Hallo

wenn sich jemand für meinen Veranstaltungskalender registriert, wird ihm eine Bestätigungs-Mail geschickt mit Kopie an mich.

In den letzten Wochen kommt da immer wieder Blödsinn rein wie sowas:

Wer macht sich die Mühe und warum? Die Uhrzeiten sind deutlich unterschiedlich, es könnte also von Hand eingegeben worden sein.

Wahrscheinlich ist oder sind es Robots und keine manuellen Registrierungen.

Die Freischalt-Mail kommt nicht, damit kann sich der Spaßvogel nicht anmelden.

Das liest du aber aus anderen Informationen als denen, die du hier präsentierst ab, oder? Du siehst vermutlich kryptische E-Mail-Adressen und bekommst wohl auch die Rückmeldungen der E-Mail-Provider über die Unzustellbarkeit der Registrierungs-E-Mails.

Hab die Registrierung erstmal vom Netz genommen und brauche ein neues Konzept.

Der Sinn ist ja, dass die Person anschließend Termine eingeben, wieder aufrufen und ändern / löschen kann. Da kommt natürlich beim Missbrauch nichts.

Sollte ich vor der Registrierung die Eingabe eines Termins verlangen? Dann hat die Registrierung zwei Schritte und ist für Spaßvögel lästiger.

Die Registrierung selbst kostet die Spaßvögel selbst so gut wie nichts. [edit] Für alle anderen wirkt ein solcher Registrierungsprozess eventuell unnötig unübersichtlich. [/edit] Wenn du Pech hast, hast du mit diesem Vorgehen aber Spam als angeblich Termine von Unregistrierten, mit denen du in deinem Kalender nichts anfangen kannst, die du mit einem weiteren, eventuell manuellen Mechanismus wieder bereinigen musst und die deinem „echten“ Publikum die Benutzung deines Kalenders vermiesen.

Dein bisheriges Konzept, die Registrierung durch eine Bestätigungs-E-Mail verifizieren zu lassen, ist schon das Richtige. Damit sonderst du genau die Registrierungsversuche aus, bei denen gefakte E-Mail-Adressen benutzt werden. Der Mechanismus versieht also klaglos seinen Dienst. Registrierungen mit nicht existenten E-Mail-Adressen können nicht verifiziert werden und können nach der für die Verifizierung angesetzten Wartezeit gelöscht werden.

Was dir offensichtlich auf die Nerven geht, sind die Kopien der Registierungs-E-Mails in deinem Postfach. Entweder du lernst damit umzugehen, dass sie in unerwünschter Häufigkeit aufschlagen und erkennbar Fake sind oder du deaktivierst die Versendung einer Kopie an dich. Davon ausgehend, dass Accounts mit Fake-E-Mail-Adressen wegen der fehlenden Verifizierung nie aktiviert werden können, brauchst du dir darum eigentlich keinerlei Gedanken machen.

Wenn du benachrichtigt werden willst, wenn sich jemand registriert hat, ist eine Benachrichtigung nach der Verifizierung der Registrierung wohl der bessere Ansatz. Die Fake-Registrierungen fallen damit berechtigt durchs Aufmerksamkeitsraster und du kannst wirklich erfolgreich erfolgte Registrierungen auf was auch immer prüfen.

Tschö, Auge

Hallo Linuchs,

die Frage ist, ob da jemand mit der Hand am Arm sitzt und das eingibt, oder irgendein Bot. Manuelle Scherzregistrierungen dürften auf remso.eu eher unwahrscheinlich sein. Weshalb sollte das jemand tun.

Gegen einen Bot kannst Du Dich - in Grenzen - verteidigen, indem Du auf der Registrierseite ein CSRF-Token hinzufügst (Cross Site Request Forgery).

Dazu braucht das Registrierformular ein hidden input Feld, in dem der Server beim Abruf des Formulars einen zufälligen Wert einträgt. Dieser Wert wird ebenfalls in der Session gespeichert. Kommt nun der POST Request, vergleichst Du das gesendete mit dem gespeicherten Token. Stimmt es nicht überein, ignorierst Du die Registrierung.

Natürlich kann ein Bot, der sein Salz wert ist, ein CSRF-Token erkennen und mitsenden. Solche Viecher agieren gerne mal hier im Forum und posten dann auf italienisch Werbung für Hochzeitsmode, oder ähnliches. Das braucht dann aber eben einen etwas aufwändigeren Bot.

Du kannst das CSRF Token noch durch eine Aufgabe ergänzen, die vom Registranten zu lösen ist und die Du so formulierst, dass ein Bot damit Probleme hat.

• "Bitte sag mir, was die Differenz von neun und drei ist".
• "Wie viele Doppelbuchstaben enthält der Straßenname Nizzaallee?" (Kennt jeder, der in Aachen studiert hat)

Wenn Du hier ein paar unterschiedliche Rätsel vorsiehst, muss der Bot-Papa schon sehr hinter Dir her sein, um seinen Bot darauf anzupassen.

Deine Idee, die Registrierung an einen Termin zu knüpfen, ist ebenfalls sinnvoll. Ich würde es aber für einfacher halten, auf der Registrierseite den Hinweis zu schalten, dass Benutzerkonten, für die kein Termin veröffentlich wird, binnen kurzer Zeit automagisch gelöscht werden und man sich deshalb nur registrieren solle, wenn man auch einen Termin einstellen möchte. Ich denke, das kannst Du relativ problemfrei scripten. Das kann man für einen Monat oder so auch per SQL Statement manuell machen, und ggf. hat der Spaßvogel dann ja schon die Lust verloren.

Rolf