch befüllt war) diese Werte neu vergeben.

          Die Programmierer müssten den Bot dann so gestalten, dass er die Antwort des Servers auch verarbeitet und gegebenenfalls sein Posting bestätigt. Wenn er dann noch den Session-Mechanismus bedienen kann und daher erfolgreich das versteckte Element mit bestätigt, dann bleibt nur noch ein entsprechender Filter, der nach dem erfolgreichen Absenden die Daten auf Spam hin untersucht und gegebenenfalls aussortiert.

          Was meinst Du zu meinem vorgeschlagenen Mechanismus?

          Liebe Grüße aus Ellwangen,

          Felix Riesterer.

          1. hallo Felix,

            Was meinst Du zu meinem vorgeschlagenen Mechanismus?

            Die Beschränkung auf sessions beschränkt dein Konzept auch auf PHP (es gibt allerdings Vergleichbares in anderen Sprachen). Die Idee mit der "Zwangsvorschau" haben wir unlängst in irgendeinem "Spam-Thread" schon diskutiert, sie hat zunächst durchaus etwas Überzeugendes.

            Letzten Endes dürfte es mehrere unterschiedliche Konzepte geben, wobei der Einsatz von hidden-Feldern nicht zwingend vorgesehen sein muß. Das Problem, wie man spambots daran hindert, ihre Eingaben auch wirksam werden zu lassen, wird uns wohl noch eine Weile beschäftigen.

            Grüße aus Berlin

            Christoph S.

            --
            Visitenkarte
            ss:| zu:) ls:& fo:) va:) sh:| rl:|
            1. hi,

              Die Beschränkung auf sessions beschränkt dein Konzept auch auf PHP (es gibt allerdings Vergleichbares in anderen Sprachen).

              Einen Session-Mechanismus kannst du doch in jeder Sprache implementieren, die die Möglichkeit hat, Daten serverseitig irgendwo abzulegen.

              gruß,
              wahsaga

              --
              /voodoo.css:
              #GeorgeWBush { position:absolute; bottom:-6ft; }
      2. Lieber Gast,

        die Idee ist, den Bot mit der versteckten Information etwas anfangen zu lassen, was ein menschlicher User nicht tun würde - und ihn so als solchen zu entlarven, um seine Aktivitäten auszusondern. Deshalb ist es ja gerade gut, dass die Information im Quelltext frei zugänglich ist, denn in dieser Form kann dann ja ein Bot seine verräterische Arbeit tun!

        Liebe Grüße aus Ellwangen,

        Felix Riesterer.

  2. Hello out there!

    Hier im Forum scheint gerade ein Bot unterwegs zu sein, der das Bewertungsforumular automatisch ausfüllt (alle Postings von Christoph mit „micht hilfreich“ bewertet).

    Bewertungen sollte man Menschen überlassen.
    [X] Dafür.  [ ] Dagegen.

    See ya up the road,
    Gunnar

    --
    “Remember, in the end, nobody wins unless everybody wins.” (Bruce Springsteen)
    1. hallo Gunnar,

      Hier im Forum scheint gerade ein Bot unterwegs zu sein, der das Bewertungsforumular automatisch ausfüllt (alle Postings von Christoph mit „micht hilfreich“ bewertet).

      Der ist aber schlecht programmiert. Bei https://forum.selfhtml.org/?t=133236&m=863090 klebt zum Beispiel bisher nur zweimal "hilfreich" drauf (was sich vermutlich nun in den nächsten Minuten ändern wird) ;-)

      Grüße aus Berlin

      Christoph S.

      --
      Visitenkarte
      ss:| zu:) ls:& fo:) va:) sh:| rl:|
      1. Hallo Christoph,

        Bei https://forum.selfhtml.org/?t=133236&m=863090 klebt zum Beispiel bisher nur zweimal "hilfreich" drauf (was sich vermutlich nun in den nächsten Minuten ändern wird) ;-)

        Korrekt.

        <dev-glaskugel>Wenn du wüsstest … :-)</dev-glaskugel>

        Grüße
         Roland

        1. Hallo Orlando.

          Bei https://forum.selfhtml.org/?t=133236&m=863090 klebt zum Beispiel bisher nur zweimal "hilfreich" drauf (was sich vermutlich nun in den nächsten Minuten ändern wird) ;-)

          Korrekt.

          Danke!

          Einen schönen Mittwoch noch.

          Gruß, Ashura

          --
          sh:( fo:} ch:? rl:( br: n4:~ ie:{ mo:| va:) de:> zu:} fl:( ss:) ls:[ js:|
          „It is required that HTML be a common language between all platforms. This implies no device-specific markup, or anything which requires control over fonts or colors, for example. This is in keeping with the SGML ideal.“
          [HTML Design Constraints: Logical Markup]
        2. hihi...

          <dev-glaskugel>Wenn du wüsstest … :-)</dev-glaskugel>

          Mein dev-glaskugel-bot hat doch prima funktioniert ;-)

          Grüße aus Berlin

          Christoph S.

          --
          Visitenkarte
          ss:| zu:) ls:& fo:) va:) sh:| rl:|