Lieber einsiedler,
einrichten lassen, von dem jungen Mann der mir alles "gebaut" hat ggg.
hmm. Du verlässt Dich auf seinen Code. Warum fragst Du dann hier nach? Warum Du und nicht er?
O.K., noch macht das löschen in der Datenbank Spass, ist aber auf die Dauer ziemlich nervig. Irgendwie muss man das doch unterbinden können.
Warum werden unbestätigte Registrierungen nicht automatisch nach einer fest eingestellten Zeit gelöscht?
Zu einem ReCaptscha habe ich momentan noch keine Lust dies anzuwenden, habe auch gelesen das es u.U. auch nichts bringt (das es ziemlich intilligente Bots gibt!)
Meine ablehnende Meinung zu Captchas ist hier dokumentiert und wird offensichtlich auch geteilt.
Achso, ich möchte noch anmerken das derjenige der mir das System gebaut hat meint, anhand des LOG`s, das es schon welche sind, die es geziehlt auf mich abzielen.
Welche Relevanz soll diese Information oder Aussage haben? Damit muss man schlicht leben und seine Lösungen entsprechend konzeptionieren! Das gehört zum Einmaleins der Webentwicklung und ist grundsätzlicher Bestandteil des Handwerks. Wenn man da noch Hand anlegen muss, hat der Entwickler etwas nicht gut gelöst.
So, nun habe ich mal weitergelesen im www, und da ist auch mein "Web-Konstrukteur" dacort, das man eine Mischung aus "Honypot" und "Timestamp" anwendet (Also weil ja ein Bot ja alles ziemlich schnell ausfüllt und ein Mensch eventuell nicht!)
Folgende Dinge sollten helfen:
- Session-Mechanismus (sonst klappt der Rest nicht)
- Zwangsvorschau der neu eingegebenen Daten (mit eventuell zuvor versandten Daten abgleichen!) mit Button zum Bestätigen
- Zu jedem Aufruf des Formulars werden zwei Zufallswerte erzeugt, die als Name und Wert eines versteckten Formularfeldes verwendet werden und als Schlüssel und Schloss fungieren. Fehlen sie, oder passen sie nicht zusammen, führt der POST-Request immer nur zu einer Vorschau.
- Mindestzeitdauer zwischen Laden des Formulars und Akzeptanz des POST-Requests - gerne auch noch eine Maximalzeitdauer. Requests außerhalb dieses Zeitfensters führen wieder zur Vorschau. Mit JavaScript kann man versuchen eilige User zu bremsen (Submit-Button vorübergehend deaktivieren), damit sie nicht zu früh absenden.
- Bestätigung der Registrierung via Link in automatisch versandter E-Mail
- automatisches Löschen von nicht bestätigten Registrierungen nach 48 Stunden
Zusätzlich dazu habe ich folgende Seite gefunden: https://myip.ms/browse/blacklist wo man ein script findet der eine (IP)-Blacklist nachläd eben für eine .htaccess. Da könnte "mein junger Mann" etwas dazu basteln" das die IP`s sofort geblockt werden.
Eine IP kann von mehreren Usern genutzt werden, die weder zusammen gehören, noch voneinander wissen. Außerdem kann ein User zwischen den Requests seine IP ändern, weil sein Provider die Anfragen ins Internet über verschiedene Leitungen realisiert und aus Balancing-Gründen hier wechselt. Das Blocken von IP-Adressen ist eine Holzhammer-Methode, die ich grundsätzlich für unangemessen halte.
Meine spezielle (Unter)-Frage: Ist dies sinnvoll oder macht das die Angreifer noch agressiver?
Was sollte denn passieren, wenn "die Angreifer noch agressiver" würden? Werden die dann laut (hörbares Knurren/Heulen/Grunzen) oder beissen die dann umso fester? Ich mache mir da eher über unbescholtene User Gedanken, die von der Holzhammer-Methode mit geblockt würden.
Liebe Grüße
Felix Riesterer