Registrierung gegen MIssbrauch aufrüsten
Linuchs
- meinung
Moin,
wenn sich jemand für meinen Veranstaltungskalender registriert, wird ihm eine Bestätigungs-Mail geschickt mit Kopie an mich.
In den letzten Wochen kommt da immer wieder Blödsinn rein wie sowas:
Wer macht sich die Mühe und warum? Die Uhrzeiten sind deutlich unterschiedlich, es könnte also von Hand eingegeben worden sein. Die Freischalt-Mail kommt nicht, damit kann sich der Spaßvogel nicht anmelden.
Hab die Registrierung erstmal vom Netz genommen und brauche ein neues Konzept.
Der Sinn ist ja, dass die Person anschließend Termine eingeben, wieder aufrufen und ändern / löschen kann. Da kommt natürlich beim Missbrauch nichts.
Sollte ich vor der Registrierung die Eingabe eines Termins verlangen? Dann hat die Registrierung zwei Schritte und ist für Spaßvögel lästiger.
fragt Linuchs
Moin Linuchs,
wenn sich jemand für meinen Veranstaltungskalender registriert, wird ihm eine Bestätigungs-Mail geschickt mit Kopie an mich.
In den letzten Wochen kommt da immer wieder Blödsinn rein wie sowas:
Wer macht sich die Mühe und warum?
Vermutlich hat sich da jemand einmal die Mühe gemacht ein Script zu schreiben und lässt das jetzt auf verschiedene Webseiten los.
Die Uhrzeiten sind deutlich unterschiedlich, es könnte also von Hand eingegeben worden sein.
Das kann auch andere Gründe haben, zum Beispiel andere Zeitzone der Spaßvögel, Streuung der Zugriffe um weniger aufzufallen, …
Die Freischalt-Mail kommt nicht, damit kann sich der Spaßvogel nicht anmelden.
Was heißt „kommt nicht“?
Hab die Registrierung erstmal vom Netz genommen und brauche ein neues Konzept.
Der Sinn ist ja, dass die Person anschließend Termine eingeben, wieder aufrufen und ändern / löschen kann. Da kommt natürlich beim Missbrauch nichts.
Klingt nach vielen ungenutzten Datensätzen. Wenn du die Anmeldezeit hast, definiere eine Zeitspanne, bis zu der ein erster Login erfolgt sein muss, ansonsten wird der Account automatisch wieder gelöscht.
Sollte ich vor der Registrierung die Eingabe eines Termins verlangen? Dann hat die Registrierung zwei Schritte und ist für Spaßvögel lästiger.
Ist die Hauptidee der Registrierung Termine anzulegen? Dann wäre das ein Ansatz, mit dem dein Formular für viele Spammer vielleicht „zu ungewöhnlich“ würde. Wenn man sich auch ohne Termin registrieren lassen können soll, dann funktioniert das natürlich nicht.
Viele Grüße
Robert
Hallo
wenn sich jemand für meinen Veranstaltungskalender registriert, wird ihm eine Bestätigungs-Mail geschickt mit Kopie an mich.
In den letzten Wochen kommt da immer wieder Blödsinn rein wie sowas:
Wer macht sich die Mühe und warum? Die Uhrzeiten sind deutlich unterschiedlich, es könnte also von Hand eingegeben worden sein.
Wahrscheinlich ist oder sind es Robots und keine manuellen Registrierungen.
Die Freischalt-Mail kommt nicht, damit kann sich der Spaßvogel nicht anmelden.
Das liest du aber aus anderen Informationen als denen, die du hier präsentierst ab, oder? Du siehst vermutlich kryptische E-Mail-Adressen und bekommst wohl auch die Rückmeldungen der E-Mail-Provider über die Unzustellbarkeit der Registrierungs-E-Mails.
Hab die Registrierung erstmal vom Netz genommen und brauche ein neues Konzept.
Der Sinn ist ja, dass die Person anschließend Termine eingeben, wieder aufrufen und ändern / löschen kann. Da kommt natürlich beim Missbrauch nichts.
Sollte ich vor der Registrierung die Eingabe eines Termins verlangen? Dann hat die Registrierung zwei Schritte und ist für Spaßvögel lästiger.
Die Registrierung selbst kostet die Spaßvögel selbst so gut wie nichts. [edit] Für alle anderen wirkt ein solcher Registrierungsprozess eventuell unnötig unübersichtlich. [/edit] Wenn du Pech hast, hast du mit diesem Vorgehen aber Spam als angeblich Termine von Unregistrierten, mit denen du in deinem Kalender nichts anfangen kannst, die du mit einem weiteren, eventuell manuellen Mechanismus wieder bereinigen musst und die deinem „echten“ Publikum die Benutzung deines Kalenders vermiesen.
Dein bisheriges Konzept, die Registrierung durch eine Bestätigungs-E-Mail verifizieren zu lassen, ist schon das Richtige. Damit sonderst du genau die Registrierungsversuche aus, bei denen gefakte E-Mail-Adressen benutzt werden. Der Mechanismus versieht also klaglos seinen Dienst. Registrierungen mit nicht existenten E-Mail-Adressen können nicht verifiziert werden und können nach der für die Verifizierung angesetzten Wartezeit gelöscht werden.
Was dir offensichtlich auf die Nerven geht, sind die Kopien der Registierungs-E-Mails in deinem Postfach. Entweder du lernst damit umzugehen, dass sie in unerwünschter Häufigkeit aufschlagen und erkennbar Fake sind oder du deaktivierst die Versendung einer Kopie an dich. Davon ausgehend, dass Accounts mit Fake-E-Mail-Adressen wegen der fehlenden Verifizierung nie aktiviert werden können, brauchst du dir darum eigentlich keinerlei Gedanken machen.
Wenn du benachrichtigt werden willst, wenn sich jemand registriert hat, ist eine Benachrichtigung nach der Verifizierung der Registrierung wohl der bessere Ansatz. Die Fake-Registrierungen fallen damit berechtigt durchs Aufmerksamkeitsraster und du kannst wirklich erfolgreich erfolgte Registrierungen auf was auch immer prüfen.
Tschö, Auge
Hallo Linuchs,
die Frage ist, ob da jemand mit der Hand am Arm sitzt und das eingibt, oder irgendein Bot. Manuelle Scherzregistrierungen dürften auf remso.eu eher unwahrscheinlich sein. Weshalb sollte das jemand tun.
Gegen einen Bot kannst Du Dich - in Grenzen - verteidigen, indem Du auf der Registrierseite ein CSRF-Token hinzufügst (Cross Site Request Forgery).
Dazu braucht das Registrierformular ein hidden input Feld, in dem der Server beim Abruf des Formulars einen zufälligen Wert einträgt. Dieser Wert wird ebenfalls in der Session gespeichert. Kommt nun der POST Request, vergleichst Du das gesendete mit dem gespeicherten Token. Stimmt es nicht überein, ignorierst Du die Registrierung.
Natürlich kann ein Bot, der sein Salz wert ist, ein CSRF-Token erkennen und mitsenden. Solche Viecher agieren gerne mal hier im Forum und posten dann auf italienisch Werbung für Hochzeitsmode, oder ähnliches. Das braucht dann aber eben einen etwas aufwändigeren Bot.
Du kannst das CSRF Token noch durch eine Aufgabe ergänzen, die vom Registranten zu lösen ist und die Du so formulierst, dass ein Bot damit Probleme hat.
Wenn Du hier ein paar unterschiedliche Rätsel vorsiehst, muss der Bot-Papa schon sehr hinter Dir her sein, um seinen Bot darauf anzupassen.
Deine Idee, die Registrierung an einen Termin zu knüpfen, ist ebenfalls sinnvoll. Ich würde es aber für einfacher halten, auf der Registrierseite den Hinweis zu schalten, dass Benutzerkonten, für die kein Termin veröffentlich wird, binnen kurzer Zeit automagisch gelöscht werden und man sich deshalb nur registrieren solle, wenn man auch einen Termin einstellen möchte. Ich denke, das kannst Du relativ problemfrei scripten. Das kann man für einen Monat oder so auch per SQL Statement manuell machen, und ggf. hat der Spaßvogel dann ja schon die Lust verloren.
Rolf
Hallo
Gegen einen Bot kannst Du Dich - in Grenzen - verteidigen, indem Du auf der Registrierseite ein CSRF-Token hinzufügst (Cross Site Request Forgery).
Ja, +1.
Du kannst das CSRF Token noch durch eine Aufgabe ergänzen, die vom Registranten zu lösen ist und die Du so formulierst, dass ein Bot damit Probleme hat.
- "Bitte sag mir, was die Differenz von neun und drei ist".
- "Wie viele Doppelbuchstaben enthält der Straßenname Nizzaallee?" (Kennt jeder, der in Aachen studiert hat)
Nein, -1. Das ist nichts anderes als ein nichtgraphisches Captcha. MMn ist das keine gute Idee.
Deine Idee, die Registrierung an einen Termin zu knüpfen, ist ebenfalls sinnvoll.
Das halte ich nicht für sinnvoll, jedenfalls nicht in der von Linuchs angedachten Art.
Ich würde es aber für einfacher halten, auf der Registrierseite den Hinweis zu schalten, dass Benutzerkonten, für die kein Termin veröffentlich wird, binnen kurzer Zeit automagisch gelöscht werden und man sich deshalb nur registrieren solle, wenn man auch einen Termin einstellen möchte.
Auf diese Art ergibt das Vorgehen wiederum Sinn. Wer nicht binnen X Tagen nach der Registrierung einen Termin einträgt, obwohl sie/er „vorgewarnt“ wurde, hat sich mutmaßlich nicht in ernsthafter Absicht registriert. Also: ja, +1.
… ggf. hat der Spaßvogel dann ja schon die Lust verloren.
Da das mit großer Wahrscheinlichkeit Skripte sind, ist „Lust“ wohl kein anwendbarer Maßstab.
0
+ 1
- 1
+ 1
---
1
===
Tschö, Auge
… ggf. hat der Spaßvogel dann ja schon die Lust verloren.
Da das mit großer Wahrscheinlichkeit Skripte sind, ist „Lust“ wohl kein anwendbarer Maßstab.
Leitsatz:
Und da haben wir folgende Fälle zu unterscheiden:
Er, Sie oder Es will unserem Linuchs persönlich „ans Leder“ oder hat „sportliche“ Motive.
Er, Sie oder Es verfolgt die Absicht, einen wirtschaftlichen Vorteil zu erlangen.
Im ersten Fall dürfte die Verhinderung so schwierig werden, dass diese die Benutzbarkeit der Webseite zu stark beeinträchtigt. Der, die oder das Missbraucher(in) wendet quasi unbegrenzte Mittel auf.
Im zweiten Fall hilft das „Emmerdieren“. Wird der Angriff zu komplex und damit zu teuer wendet sich der/die/das Angreifer(in) billiger zu „knackenden“ Opfern zu statt (in Programmierung und Ausführung „teuer“) noch ein paar mehr if
, else
, case
oder for
zu notieren oder sich bei Google, Amazon oder Facebook „KI“ via API zu kaufen. Und da in jedem Zug ein Doofer oder eine Doofe oder etwas Doofes sitzt und solche jeden Tag millionenfach geboren werden hat er, sie oder es - wie er, sie oder es genau weiß - damit quantitativ häufiger Erfolg, als wenn (wie im Fall 1) versucht würde bei jedem einzelnen Formular erfolgreich zu sein.
@@Rolf B
… noch durch eine Aufgabe ergänzen, die vom Registranten zu lösen ist und die Du so formulierst, dass ein Bot damit Probleme hat. […]
- "Wie viele Doppelbuchstaben enthält der Straßenname Nizzaallee?"
Ein hervorragendes Beispiel, dass man genau das, was du vorschlägst, nicht tun sollte, weil auch Menschen damit Probleme haben.
Was, wenn ich die richtige Antwort „3“[1] eingebe und damit nicht weiterkomme? Dann hab ich zu der Website nur noch eine Frage: WTF?
🖖 Живіть довго і процвітайте
aa ist in dem zusammengesetzen Wort kein Doppelbuchstabe, sondern das Zusammentreffen zweier a an der Wortfuge. ↩︎
Hallo Gunnar,
Ein hervorragendes Beispiel, dass man genau das, was du vorschlägst, nicht tun sollte, weil auch Menschen damit Probleme haben.
genau, hier gehört etwas Zielgruppenorientiertes hin, z.B. das Anstimmen des Kammertons A und anschließende Frequenzmessung. 😎
Gruß
Jürgen
genau, hier gehört etwas Zielgruppenorientiertes hin, z.B. das Anstimmen des Kammertons A und anschließende Frequenzmessung. 😎
👍😂
Hallo,
aa ist in dem zusammengesetzen Wort kein Doppelbuchstabe, sondern das Zusammentreffen zweier a an der Wortfuge.
Das Zusammentreffen zwei gleicher Buchstaben in einem (zusammengesetzten) Wort bildet dann was?
Ich habe grad mal nachgeschlagen, wie Doppelbuchstabe definiert wird. Erstaunlicherweise kennen weder Duden.de noch Wikipedia diesen Begriff. Also ist das kein Fachbegriff, sondern einfach ein Kompositum, gebildet aus „Doppel“ und „Buchstabe“. „Doppelbuchstabe“ bedeutet hier also zwei gleiche Buchstaben direkt nebeneinander, die Wortfuge verhindert das Nebeneinander überhaupt nicht.
Gruß
Kalk
@@Tabellenkalk
Ich habe grad mal nachgeschlagen, wie Doppelbuchstabe definiert wird. Erstaunlicherweise kennen weder Duden.de noch Wikipedia diesen Begriff.
Genau das ist der Punkt. Es mag verschiedene Definitionen geben. Und je nachdem, welche man zugrundelegt, kommt man zu verschiedenen Antworten. Wenn der Ersteller des CAPTCHAs das nicht bedacht hat, vergrault er die einen oder die anderen.
Zusätzlich zu denen, die er vorher schon vergrault hat, weil er überhaupt ein CAPTCHA einsetzt.
„Doppelbuchstabe“ bedeutet hier also zwei gleiche Buchstaben direkt nebeneinander, die Wortfuge verhindert das Nebeneinander überhaupt nicht.
Es gibt eng nebeneinander und nicht so eng nebeneinander. Die beiden f in Kaffee sind eng nebeneinander; die beiden f in auffällig sind es nicht. ☞ Wortfuge
🖖 Живіть довго і процвітайте
Moin Gunnar
„Doppelbuchstabe“ bedeutet hier also zwei gleiche Buchstaben direkt nebeneinander, die Wortfuge verhindert das Nebeneinander überhaupt nicht.
Es gibt eng nebeneinander und nicht so eng nebeneinander. Die beiden f in Kaffee sind eng nebeneinander; die beiden f in auffällig sind es nicht. ☞ Wortfuge
LaTeX scheint diesen Unterschied nicht zu kennen:
\usepackage[german]{babel}
\begin{document}
auffälliger Kaffee
auf\-fälliger Kaffee
\end{document}
Die Ligaturen macht LaTeX wohl „aus dem ff
“ – mit einem Trennvorschlag kann ich das nur ändern (ist eine skalierbare Vektorgrafik):
Viele Grüße
Robert
Hallo
… Wortfuge
LaTeX scheint diesen Unterschied nicht zu kennen:
\usepackage[german]{babel} \begin{document} auffälliger Kaffee auf\-fälliger Kaffee \end{document}
Die Ligaturen macht LaTeX wohl „aus dem
ff
“
Nun ja, kennt LaTeX sämtliche Regeln der deutschen Sprache und alle Zusammensetzungen, die solche Pseudodoppelbuchstaben enthalten? Sprich: kann man von einem solchen System erwarten, dass es Doppelbuchstaben von zufällig nebeneinander stehenden zwei gleichen Einzelbuchstaben unterscheiden kann?
mit einem Trennvorschlag kann ich das nur ändern (ist eine skalierbare Vektorgrafik):
Wegen Verständnisschwierigkeit: du meinst „nur mit einem Trennvorschlag kann ich das ändern“?
Wegen LaTeX' mutmaßlicher Unkenntnis der Grammatikregeln der deutschen Sprache ist die manuelle Vorgabe der virtuellen Trennung wohl der einzig sinnvolle Weg, so etwas anzugeben. In HTML muss man, speziell in der deutschen Sprache mit seinen Komposita, in Sachen Trennung ja auch gelegentlich nachhelfen, damit eine Trennung nicht an einer ungünstigen Stelle erfolgt. Das ist zwar ein anderes, mMn aber vergleichbares Szenario.
Tschö, Auge
Hi,
mit einem Trennvorschlag kann ich das nur ändern (ist eine skalierbare Vektorgrafik):
Wegen Verständnisschwierigkeit: du meinst „nur mit einem Trennvorschlag kann ich das ändern“?
so hätte ich das auch verstanden.
Wegen LaTeX' mutmaßlicher Unkenntnis der Grammatikregeln der deutschen Sprache ist die manuelle Vorgabe der virtuellen Trennung wohl der einzig sinnvolle Weg, so etwas anzugeben. In HTML muss man, speziell in der deutschen Sprache mit seinen Komposita, in Sachen Trennung ja auch gelegentlich nachhelfen, damit eine Trennung nicht an einer ungünstigen Stelle erfolgt.
Das kenne ich entsprechend auch von Textverarbeitungen. Automatische Silbentrennung mag ich nicht, die trennt mir tendentiell zu viel (auch wenn man das in Grenzen justieren kann). Also schalte ich die ab und setze nur bei auffällig langen Wörtern bedingte Trennstellen.
Einen schönen Tag noch
Martin
Moin Martin,
Das kenne ich entsprechend auch von Textverarbeitungen. Automatische Silbentrennung mag ich nicht, die trennt mir tendentiell zu viel (auch wenn man das in Grenzen justieren kann). Also schalte ich die ab und setze nur bei auffällig langen Wörtern bedingte Trennstellen.
deshalb verwende ich tatsächlich LaTeX für vieles, weil dessen Ansatz mit den Strafpunkten relativ gut funktioniert. Nur bei meinen wissenschaftlichen Arbeiten musste ich öfter mal mit \-
Hinweise geben, weil Fachbegriffe aus der Oberflächenphysik nicht per Default in der Silbentrennung enthalten sind 😉
Viele Grüße
Robert
@@Der Martin
Automatische Silbentrennung mag ich nicht, die trennt mir tendentiell zu viel (auch wenn man das in Grenzen justieren kann).
Demnächst™ in Ihrem Browser: CSS-TEXT-4 §5.4.3 ff.
🖖 Живіть довго і процвітайте
@@Auge
Wegen LaTeX' mutmaßlicher Unkenntnis der Grammatikregeln der deutschen Sprache ist die manuelle Vorgabe der virtuellen Trennung wohl der einzig sinnvolle Weg, so etwas anzugeben. In HTML muss man, speziell in der deutschen Sprache mit seinen Komposita, in Sachen Trennung ja auch gelegentlich nachhelfen, damit eine Trennung nicht an einer ungünstigen Stelle erfolgt. Das ist zwar ein anderes, mMn aber vergleichbares Szenario.
­
(U+00AD) verhindert in Browsern nicht, dass Ligaturen über Wortfugen gesetzt werden.
‌
(U+200C) tut dies, verhindert aber auch automatische Silbentrennung an der Stelle.
Man braucht beides: ‌­
– siehe Folie 11 und Codepen.
🖖 Живіть довго і процвітайте
Moin Auge,
Nun ja, kennt LaTeX sämtliche Regeln der deutschen Sprache und alle Zusammensetzungen, die solche Pseudodoppelbuchstaben enthalten? Sprich: kann man von einem solchen System erwarten, dass es Doppelbuchstaben von zufällig nebeneinander stehenden zwei gleichen Einzelbuchstaben unterscheiden kann?
LaTeX kennt viele Regeln der Sprachen, z.B. für die Silbentrennung. Aber die sind natürlich nicht vollständig (dürfte auf Grund von Neologismen und der komplizierten Grammatik auch unmöglich sein). Laut Wikipedia liegt die Verantwortung zur Ligatur aber auch beim Setzer.
Das dort gezeigte Beispiel mit "|
erzeugt übrigens einen noch „auf-fälligeren“Abstand zwischen den beiden f
:
mit einem Trennvorschlag kann ich das nur ändern (ist eine skalierbare Vektorgrafik):
Wegen Verständnisschwierigkeit: du meinst „nur mit einem Trennvorschlag kann ich das ändern“?
Ja.
Viele Grüße
Robert
Hallo,
auffälliger Kaffee
was macht eigentlich das f so besonders, dass es als Zwilling nach Lig(at)urien darf, das l und e aber nicht?
Gruß
Kalk
Hallo Tabellenkalk,
der Kranausleger oben rechts.
https://de.wikipedia.org/wiki/Ligatur_(Typografie)#Bleisatz
Rolf
Moin Kalk,
auffälliger Kaffee
was macht eigentlich das f so besonders, dass es als Zwilling nach Lig(at)urien darf, das l und e aber nicht?
meinst du ll
und ee
? Dazu hat Rolf die Antwort. Aber zumindest fl
dürfen noch Ligaturien.
Viele Grüße
Robert
Hallo Gunnar,
- "Wie viele Doppelbuchstaben enthält der Straßenname Nizzaallee?"
Was, wenn ich die richtige Antwort „3“[1] eingebe und damit nicht weiterkomme?
genau so hatte ich auch gezählt.
Ebenso wie auch die zwei k in Besteckkasten kein Doppelbuchstabe sind.
Zwei Betten, die zufällig nebeneinander stehen, sind ja auch noch kein Doppelbett.
Einen schönen Tag noch
Martin
aa ist in dem zusammengesetzen Wort kein Doppelbuchstabe, sondern das Zusammentreffen zweier a an der Wortfuge. ↩︎
Moin Martin,
Zwei Betten, die zufällig nebeneinander stehen, sind ja auch noch kein Doppelbett.
für alles andere gibt es so genannte „Ritzenfüller für die ‚Besucherritze‘“. Das sind Schaumstoffriegel, die den Spalt zwischen zwei Matratzen überbrücken – Bettlaken drüber, fertig ist das Doppelbett mit durchgehender Liegefläche.
Viele Grüße
Robert
Hallo Robert,
Zwei Betten, die zufällig nebeneinander stehen, sind ja auch noch kein Doppelbett.
für alles andere gibt es so genannte „Ritzenfüller für die ‚Besucherritze‘“. Das sind Schaumstoffriegel, die den Spalt zwischen zwei Matratzen überbrücken – Bettlaken drüber, fertig ist das Doppelbett mit durchgehender Liegefläche.
kenne ich auch - funktioniert aber nicht bei zwei wirklich separaten Einzelbetten. Ich dachte bei diesem Vergleich gar nicht primär an zwei Einzelmatratzen in einem Doppelbett[1], sondern an das Möbelstück Bett, das quasi den Unterbau und den Rahmen für die Matratzen bildet.
Zwei zusammengestellte Einzelbetten werden sich bei entsprechender Nutzung[2] in kurzer Zeit auf wundersame Weise wieder voneinander entfernen. Ein Doppelbett - auch mit zwei Einzelmatratzen - tut das nicht.
Einen schönen Tag noch
Martin
Hallo Martin,
Zwei zusammengestellte Einzelbetten werden sich bei entsprechender Nutzung in kurzer Zeit auf wundersame Weise wieder voneinander entfernen.
So erlebt im Hotel in Spanien. Kissenschlacht ???
Zwei Jahre später, neue Freundin, erster gemeinsamer Urlaub in Spanien. Wohlweislich hatte ich ein Seil im Koffer, um die Betten zusammenzubinden.
Die großen Augen der Freundin, als ich das Seil auspackte - unvergesslich.
Hallo,
Zwei zusammengestellte Einzelbetten werden sich bei entsprechender Nutzung in kurzer Zeit auf wundersame Weise wieder voneinander entfernen.
So erlebt im Hotel in Spanien.
Zwei Jahre später, neue Freundin, erster gemeinsamer Urlaub in Spanien. Wohlweislich hatte ich ein Seil im Koffer, um die Betten zusammenzubinden.
Die großen Augen der Freundin, als ich das Seil auspackte - unvergesslich.
ich könnt' mich kugeln vor Lachen! 🤣
Und dann war sie enttäuscht, weil sie etwas anderes erwartet hatte?
Einen schönen Tag noch
Martin
Hallo Martin,
Und dann war sie enttäuscht, weil sie etwas anderes erwartet hatte?
Oder erleichtert?
Rolf
Hallo,
Und dann war sie enttäuscht, weil sie etwas anderes erwartet hatte?
Oder erleichtert?
vielleicht auch das, wir wissen ja nicht, wie die Dame so drauf ist.
Einen schönen Tag noch
Martin
@@Der Martin
Und dann war sie enttäuscht, weil sie etwas anderes erwartet hatte?
Oder erleichtert?
vielleicht auch das, wir wissen ja nicht, wie die Dame so drauf ist.
Oder drunter?
🖖 Живіть довго і процвітайте
Moin Linuchs,
Zwei Jahre später, neue Freundin, erster gemeinsamer Urlaub in Spanien. Wohlweislich hatte ich ein Seil im Koffer, um die Betten zusammenzubinden.
Das nenne ich mal einen Lifehack!
Viele Grüße
Robert
Hallo Robert,
„Ritzenfüller für die ‚Besucherritze‘“
Das Ding heißt "Liebesbrücke"…
Aber zum Captcha-Thema: Okay, dass man bei der Nizzaallee ins Stolpern kommen kann, hätte ich nicht gedacht. Vor vielen Jahren habe ich in Aachen an einer Stadtrallye teilgenommen, wo dies eine Frage war, und die 4 kam mir ganz locker von der Zunge - und war auch richtig.
Dass Captchas generell unbeliebt sind, ist schon klar - aber das gilt doch vor allem für diese Schwurbelfont-Machwerke, die mit Linien bis zur Unleserlichkeit durchsetzt sind, oder?
Rolf
Hallo Rolf,
„Ritzenfüller für die ‚Besucherritze‘“
Das Ding heißt "Liebesbrücke"…
den Ausdruck kannte ich bis eben noch nicht.
Dass Captchas generell unbeliebt sind, ist schon klar - aber das gilt doch vor allem für diese Schwurbelfont-Machwerke, die mit Linien bis zur Unleserlichkeit durchsetzt sind, oder?
Nein. Ähm, ja, vielleicht. Wie stark die graphische Darstellung von Zeichen verhunzt ist, ist mir solange egal, wie ich die Wörter wenigstens noch erschließen kann. Wenn das Captcha aber nicht in Englisch, sondern in einer für mich völlig fremden Sprache angeboten wird (ja, hatte ich auch schon), und dann noch stark verfremdet, dann mag ich auch nicht mehr.
Viel mehr stört mich aber, dass die Eingabefelder für die Captcha-Lösungen gern mit Eventhandlern bestückt sind, die beim Focussieren des input-Elements erstmal ein Popup mit irgendeiner Internet-Casino-Seite aufmachen, das sich auf welche Weise auch immer am Popup-Blocker meines Browsers vorbeimogelt.
Einen schönen Tag noch
Martin
Hallo Der,
Viel mehr stört mich aber, ...
Dass Captchas generell als Eventfalle dienen, um "user action" zu erziehen und damit mehr JavaScript-Rechte zu bekommen, ist mir noch nicht aufgefallen. Dafür braucht man auch keine Captchas, die Cookie-Nervtöter sind dafür genauso geeignet.
Rolf
Hi,
Viel mehr stört mich aber, ...
Dass Captchas generell als Eventfalle dienen, um "user action" zu erziehen und damit mehr JavaScript-Rechte zu bekommen, ist mir noch nicht aufgefallen.
ich habe seit längerer Zeit den Eindruck, das ist der Hauptzweck.
Dafür braucht man auch keine Captchas, die Cookie-Nervtöter sind dafür genauso geeignet.
Dagegen gibt's ja die Extension "I don't care about cookies".
Einen schönen Tag noch
Martin
Hallo Der Martin!
Viel mehr stört mich aber, dass die Eingabefelder für die Captcha-Lösungen gern mit Eventhandlern bestückt sind, die beim Focussieren des input-Elements erstmal ein Popup mit irgendeiner Internet-Casino-Seite aufmachen, das sich auf welche Weise auch immer am Popup-Blocker meines Browsers vorbeimogelt.
Das kommt daher, dass der Popup-Blocker die Popups nur blockt, wenn sie nicht durch eine Benutzerinteraktion ausgelöst wurden.
Soweit ich weiß.
Au revoir,
Samuel Fiedler
Hallo,
Viel mehr stört mich aber, dass die Eingabefelder für die Captcha-Lösungen gern mit Eventhandlern bestückt sind, die beim Focussieren des input-Elements erstmal ein Popup mit irgendeiner Internet-Casino-Seite aufmachen, das sich auf welche Weise auch immer am Popup-Blocker meines Browsers vorbeimogelt.
Das kommt daher, dass der Popup-Blocker die Popups nur blockt, wenn sie nicht durch eine Benutzerinteraktion ausgelöst wurden.
ja, aber welches Popup wird denn nicht durch eine Benutzer-Interaktion ausgelöst? Damit wird ein Popup-Blocker sinnlos.
Wirklich sinnvoll ist er nur, wenn jeder Versuch erstmal geblockt wird, dann meinetwegen die Info-Leiste eingeblendet wird und den Hinweis anzeigt: "Diese Seite hat versucht, ein Popup zu öffnen. Darf die das?"
So ist das im Firefox auch. Aber wenn ich dann "ja" klicke, dann gilt das nicht mehr für den zurückgehaltenen und gemeldeten Versuch, sondern nur für zukünftige. Auch blöd, weil spezielle nur einmal gültige Links dann nicht mehr benutzbar sind.
Einen schönen Tag noch
Martin
Hallo
Viel mehr stört mich aber, dass die Eingabefelder für die Captcha-Lösungen gern mit Eventhandlern bestückt sind, die beim Focussieren des input-Elements erstmal ein Popup mit irgendeiner Internet-Casino-Seite aufmachen, das sich auf welche Weise auch immer am Popup-Blocker meines Browsers vorbeimogelt.
Das kommt daher, dass der Popup-Blocker die Popups nur blockt, wenn sie nicht durch eine Benutzerinteraktion ausgelöst wurden.
ja, aber welches Popup wird denn nicht durch eine Benutzer-Interaktion ausgelöst? Damit wird ein Popup-Blocker sinnlos.
Definiere Benutzerinteraktion!
Das Betätigen eines Buttons, das ein Popup öffnet, ist gewiss eine Benutzerinteraktion. Aber ist es das schließen eines Browserfensters oder -tabs, bei dem onClose
ein Popup geöffnet werden will, auch? Ich würde letzteres für eine Benutzeraktion (bewusst ohne „inter“), aber eben nicht für eine Benutzerinteraktion, halten, da ich – ohne Kenntnis der Hinterv**zigkeit vieler Seitenanbieter – nicht damit rechne, dass sich bei dieser Aktion ein Popup öffnet.
Wirklich sinnvoll ist er nur, wenn jeder Versuch erstmal geblockt wird, dann meinetwegen die Info-Leiste eingeblendet wird und den Hinweis anzeigt: "Diese Seite hat versucht, ein Popup zu öffnen. Darf die das?"
So ist das im Firefox auch. Aber wenn ich dann "ja" klicke, dann gilt das nicht mehr für den zurückgehaltenen und gemeldeten Versuch, sondern nur für zukünftige.
Keine Ahnung, ob das vielleicht an irgendeinem verborgenen Schalter in about:config
liegt, aber in meinen Firefoxes (Ubuntu 18.04, 20.04 und Windows 10) mit nicht identischer Konfiguration, aber überall mit Popup-Verbot, lassen sich Popups, die sich direkt auf eine Aktion (zum Beispiel Klick auf Button) hin öffnen sollen, auch öffnen. Mir ist nicht bewusst, in all den Browsern für die betreffenden Seiten die Popup-Erlaubnis explizit hinterlegt zu haben.
Für Popups, die als Folge einer indirekten Aktion geöffnet werden wollen (zum Beispiel öffne ich einen Tab und die Seite will mir onLoad
ein Popup unterjubeln), wird die von dir erwähnte Info-Leiste eingeblendet.
Tschö, Auge
Hallo Auge!
Falls du mich mit der Definition der Benutzerinteraktion gemeint hast, meinte ich deine direkte Aktion. Dazu würde eben auch ein Focus auf ein Element gehören. Aber ein Mousemove zum Beispiel nicht. Man müsste mal testen, was ein Popup öffnen darf und was nicht.
Au revoir,
Samuel Fiedler
Hallo Samuel,
Falls du mich mit der Definition der Benutzerinteraktion gemeint hast, meinte ich deine direkte Aktion. Dazu würde eben auch ein Focus auf ein Element gehören.
ja, und meiner Ansicht eben auch das Schließen des Tabs.
Aber ein Mousemove zum Beispiel nicht.
Oh je, natürlich nicht!
Man müsste mal testen, was ein Popup öffnen darf und was nicht.
Nicht testen, einfach nachsehen.
Beim Firefox unter about:config der Eintrag dom.popup_allowed_events. Die Events, die in der Defaulteinstellung ein Popup auslösen dürfen, sind:
Das sind für meinen Geschmack einige zuviel.
[ADD:] Und es sind in Wirklichkeit noch mehr. Ich habe nicht beim Firefox nachgeschaut, sondern bei seinem Cousin Pale Moon. Firefox definiert zusätzlich noch die *down-Events, contextmenu und das mir völlig unbekannte Event auxclick. [/ADD:]
Einen schönen Tag noch
Martin
Moin Rolf,
„Ritzenfüller für die ‚Besucherritze‘“
Das Ding heißt "Liebesbrücke"…
Das ist ein schöner Begriff, den merke ich mir 😀
Vielen Dank und viele Grüße
Robert
@@Der Martin
Zwei Betten, die zufällig nebeneinander stehen, sind ja auch noch kein Doppelbett.
😄👍
Was dem einen seine Wortfuge, ist dem anderen seine Besucherritze.
🖖 Живіть довго і процвітайте
wenn sich jemand für meinen Veranstaltungskalender registriert, wird ihm eine Bestätigungs-Mail geschickt mit Kopie an mich.
Sollte ich vor der Registrierung die Eingabe eines Termins verlangen?
Nur, wenn das nicht auch zum Versand eines Emails führt.
Möglicherweise hilft es ja, so wie Robert vorschlug, die Registrierung mit einem Termin zu verknüpfen. Das könnte die Skripte der Spammer(innen), Möchtegernhacker(innen) und anderer Hujus oder Trinen verwirren.
Oder Du versuchst es erstmal unterhalb der Schwelle eines Captcha:
Wie Schuppen fällt es mir von den Augen.
Durch Empfang der Bestätigungsmail „erntet“ der Angreifer meine Absender-Mailadresse, die im Impressum per Grafik für Bots (hoffentlich) nicht als Mailadresse erkennbar ist.
Da muss ich mich nicht wundern, dass mein Postfach überquillt.
Und wer weiß, was dem Mail-Header noch entnommen wird.
Wie vermeidet ihr denn diese Ernte?
Hallo Linuchs,
normalerweise verwendet man für solche Mails eine noreply-Adresse, also eine, bei der alle Mail-Eingänge unbesehen geschreddert werden.
Die Kopie an Dich selbst kannst Du - wenn Du unbedingt musst, per BCC erzeugen oder durch einen separaten Mailversand. Oder - wie schon diskutiert - gar nicht. Der Registrierversuch ist auch durch eine DB-Query erkennbar, würde ich meinen.
Rolf
Hallo
Durch Empfang der Bestätigungsmail „erntet“ der Angreifer meine Absender-Mailadresse, die im Impressum per Grafik für Bots (hoffentlich) nicht als Mailadresse erkennbar ist.
So what? Und was heißt hier „erntet“?
Benutze als Absender eine No-Reply-Adresse, wie von Rolf vorgeschlagen, wenn du denn unbedingt wissen musst, wie ein Registrierungsversuch ausschaut, und gut is.
Und wer weiß, was dem Mail-Header noch entnommen wird.
Prinzipiell alles, was drin steht. Was davon auch immer für einen Spammer interessant sein mag.
Wie vermeidet ihr denn diese Ernte?
Das ist keine Ernte sondern normale Funktionalität des Systems E-Mail. Daher: irgendwo zwischen gar nicht und überhaupt nicht.
Tschö, Auge
Durch Empfang der Bestätigungsmail „erntet“ der Angreifer meine Absender-Mailadresse, die im Impressum per Grafik für Bots (hoffentlich) nicht als Mailadresse erkennbar ist.
Und weil es so schön ist, macht der (die, das Etwas) das mehrfach?
Na?
Hallo Raketenwilli,
“Just because you're paranoid doesn't mean they aren't after you.”
Joseph Heller, Catch-22
Rolf
@@Rolf B
“Just because you're paranoid doesn't mean they aren't after you.”
Joseph Heller, Catch-22
Just because you’re better than me
Doesn’t mean I’m lazy
Just because you’re going forwards
Doesn’t mean I’m going backwards
— Billy Bragg, To Have and to Have Not
🖖 Живіть довго і процвітайте
Hallo,
nur gut, dass ich nochmal genauer hingesehen habe. Beim ersten schnellen Blick habe ich dein Topic nämlich als Regierung gegen Missbrauch aufrüsten gelesen und mich gefragt, welche revolutionären Ideen da wohl dahinterstecken könnten.
Einen schönen Tag noch
Martin
brauche ein neues Konzept.
Wie wäre es denn, ein Wort zu zeigen und die Aufgabe zu stellen:
Bitte gib den siebten und vierten Buchstaben ein.
Beispiel: Bei Bremerhaven wäre die Antwort hm
@@Linuchs
brauche ein neues Konzept.
Wie wäre es denn, ein Wort zu zeigen und die Aufgabe zu stellen:
Wie wäre es denn, deine Probleme nicht auf die Nutzer abzuwälzen‽
🖖 Живіть довго і процвітайте
In Deinem Fall solltest Du die Registrierung einfach wieder löschen, wenn nicht binnen 10 Tagen ein Termin eingetragen wird. Plausibler Grund: Datenschutz. Ohne plausiblen Grund darfst Du keine personenbezogenen Daten speichern und wenn kein „Geschäft“ zu Stande kommt hast Du den nicht.
Also fort damit.
Und ja: Falls Dein Provider das zulässt nutze eine nicht existierende (aber zu Deiner Domain remso.eu gehörende) Adresse als Absender. Dann „bouncen“ die Mails (Es sei denn Du hast etwas konfiguriert, das Mails für beliebige Usernamen an Dich geleitet werden.
Solltest Du in den nächsten paar Minuten ein Mail von mir erhalten, dann hast Du das wohl getan.
„Versuch macht kluch“: „Ihre Nachricht wurde nicht an no_reply@remso.eu zugestellt, weil die Adresse nicht gefunden wurde oder keine E-Mails empfangen kann.“
Na bitte! Nimm die als Absender-Adresse.