-Mindfreak-: Gästebuch - Spamschutz

Hi,

ich bin gerade in der Vorbereitung, ein Gästebuch zu schreiben, was durch viele Nutzer genutzt werden soll. Vorrausetzung soll eine hohe Spam-Abwehr sein.

Wie haltet ihr das mit der Spamabwehr?
Folgende Sachen möchte ich nutzen:

  • Captcha
  • ein "display:hidden" Feld im Quellcode unterbringen, welches nicht ausgefüllt werden darf
  • prüfen, wie lange der Nutzer am Gästebucheintrag geschrieben hat
  • Badword-Liste
  • Der Eintrag darf nicht mit Links beginnen.
  • möglicherweise Links und HTML-Code ganz verbieten (bin mir aber nicht sicher dabei)

Gibt es weitere (sinnvolle) Maßnahmen gegen Spam?

Gruß

  1. Hi,

    • möglicherweise Links und HTML-Code ganz verbieten (bin mir aber nicht sicher dabei)

    Aber ich. Genau deswegen wird ja gespammt. Die Spammer versprechen sich damit einen besseren Rank in den Suchmachinen, der u.a. auch dadurch bestimmt wird, wieviele Links auf ihre eigenen schmutzigen Seiten verweisen.

    Viele Grüße,
    Hotte

  2. ... ein Gästebuch .... eine hohe Spam-Abwehr...
    Folgende Sachen möchte ich nutzen:

    • Captcha

    Sehr schlecht.

    • ein "display:hidden" Feld im Quellcode unterbringen, welches nicht ausgefüllt werden darf

    Dürfen auch mehrere sein.
    Sie sollte dazu auch Namen haben, welche Bots eher verleitet, diese auszufüllen. name=email, name=homepage

    • prüfen, wie lange der Nutzer am Gästebucheintrag geschrieben hat

    Ja, aber beachte hierbei, dass es legitim ist einen Text in einem anderen Editor zu verfassen und hinein zu kopieren. Das mache ich besonders bei ernsten Neukontakten u.a. wegen der Rechtschreibung.
    Immerhin vergehen zwei, drei Sekunden, bis ich mich orientiert habe.
    Dann das Ausfüllen der Pflichtfelder händisch etc...

    Ich denke 5 Sekunden sind ein garantiert sicherer Wert.

    • Badword-Liste

    Halte ich für weniger effizient und Problematisch. Warum darf ich dir nicht über Viagra-Spam schreiben? Du müsstest einen Bewertungsalgorithmus einführen.

    • Der Eintrag darf nicht mit Links beginnen.

    Vielleicht wirst du ein paar Spams dadurch abfangen.
    Auch dies eher ein Kandidat für eine Bewertungsliste.

    • möglicherweise Links und HTML-Code ganz verbieten (bin mir aber nicht sicher dabei)

    Ich würde HTML maskieren, das heisst generell als Text behandeln.
    Es sollte genügen, wenn ich in einem Kommentar einfach die URL angebe. Das Link-Auszeichnen, wenn erwünscht, sollte deine Software selbst machen.

    Gibt es weitere (sinnvolle) Maßnahmen gegen Spam?

    Du kannst eine IP für eine bestimmte Zeit sperren, nachdem sie einen Beitrag gepostet hat. Dies ist aber auch abzuwägen.

    Ich würde halt ein Login mit Registrieren anbieten
    Alle unregistrierten werden nicht automatisch freigegeben.

    Persönlich halte ich nicht viel von Gästebüchern.
    Das heisst, ich sehe nicht ein, warum andere die Beiträge von anderen Gästen überhaupt lesen sollen.

    Eine Community mit Schreibrechten ist wiederum eine ganz andere Geschichte.

    mfg Beat

    --
    Woran ich arbeite:
    X-Torah
    Plädoyer für eine alte Mystik
    und Vers-Einteilung
    in der Torah und der Apokalypse
    Beat Stoecklin 2008
       <°)))o><                      ><o(((°>o
    1. Hi,

      ich antworte hier mal auf beide Postings...

      • Captcha

      Sehr schlecht.

      ganz meine Meinung.

      • ein "display:hidden" Feld im Quellcode unterbringen, welches nicht ausgefüllt werden darf

      Dürfen auch mehrere sein.

      ja - allerdings nicht hidden, sondern display:none ;-)

      Ich denke 5 Sekunden sind ein garantiert sicherer Wert.

      ein sicherer Wert für echte Nutzer, nicht aber für Bots. Es darf ruhig etwas länger sein, wenn diejenigen, die schneller sind, die Möglichkeit angeboten bekommen, das Formular erneut zu senden.

      • Badword-Liste

      Halte ich für weniger effizient und Problematisch. Warum darf ich dir nicht über Viagra-Spam schreiben? Du müsstest einen Bewertungsalgorithmus einführen.

      Ganz genau so ist es. Einfache Badword-Listen sind Murks, zumal wenn sie nicht nur einzelne Worte scannen, sondern auch Sachen wie "Ansporn" erfassen...

      • Der Eintrag darf nicht mit Links beginnen.

      Vielleicht wirst du ein paar Spams dadurch abfangen.
      Auch dies eher ein Kandidat für eine Bewertungsliste.

      Damit erfasst man schon ziemlich viele Spams - und ich finde auch, dass kein normaler Gästebucheintrag mit http:// beginnt - und wenn doch: selber schuld.

      • möglicherweise Links und HTML-Code ganz verbieten (bin mir aber nicht sicher dabei)

      Ich würde HTML maskieren, das heisst generell als Text behandeln.
      Es sollte genügen, wenn ich in einem Kommentar einfach die URL angebe. Das Link-Auszeichnen, wenn erwünscht, sollte deine Software selbst machen.

      Jein. Zum einen sollten urls nicht automatisch als Links ausgezeichnet werden (falls Du das auch damit meintest). Zum anderen nutzen Spammer oft drei Versuche parallel:
      1. http://
      2. <a href
      3. [url]
      Seltener seit einiger Zeit auch:
      4. [link=

      Es ist nun sinnvoll, wenn man Verlinkung anbieten will, hierfür eine eigene Syntax zu verwenden; erst falls diese auch von vielen anderen verwendet wird, dürften Spam-Bots sie berücksichtigen. Mein [a] hatte noch keiner (vopn über 50.000) genutzt.

      Gibt es weitere (sinnvolle) Maßnahmen gegen Spam?

      Du kannst eine IP für eine bestimmte Zeit sperren, nachdem sie einen Beitrag gepostet hat. Dies ist aber auch abzuwägen.

      ... und bringt nicht viel, da sich die IPs sehr oft ändern. Ich sehe oft, dass ein und derselbe Spam kurz hintereinander über 2 oder 3 IPs völlig unterschiedliche verschickt wird.

      Die genannten Möglichkeiten, die ich auch einsetze, reichen völlig aus bis auf kurze Test-Spams mit absolut unverdächtigem Inhalt. Hiergegen schütze ich mein Gästebuch durch zwei Maßnahmen:
      1. Mindestlänge (wer nur wenig zu sagen hat, bekomm dann leider den Hinweis, doch bitte etas mehr zu tippen)
      2. Sofern ein Betreff einzugeben ist Prüfung desselben auf unsinnige Buchstabenkombinationen. oder auch Eingaben wie "Unknown", die gern mal verwendet werden.

      Apropos Unknown: eine weitere Möglichkeit ist, Pflichtfelder kryptisch zu benennen.

      freundliche Grüße
      Ingo