ede: Sicherheit für Gästebücher

Seit einigen Jahren missbrauchen so manche ungebetenen "Gäste" Gästebücher. Daher einige Tips wie Gästebücher programmiert werden sollten: Zunächst ist die Einstellung im Server stets so zu wählen, dass Suchmaschinen nicht in Gästebüchern scannen. Sicher wird das manchen Gast aus allen Wolken fallen lassen, wenn er sich in Suchmaschinen findet. Eine weitere Sicherheit ist die Massnahme, dass der Direktaufruf im Internet verhindert sein sollte. Gästebücher sind stets Teil eines WebHostings das zunächst von einer Hauptseite ausgeht, daher können Übergabemassnahmen z.B. mittels PHP_POST verwendet werden. Noch sicherer werden dann im Gästebuch diverse "verboten"-Listen für die Mailadresse, die evtl eingebbare Homepage sowie verbotene Wortlisten in der Nachricht, die Entscheidungen erlauben, dass ein Beitrag nicht angenommen wird.
Ich habe mein Gästebuch so programmiert, dass solche bestimmte unerwünschte Gäste dann auf die eigenen URLs oder die eigene IP umgleitet werden. Möglichkeiten gibt es viele. Wer mehr wissen möchte kann sich gerne mit Fragen an mich wenden.

€d€ was in the Net

  1. €d€ was in the Net

    Als Konkurrenz zum grossen M$?   ;)

    Was hältst Du denn von den Captchas?

    1. heyho!

      Was hältst Du denn von den Captchas?

      Baeh! Ich mag nichtmal das, wo man aus 3 Bildern immer die/den 'attraktivste/n' Frau/Mann raussuchen muss. Vor allem weil man recht oft als Bot erkannt wird, wenn man einfach die Person anklickt, die man selbst waehlen wuerde, statt die, die am ehesten einem 'Standard' entspricht.

      1. Was hältst Du denn von den Captchas?
        Baeh! Ich mag nichtmal das, wo man aus 3 Bildern immer die/den 'attraktivste/n' Frau/Mann raussuchen muss.

        Kenne ich noch nicht.   ;)

        Vor allem weil man recht oft als Bot erkannt wird, wenn man einfach die Person anklickt, die man selbst waehlen wuerde, statt die, die am ehesten einem 'Standard' entspricht.

        Wenig effizient so eine Dreier-Auswahl.

        Allerdings verfolgen Captchas schon den richtigen Ansatz, nämlich dem Nutzer etwas abzuverlangen, was nur ein Mensch kann.

        1. Wenig effizient so eine Dreier-Auswahl.

          Nuja, ist ja egal wieviele Moeglichkeiten man hat. Das Reperoire an Bildern stimmt da. Man kann gemuetlich auch 4, 5, ... Bilder zur Auswahl stellen.

          Das, was man an diesem Captcha den Schwachpunkt nennen kann ist die strikte einteilung in huebsch und nciht huebsch. Es gibt also immer die selben Bilder die als huebsch zu gelten haben. Ok. Am Bildnamen kann man es nicht festmachen, also muesste man schon ne ordenlichr Software ranlassen, die Bilder erkennen kann und diese mit einer Datenbank abgleicht. Das duerfte wohl nocht etwas zuviel Aufwand bedeuten und macht diese Art von Captchas noch ziemlich sicher.

          Trotzdem stoeren die mich. Sind aber wohl besser als sich ueberall registrieren zu muessen...

          1. Liebe(r) Steel,

            Captchas
            [...]
            Trotzdem stoeren die mich.

            wer braucht schon Captchas?

            Liebe Grüße aus Ellwangen,

            Felix Riesterer.

            --
            ie:% br:> fl:| va:) ls:[ fo:) rl:° n4:? de:> ss:| ch:? js:) mo:} zu:)
            1. Frag das mal lieber die Leute die welche nutzen. :)

              Interessant. Du meinst eine Vorschau, wo man einen weiteren Submit abschicken muss, ist im Moment eine echte Huerde fuer Bots?

              1. Lieber Steel,

                Interessant. Du meinst eine Vorschau, wo man einen weiteren Submit abschicken muss, ist im Moment eine echte Huerde fuer Bots?

                nicht mehr für alle. Ich habe auch ein verstecktes Fangnetz ausgelegt. Das hat bisher noch kein Bot überwunden.

                Liebe Grüße aus Ellwangen,

                Felix Riesterer.

                --
                ie:% br:> fl:| va:) ls:[ fo:) rl:° n4:? de:> ss:| ch:? js:) mo:} zu:)
                1. nicht mehr für alle. Ich habe auch ein verstecktes Fangnetz ausgelegt. Das hat bisher noch kein Bot überwunden.

                  Ich bin neugierig: Wie sieht dieses Fangnetz denn aus?

                  Gruß, Volker

                  1. Lieber Volker,

                    Ich bin neugierig: Wie sieht dieses Fangnetz denn aus?

                    schau's Dir halt an.

                    Liebe Grüße aus Ellwangen,

                    Felix Riesterer.

                    --
                    ie:% br:> fl:| va:) ls:[ fo:) rl:° n4:? de:> ss:| ch:? js:) mo:} zu:)
                    1. schau's Dir halt an.

                      Sehe ich das richtig, dass du darauf setzt, dass ein Spambot ein für Menschen nicht sichtbares input-Feld ausfüllt?
                      Hm, wohl auch nur eine Frage der Verbreitung dieser Methode, bis das automatisiert umgangen wird.

                      Gruß, Volker

                      1. Lieber Volker,

                        Sehe ich das richtig, dass du darauf setzt, dass ein Spambot ein für Menschen nicht sichtbares input-Feld ausfüllt?

                        Ja. Für Menschen steht da explizit, dass dieses Feld leer zu bleiben hat, sollte es per CSS nicht unsichtbar sein (kannste im Firefox testen, wenn Du das Stylesheet deaktivierst).

                        Hm, wohl auch nur eine Frage der Verbreitung dieser Methode, bis das automatisiert umgangen wird.

                        Es ist für einen Bot-Schreiber ein Problem, anhand des Umfeldes eines <input>-Elements zu entscheiden, ob die dortigen Eintragungen Pflichtfelder, oder eben nicht sind. Der für das Formularfeld vergebene Name ist da schon eher geeignet, auf seine Verwendung Rückschlüsse zu ziehen.

                        Sollte meine Methode einmal nicht mehr fruchten, dann werde ich für alle <input>-Felder das name-Attribut per Zufall (Session-gespeichert) generieren, sodass selbst dieser Anhaltspunkt keine Rückschlüsse mehr für seine Verwendung zulässt. Etwas ähnliches habe ich ja schon mit meinem Schlüssel-Schloss-Prinzip, das ursprünglich sicherstellen sollte, dass das originale Formular von einem Menschen benutzt wurde, da ein endgültiges Abschicken nur bei passendem Schlüssel und Schloss gelingt.

                        Auch die Reihenfolge der <input>-Felder könnte ich mir zufällig ausgegeben vorstellen. Allerdings wird es dann schwer, die zugehörigen Hinweise zum Ausfüllen darstellungstechnisch so zu positionieren, dass der Besucher das dann wieder zusammensetzen kann. Ohne Stylesheet wird das Ganze dann aber auch unbenutzbar, was eine Barriere darstellt. Und wir wollten doch barrierefrei bleiben...

                        Liebe Grüße aus Ellwangen,

                        Felix Riesterer.

                        --
                        ie:% br:> fl:| va:) ls:[ fo:) rl:° n4:? de:> ss:| ch:? js:) mo:} zu:)