Vorschlag gegen die ganzen Spamleute!

[sape]

Script-Kiddies überall

Leider :/

[jens]

Wie wäre es eigentlich man aktiviert "Aktivierung durch den Administrator" ? Also das der Admin eine Mail bekommt, wenn jemand neues sich hier registriert hat.

Man könnte es doch auch so einrichten, das alle Admins/Moderatoren die Mail bekommen, damit sich nicht nur einer darum kümmern muß.

Dann können die SPAM Bots sich zwar immer noch anmelden und ihre SPAM-URL ins Profil schreiben, aber die können keine SPAM-Beiträge mehr schreiben.

Ich hab übrigens bei meinem Forum, die URL Felder aus dem Profil Template gelöscht. So sieht die auch niemand.

Mit einem kleinen Skript wie mein phpBBAdmin kann man dann gezielt die noch nicht aktivierten User wieder löschen und den Namen bannen.

[EnTeQuAk]

Aktivierung durch den Administrator ist bei diesem großen Forum glaub ich nicht die Wahl.

Das ist doch eigentlich exakt das selbe, als wenn man eine Bestätigungsmail verlangt. Ich kenne keinen Bot, der das machen kann.
(belehrt mich eines besseren)


letzteres sollten sich die Admins evtl. mal anschauen -- das ist etwas ganz feines.


MFG EnTeQuAk

[Damaskus]

Also ich würd mal sagen das wir den Spam im Moment recht gut im Griff haben... die 2-3 Postings am Tag die ich mitbekomme kann man auch von Hand löschen. Bevor man sich wieder riesige Mühen macht und am phpBB rumbastelt.
Den Hauptspammer der um Weihnachten rum das Forum komplett zugemüllt hat haben wir ja entsorgt...

Gruß
Damaskus

[jens]

btw. Die Aktivierungsmail ist eine phpBB Funktion die man nur einschalten muß

[gerold]

btw. Die Aktivierungsmail ist eine phpBB Funktion die man nur einschalten muß

Hi!

Ich frage mich echt, was das für einen Vorteil bringen soll.

Z.B.:
Jemand meldet sich an.
Vorname: Charlie
Nachname: Hupsi
Email: unbekannt001@gmx.com

Die Admins würden ihn aktivieren, denn diese Angaben sind vollkommen unauffällig -- und dann?
Was hindert einen Spam-Bot oder einen unterbezahlten russischen Spammer daran, sich zuerst anzumelden und einen Tag später mit dem Spammen los zu legen?

Ich sehe in der "Aktivierung durch die Admins" nur einen Mehraufwand für die Admins.

Die einzigen, die man dadurch herausfiltern könnte, sind alte Bekannte, die eine SPAM-Url mit angeben. Aber diese kann man auch einmal die Woche mit einem kleinen SQL-Skript raus filtern.

Ganz anders verhält es sich natürlich bei einer Bestätigungs-Email. Es ist schon fast selbstverständlich, dass eine Bestätigungs-Email geschickt wird. Anders könnte ja jeder in meinem Namen in einem Forum Mitglied werden. Das muss verhindert werden. Das ist bei Newslettern bereits gesetzlich vorgeschrieben. Wie hier die Gesetzeslage bei Foren aussieht? Ich denke -- ähnlich.

lg
Gerold

[jens]

Also ich weiß nicht. Ich denke man kann an den Angaben meist erkennen, ob es ein Spam-Bot ist oder nicht. IMHO tragen fast alle eine SPAM-URL in ihr Profil ein.

Aber gut, war nur ein Vorschlag.

Dumm ist, das die Aktivierungsmail nicht gerade viel Auskunft erteilt Hier mal ein Beispiel:

Hallo!

Der Account von "TradeSoftCo" wurde deaktiviert oder neu erstellt. Du solltest dir die Details ansehen (wenn nötig) und danach per Klick auf den folgenden Link aktivieren:

http://XXX/profile.php?mode=activate&u= ... d216dcc935

Es wäre besser, wenn die gesammten User-Daten mitgeschickt werden. Dann kann man direkt sehen, ob es ein SPAM User ist... Naja, phpBB halt...

Die neue v3 von phpBB scheint da auch nicht super viel zu machen: http://area51.phpbb.com/docs/features.html

Naja, warten auf pocoo...

[Leonidas]

Die einzigen, die man dadurch herausfiltern könnte, sind alte Bekannte, die eine SPAM-Url mit angeben. Aber diese kann man auch einmal die Woche mit einem kleinen SQL-Skript raus filtern.

Dieses Skript läuft praktisch täglich und löscht immer um die 20 User.

[Damaskus]

Also ich würd mal sagen das wir den Spam im Moment recht gut im Griff haben... die 2-3 Postings am Tag die ich mitbekomme kann man auch von Hand löschen. Bevor man sich wieder riesige Mühen macht und am phpBB rumbastelt.
Den Hauptspammer der um Weihnachten rum das Forum komplett zugemüllt hat haben wir ja entsorgt...

Gruß
Damaskus

Da äußert man sich einmal positiv zum Thema Spam und die Anzahl und das mans im Griff hat und dann übernimmt doch wieder so ein MassenSpammer das ganze Forum...

Gruß
Damaskus

[EnTeQuAk]

Da äußert man sich einmal positiv zum Thema Spam und die Anzahl und das mans im Griff hat und dann übernimmt doch wieder so ein MassenSpammer das ganze Forum...

Leider gottest ist es jetzt langsam ziemlich extrem. Meine Mailbox löscht mitlerweile auch fast jeden Tag ca. 30-40 E-Mails. Gut, das Thunderbird das nach guter Einstellung automatisch macht


Aber wir, auf GFX-United.de haben das ganze im Moment anders gelößt. Wir haben eine einfache Ausahlbox in das registrierungsfeld mit eingebaut, in dem steht:

"möchtest du dich wirklich anmelden?"

Dahinter sind VIER Auswahlfelder...

Und nun das schöne. Es steht noch:

"wenn du möchtest fülle diese Felder NICHT aus!"

hmm... hällt bei uns immo einiges fern. Andererseits gibt es auch Bots, die wirklich nur Benutzername und Passwort ausfüllen.

Das ist zwar spatanisch. Aber eventuell könnte die umbenennung der ID's der Felder für Benutzername und Password etwas bringen? -- weiß ja net...

Das z.B. finde ich interessant. Wie "finden" die die Felder? -- im Quelltext der Seite nach den ID's 'password' und 'username' suchen?? -- die müssen sich ja auch irgentwie orientieren.
Kennt sich da jemand aus?

MfG EnTeQuAk

[jens]

Also wenn ihr euch schon die Mühe macht, Die Anmeldung zu modifizieren, dann würde ich es so machen: Eine Checkbox muss ausgewählt werden und drei dürfen nicht ausgewählt sein.

[EnTeQuAk]

Da wäre die Möglichkeit, das er die richtige trifft auch noch recht groß...

Aber das alles ist nichts wirklich... sinnvolles

[sape]

Wie wäre es mit einer Grafische Sicherheitsüberprüfung so wie es jedes Forum auch macht? Da wird zufällig eine Grafik generiert mit Buchstaben und Zahle die Bots nicht auslesen können. vBulletin verwendet auch sowas. Alle Foren in den ich bin die vBulletin haben haben keine Probleme mit Spam-Bots. Und das nicht weil VB besonders sicher ist, sondern nur wegen der GSÜ und der Bestätigungsmail, die ein Link sendet den man anklicken muss damit der Acc freigeschalten wird.

BTW: Das Argument das man mit sowas viele User ausschließt die Augenprobleme haben, ist keines.

lg

[Rebecca]

BTW: Das Argument das man mit sowas viele User ausschließt die Augenprobleme haben, ist keines.

Warum nicht? Es gibt durchaus Leute, die mit Screenreadern in Foren aktiv sind. Das mag in Programmierforen vielleicht seltener der Fall sein, aber man sollte zumindest auch eine Alternative zum Anhoeren bieten.

[jens]

Grafische Sicherheitsüberprüfung

Das ist IMHO eh schon eingeschaltet Nützt aber nix. Entweder können es die Spam-Bots mittlerweile automatisch ermitteln, oder in Asien tippen Kinder die ganze Zeit die Kombinationen ein oder so...

[Leonidas]

Das z.B. finde ich interessant. Wie "finden" die die Felder? -- im Quelltext der Seite nach den ID's 'password' und 'username' suchen?? -- die müssen sich ja auch irgentwie orientieren.
Kennt sich da jemand aus?

Ich habe mal einen Screen-Scraper für die phpBB-Profil-Seiten gemacht, das ist trivial. Man parst einfach das ganze Formular, nimmt die ganzen Felder, trägt in die interessanten Felder etwas ein und schickt das per POST los. Sowas funktioniert ausreichend gut, um auch mit etwas modifizierten phpBB-Foren zu laufen.

Wie das gelöst ist, steht in changesig.py#extract_variables().

[sape]

Grafische Sicherheitsüberprüfung

Das ist IMHO eh schon eingeschaltet Nützt aber nix.

Hmm, eigenartig. Kenne kein Forum das solche Probleme hat.

Entweder können es die Spam-Bots mittlerweile automatisch ermitteln, oder in Asien tippen Kinder die ganze Zeit die Kombinationen ein oder so...

Oder es liegt doch an der Qualität von vBulletin
Ne mal ernsthaft: Irgendwas macht ihr Falsch!!
Ich fasse zusammen, was ihr bereits aktiviert habt:

• Bestätigungsmail nach dem registrieren, in dem ein Link ist den man anklicken muss, damit der Account freigeschalten wird.
• Eien richtige Grafische Sicherheitsüberprüfung ist auch aktiviert.
• Anonyme User können nicht mehr poste da auch das deaktiviert wurde.
• phpBB ist auf den "neusten" Stand, so das bekannte Sicherheitslücke alter revisionen ausgeschlossen werden können.

Merkwürdig oder? 0o

Ich werde noch ne nummre direkter:
Schaut euch 3DC, EffiziensGurus, Area3D an. Die habe null Probleme mit Spambots.

Auch die habe alle oben genannten Sicherheitsvorkehrungen getroffen. Was habe ndie in ihren System was ihr nicht habt (mal angesehen von VB was damit aber nichts zu tun haben sollte)?

Die kochen doch auch nur mit Wasser.

[jens]

Uns ist schon lange klar, das phpBB mist ist

vBulletin ist allerdings keine freie Software. Somit kommt das auf keinen Fall in Frage.

Das Resümee ist einfach: Warten auf pocoo. Bis dahin ausharren mit phpBB

[sape]

Uns ist schon lange klar, das phpBB mist ist

Also liegt es dann doch an phpBB.

vBulletin ist allerdings keine freie Software. Somit kommt das auf keinen Fall in Frage.

OMG, sowas würde ich nie vorschlagen! Das es Open Source sein muss ist klar Und nebenbei, so geil ist VB auch nicht bzw. es rechtfertigt keine Lizenz von 150€ (Ein Jahr Support und Berechtigung für Updates) und danach jedesmal nach einem Jahr 30€ zu Zahlen, damit man neue Updates kriegen darf und Anspruch auf Support hat.

Das Resümee ist einfach: Warten auf pocoo. Bis dahin ausharren mit phpBB

Ja das ist klar. Aber mal nun ganz nüchtern gefragt und mal als außenstehender: Was genau macht dich sicher das es Pocoo nicht auch so ergehen wird? phpBB ist ja nicht erst gestern auf dem Markt sondern schon länger. Pocoo erblickt erst gerad das Licht der Welt und ich kann mir nicht vorstellen das es sicherheitstechnisch gleich so gut werden wird, dass es sicherere als phpBB ist, oder doch?

[Leonidas]

Aber mal nun ganz nüchtern gefragt und mal als außenstehender: Was genau macht dich sicher das es Pocoo nicht auch so ergehen wird? phpBB ist ja nicht erst gestern auf dem Markt sondern schon länger. Pocoo erblickt erst gerad das Licht der Welt und ich kann mir nicht vorstellen das es sicherheitstechnisch gleich so gut werden wird, dass es sicherere als phpBB ist, oder doch?

Das Pocoo ebenso angegriffen wird ist klar. Nur ist der Unterschied, dass Pocoo wesentlich aktiver betreut wird und durch seine Erweiterbarkeit ist es kein Problem, dort irgendwelche Anti-Spam-Maßnahmen zu implementieren. phpBB hingegen wird von Leuten entwickelt die einen unglaublich hässlichen Code produziert haben, den man nicht ohne weiteres Erweitern kann. Ein weiterer Vorteil ist, dass das hier das Python-Forum ist, und in einem Python-Forum findet man mehr Leute die fähig sind, die Fehler von Pocoo auszubessern als dies bei phpBB der Fall ist.