Gästebuch vor Spam schützen?
- Ersteller Axel
- Erstellt am
Nein, so ne Zeitsperre ist immer an ne IP geknüpft.Thomas schrieb:
Also IP A kommt und gibt nen Eintrag ab. Dann ist für IP A das Ganze für 300 Sekunden gesperrt, aber sämtliche anderen IPs können problemlos einen Eintrag loslassen.
Ansonsten würde ich dem Threadersteller doch mal empfehlen, lieber ein etwas professionelleres Gästebuchscript zu verwenden. Gibt es ja genügend kostenlos.
Was mich nur wundert, dass der Threadersteller sich seitdem nicht mehr hier gemeldet hat.
anddie
!?!anddie schrieb:
Also sowas verstehe ich unter einer IP Sperre
IP auslesen, in Datenbank mit Timestamp + 60min (oder was weiß ich) speichern und dann checken, ob IP wieder nen Eintrag schreiben darf...
Was anderes kenne ich leider nich oO
x3ntar
ErwinRommel
SEO-Experte
- 4 Mai 2006
- 244
- 14
Axel schrieb:
Verzichte einfach auf das Gästebuch.
@anddie: ich ging ja auf den hinweis ein und zeit sperre = Das nur alle 300 Sekunden ein Eintrag möglich ist, egal von welcher IP. also nicht auf die klassische ip-sperre.
@ boe-soe-soe (schade, das wir zum nächsten ut höchstwahrscheinlich nicht können): ja eben, ich habe auch den bot-befall gehabt, obwohl ich nicht eines der freien oder kaufbaren gästebücher verwendet habe. trotzdem wurde es irgendwie gefunden. es gibt also andere suchparameter als deine angesprochenen "signaturen" a la "Woltlab TellLauraILoveHer 2.342".
dennoch würde ich vom theoretisch bestmöglichen bot ausgehen, warum mir arbeit für eine mittelmäßige lösung machen, wenn eine stunde mehr arbeit gänzlich alle bisher bekannten probleme lösen könnte
nachdem du das mit dem müll angesprochen hast, denke ich, das war dein post in meinem photocase "asdfasdf..."? für solche probleme hab ich mir auch schon eine lösung einfallen lassen, die einfachste war eine gewisse anzahl buchstaben, ok, die kann man als mensch natürlich einfach umgehen, der bot, der die hinweisausgabe nicht liest, aber nicht weitere ansätze hab ich auch schon parat, werd ich aus faulheit aber erst umsetzen, wenns nötig wird. 
@ boe-soe-soe (schade, das wir zum nächsten ut höchstwahrscheinlich nicht können): ja eben, ich habe auch den bot-befall gehabt, obwohl ich nicht eines der freien oder kaufbaren gästebücher verwendet habe. trotzdem wurde es irgendwie gefunden. es gibt also andere suchparameter als deine angesprochenen "signaturen" a la "Woltlab TellLauraILoveHer 2.342".
dennoch würde ich vom theoretisch bestmöglichen bot ausgehen, warum mir arbeit für eine mittelmäßige lösung machen, wenn eine stunde mehr arbeit gänzlich alle bisher bekannten probleme lösen könnte
nachdem du das mit dem müll angesprochen hast, denke ich, das war dein post in meinem photocase "asdfasdf..."? für solche probleme hab ich mir auch schon eine lösung einfallen lassen, die einfachste war eine gewisse anzahl buchstaben, ok, die kann man als mensch natürlich einfach umgehen, der bot, der die hinweisausgabe nicht liest, aber nicht
weitere ansätze hab ich auch schon parat, werd ich aus faulheit aber erst umsetzen, wenns nötig wird. wie wäre es mit einem regexp für die Nachrichten die eingetragen werden sollen???
ersten kannst du dann gleich alla BBCode und HMTLCode ausgrenzen und belibig erweitern wenn du dann immer noch spam haben solltest.
2 gute Gründe für mich dafür:
1. es sind ca 3 Zeilen Code
2. man kann den Regexp beliebig erweitern braucht kein Captscha und kein IP Sperre zu basteln
ersten kannst du dann gleich alla BBCode und HMTLCode ausgrenzen und belibig erweitern wenn du dann immer noch spam haben solltest.
2 gute Gründe für mich dafür:
1. es sind ca 3 Zeilen Code
2. man kann den Regexp beliebig erweitern braucht kein Captscha und kein IP Sperre zu basteln
Es gibt auch noch die Möglichkeit "IP x.x.x.x darf gar nichts ins Gästebuch schreiben". Und das ist bei mir ne IP-Sperre.x3ntar schrieb:Also sowas verstehe ich unter einer IP Sperre
IP auslesen, in Datenbank mit Timestamp + 60min (oder was weiß ich) speichern und dann checken, ob IP wieder nen Eintrag schreiben darf...
Was anderes kenne ich leider nich oO
Ist zumindest dahingehend sinnvoll, wenn die Spambots von irgendwelchen Servern in Asien oder am A.d.W kommen. Da Server meist doch ne feste IP haben.
anddie
Diese Lösung ist sehr effektiv und einfach umzusetzen. Ich hatte voriges Jahr auch Probleme mit den Spammern. Dann hab ich einfach den Namen der Eintragsseite in eine völlig willkürliche Buchstaben und Zahlen Kombination geändert (z.b. jh3657tgh.php) und seit dem keine Spam Eintragungen mehr von Robots gehabt.wahnsinn schrieb:
Und die Sorge das dieser Name bekannt wird kann man auch getrost vergessen. Dazu müsste der Sammer ja seinen Robot den Befehl geben auch nach diesen Namen zu suchen. Dazu sind diese aber viel zu faul *gg*
Ausserdem lohnt sich für die nicht die Mühe für eine Seite extra den Suchwortliste des Robots zu ändern.
Es gibt ja schliesslich genug Gästebücher die Standartnamen benutzen.....
hi
hatte ich auch habe dann diese lösung gewählt.
ganz unten der sicherheitscode
ihr kennt das ja vom klammpopup
https://garniers.de/guestbook/addentry.php
franzossi
hatte ich auch habe dann diese lösung gewählt.
ganz unten der sicherheitscode
ihr kennt das ja vom klammpopup
https://garniers.de/guestbook/addentry.php
franzossi
setz aber voraus, dass dir die ip bekannt ist und das diese auch gleich bleibt. und um ehrlich zu sein, ich hab keinen bock logfiles nach bot-ips zu durchsuchen. dann doch lieber eine selbsterstellte blacklist, die die ips von gesperrten einträgen für eine gewisse zeit speichert. aber ob sich das lohnt, wenn die beiträge sowieso ausgefiltert werden würden?strolch00 schrieb:
@regexp: klar, mit was sonst?
@ip-sperre: benutze ich trotzdem gerne, super zum verhindern von doppelposts und nicht selten "zwinge" ich die user damit, dass sie die editierfunktion nutzen sollen
das geht dann aber übers gb hinaus und ist schon wieder eine andere sache.@ mal allgemein:
hm, wieso nutzt ihr nicht einfach ein gästebuch was captcha-codes, und diverse floodprotection integriert hat? davon gibts ja mehr als genug..
@ zu der idee: einträge freischalten
als webmaster will ich mich mit sowas überhaupt nicht rumärgern müssen. müsste ich jeden eintrag nochmal kontrollieren, würde der zeitaufwand trotzdem vorhanden sein und "aktiv" genutzte gb's würden ihren zweck verlieren.. *anmerk..
hm, wieso nutzt ihr nicht einfach ein gästebuch was captcha-codes, und diverse floodprotection integriert hat? davon gibts ja mehr als genug..
@ zu der idee: einträge freischalten
als webmaster will ich mich mit sowas überhaupt nicht rumärgern müssen. müsste ich jeden eintrag nochmal kontrollieren, würde der zeitaufwand trotzdem vorhanden sein und "aktiv" genutzte gb's würden ihren zweck verlieren.. *anmerk..
Das sehe ich nicht so. Sobald ich einen neuen Eintrag habe, bekomme ich eine Mail mit dem Text und einem Freischaltlink. Ist also eigentlich kein großer Aufwand, denn ob ich mir den Eintrag nun in der Email oder im Gästebuch durchlese bleibt sich gleich.Scar schrieb:
Also ich als User trage prinzipiell nichts in Gästebücher ein, wo ich noch ne alberne Zahlenkombination angeben soll.Scar schrieb:
Ansonsten suchte der Threadersteller ja Möglichkeiten, wie er bei seinem schon vorhandenen Gästebuch irgendwas machen kann, ohne gleich ein komplett neues zu nehmen. (auch wenn das meiner Meinung nach vielleicht angebracht wäre)
Da man als Seitenbetreiber aber auch eine gewisse Verantwortung für den Müll in dem Gästebuch hat, kommt man gar nicht drumherum, das Ganze zu kontrollieren. Und wie JayJay schon sagte, ne Mail ist schnell gelesen.Scar schrieb:
anddie
anddie schrieb:
@anddie
wenn du den thread richtig gelesen hättest würdest du dein posting wohl
noch mal überdenken müssen bevor du auf antworten klickst.
10000 einträge in nur 3 tagen
da wünsch ich dir viel spass beim e-mail lesen!
da du keine alberne Zahlenkombi eingeben willst lass es halt
es war dir dann wahrscheinlich eh nicht so wichtig was zu schreiben.
franzossi
Meine Erfahrung mit Bots:
Ganz ohne Captchas und Emailverifizierungen, wie ich das machen würde:
- Die IPs sind jedesmal ganz unterschiedlich, da helfen IPsperren nicht
- Der Useragent war ein ganz gewöhnlicher
- Die Bots trugen sich, zumindest bei mir auch ein, wo nirgendswo eine Herstellersigatur wie "Made by Xgästebuch" stand, weil das Skript selbstgeschrieben war, aber das Wort "Gästebuch" kam irgendwo im einen Eintrag vor, wo Stand "Ich trage mich mal in dein Gästebuch ein", ich schätze die Bots suchen anscheinend auch nach "Gästebuch", "Guestbook", "Gäste-Buch", "Eintrag(en)", "Name", "Text" u.s.w. oder gehen von der Startseite aus
- Die IP Adresse, die den Eintrag tätigt, war öfters eine andere, die das Gästebuch aufrief
- Die Bots, die sich auch eintrugen, blätterten laut Logfile sich durch alle Seiten durch, wohl um Adressen zu sammeln. Gut das bei mir Emailadressen verschlüsselt werden, ich hoffe nur mein Schutz hält
- Die Bots kamen wieder, auch ohne die Hauptseite wie beim ersten Mal zu besuchen, denn meine Homepage hatte ich zwecks Überarbeitung stillgelegt, das Gästebuch war also von nirgendswo mehr verlinkt
- Die Gästebuchseite hieß buch.php die auch Einträge entgegennahm und lag in einem Unterverzeichnis, dessen Namen nicht blind zu erraten war
- Die Bots übergaben sogar die Werte in Hidden- und Buttonfelder korrekt
- Ich hatte außer Name- und Kommentar noch ein, für ein Gästebuch ungewöhnliches Pflichtfeld, ohne den kein Eintrag möglich war, es hieß "Wohnort". Diese wurden von den Bots mit irgendwelchen Zeichenfolgen ausgefüllt. Das Feld Homepage und Email wurde sogar korrekt erkannt und entsprechend mit der Homepageadresse und Emailadresse des Spammers ausgefüllt.
Ganz ohne Captchas und Emailverifizierungen, wie ich das machen würde:
- Um sich eintragen zu können muss man erst die Gästebuchseite zum Lesen aufrufen
- Zwischen Aufruf Hauptseite und Eintrag müssen 30 bis 1800 Sekunden vergehen (via Session)
- Name der Input Felder sind Zufall
- Es gibt neben den echten Feldern paar Dummy Input Felder im Formular, mit Stylesheets unsichtbar gemacht, die konkret (name=)Email, (...=)Homepage, Text heißen. Werden diese ausgefüllt, wird der Eintrag verworfen
Das find ich is ne gute Idee, aber wie würdest du die Input-Felder dynamisch benennen?Icy schrieb:
Dann müsstest du ja per Get oder Session die Feldnamen vom Formular an das verarbeitende Script übergeben...aber ne gute Idee...
Und wie wärs mit Zahlen als Feldnamen?
