Gästebuch Spamfilter

QUOTE
Ich weiß gar nicht warum ihr überhaupt Links zulassen wollt. Ich haben mal testweise einen "Harvester" in ColdFusion geschrieben der mir über 20 000 Mailadressen an einem Tag in eine datenbank geschrieben hat. Und Gästebücher sind hierfür die dankbarsten "Opfer".
Einfach "Das eintragen von Links wird als Spam gelöscht" in den Gästebuchheader und alle Tags die "http:" oder "@" enthaltenn nicht ins gästebuch eintragen.


Heute hat fast jeder eine Homepage, und man will ja auch sehen, wer sich eingetragen hat.

Wie gesagt gibt es tonnenweise sehr effektive und benutzerfreundliche Methoden, um Spam zu verhindern wenn man das Gästebuch-Script anpasst. Und die von dir vorgestellte ist sicher eine der schlechtesten
wink.gif
. Einfach alle Löschn die ein @ oder http enthalten, wie willst du dann mit den Leuten kommunizieren?

Aber wie gesagt, ist es für die meisten Webmaster zu aufwändig ihr Script anzupassen und wollen lieber einfach ein Script hochladen, welches das Spam-Problem in 2 Minuten löst.

Gruess,
Joel
 
Hallo,

QUOTE Einfach "Das eintragen von Links wird als Spam gelöscht" in den Gästebuchheader und alle Tags die "http:" oder "@" enthaltenn nicht ins gästebuch eintragen.

html lass ich auch nicht zu, aber deswegen muss man die Einträge doch nicht gleich löschen.
Du kannst auch ersetzen:
$text=str_replace(array('<','>'),array('<','>'),$_POST['text']);
nur mal als Beispiel.

Gruss

Bernd R. Rickert
 
QUOTE
html lass ich auch nicht zu, aber deswegen muss man die Einträge doch nicht gleich löschen.
Du kannst auch ersetzen:
$text=str_replace(array('<','>'),array('<','>'),$_POST['text']);
nur mal als Beispiel.


Ich glaube das interessiert die Spammer kein bisschen ob jetzt ihre seite wirklich verlinkt ist oder nicht
wink.gif
. Das sind schlussendlich nur Bots die sich einfach eintragen, ob jetzt die eingefügten URLs verlinkt werden oder nicht, they don't care.
 
Ich glaube, da hast du recht.
QUOTE
Ich glaube das interessiert die Spammer kein bisschen ob jetzt ihre seite wirklich verlinkt ist oder nicht wink.gif. Das sind schlussendlich nur Bots die sich einfach eintragen, ob jetzt die eingefügten URLs verlinkt werden oder nicht, they don't care.


Um dann mal zum Thema zurückzukommen:
Ich denke auf die Faulheit von Webmastern zu setzen, ist nicht der richtige Weg.
Schliesslich könnte der Programmierer des Gästebuchs auch ein Upgrate mit Antispam-Script servieren.
Der Webmaster hätte im schlechtesten Fall noch copy und paste zu machen und fertig
Das schaffen die.

Gruss

Bernd R. Rickert
 
QUOTE
Schliesslich könnte der Programmierer des Gästebuchs auch ein Upgrate mit Antispam-Script servieren.


Der Programmierer des Gästebuchs, klingt so nach Einzahl
wink.gif
. Es gibt sicher 100'000 verschiedene Gästebuch Scripts, fast jeder Webmaster hat schon mal eins gemacht. (Und viele kopieren sich einen Gästebuch-Code aus einem PHP-Helpforum und passen ihn dann an...)

Also könnten die 100'000 Webmaster welche schon mal ein Gästebuch programmiert haben doch sicher 100'000 Updates schreiben .. kein Problem.

Eine Lösung, die für alle Gästebücher funktioniert ist besser.

think global, act local
smile.gif
 
Es gibt also zwei Typen von Gästebüchern:
Selbstprogammierte und Fremdprogrammierte.

Von den 100000 gratis Gästebuchscripts werden sich dann wohl die durchsetzen, die auch technisch gepflegt werden. Da sollte man ein Gütesiegel vergeben: spamsicher
Diese Gästebuchanbieter müssten nur auf upgrate-Versionen aufmerksam machen.
Falls die Kommunikation zwischen Anbieter und Benutzer hier nicht funktioniert, halte ich deinen Service durchaus für sinnvoll.

Diejenigen Webmaster, die selbst ihr Gästebuch geschrieben haben, sind wahrscheinlich eher nicht faul und sicher imstande den Code anzupassen.

btw. Mir ist übrigens noch eine javascriptfreie Lösung eingefallen. (2 Zeilen)

Gruss

Bernd R. Rickert

 
- Die Nutzer wollen ihr Gästebuch-Script nicht wechseln, weil sie dadurch alle ihre Gästebucheinträge von ihren Freunden und Bekannten verlieren!

- Die Nutzer wollen ihr Gästebuch-Script nicht updaten. Wenn sie am Script Anpassungen gemacht haben, gehen diese verloren. Dann müssen sie ein grosses Glück haben, dass ihr Gästebuch-Script überhaupt irgend ein Update bereitstellt, das ist fast nie der fall. Und die meisten Nutzer machen ungerne Updates
wink.gif
.

- Die Nutzer wollen auch nicht selbst eine Lösung einprogrammieren. Ich habe einige Freunde, die ihre Gästebücher geschlossen haben wegen dem Spam. Das sind keine Kellerkinder die gerne Scripts umprogrammieren und sich mit Code beschäftigen.

Alle Gästebücher sollen geupdatet, umprogrammiert werden, und User auf Updates aufmerksam machen deiner Meinung nach: Ist Zeitverschwendung
wink.gif
.
 
@Joel Janser

wenn du dich in einem Gästebuch eines Hotels o.ö einträgst, schreibst du auch nur deinen Namen,- maximal dein Wohnort hinein. Links sollten in ein separates Feld geschrieben und dort auch gegebenfalls verifiziert werden. Aus dem Bodytext sollten Links "gestrichen" werden. Besser noch man kann seine Emailadresse hinterlassen die dann allerdings in der Gästebuchausgabe nicht mehr erscheint. Somit ist das von dir angesprochene Kommunikationsproblem gelöst.

Gruß Ronny
 
QUOTE
wenn du dich in einem Gästebuch eines Hotels o.ö einträgst, schreibst du auch nur deinen Namen,- maximal dein Wohnort hinein. Links sollten in ein separates Feld geschrieben und dort auch gegebenfalls verifiziert werden. Aus dem Bodytext sollten Links "gestrichen" werden. Besser noch man kann seine Emailadresse hinterlassen die dann allerdings in der Gästebuchausgabe nicht mehr erscheint. Somit ist das von dir angesprochene Kommunikationsproblem gelöst.



omg, wie oft soll ich das nöch sagen ...

ich programmiere nichts, was nur für ein gästebuch funktioniert. ich programmiere etwas, was für alle gästebücher ohne anpassung funktioniert.

--

und:

- Die Nutzer wollen sicher nicht jeden Eintrag verifizieren.
wink.gif


- Bei deiner Lösung müsste man ja auch tonnenweise umprogrammieren (Verifikationssystem, Links herausstreichen, etc.)

Wenn ich nur mein eigenes Gästebuch vor Spam schützen will, programmier ich das in 2 Minuten um und fang nicht nen Thread an
wink.gif
.
 
@Joel Janser

Betrifft:Das Gästebuch von http://www.hardstyle.net/

Na ganz toll. macht ja mächtig Eindruck wenn ich nebst meiner Emailadressen die jeder auslesen kann auch noch gesagt bekomme mein Gästebucheintrag wäre mit einer Wahrscheinlichkeit von über 50% Spam. Ist das deine Meinung von Spamsicherheit?

Gruß Ronny
 
@joel,

Es ist bestimmt richtig den Spam einzudämmen,
doch du packst mit so einem Service das Übel nicht an der Wurzel.
Zeitverschwendung ist der Aufwand einmal täglich sein Gästebuch reinigen zu müssen.
Wenn das jeder Webmaster machen müsste, hätte man fast das Arbeitspensum eines
mittelständischen Unternehmens verblasen.

Wenn du schon die Gästebuchfelder in der Datenbank automatisch auslesen willst,
kannst du auch gleich ein besseres Gästebuch präsentieren, dass diese Daten integriert
und dem Webmaster keine überflüssige Arbeit auferlegt.
Ob allerdings der gemeine Webmaster seiner Freude über den Qualitätsvorsprung durch eine Honoration Ausdruck verleihen würde, mag ich stark bezweifeln.

cheers

Bernd R. Rickert
 
QUOTE
Na ganz toll. macht ja mächtig Eindruck wenn ich nebst meiner Emailadressen die jeder auslesen kann auch noch gesagt bekomme mein Gästebucheintrag wäre mit einer Wahrscheinlichkeit von über 50% Spam. Ist das deine Meinung von Spamsicherheit?


Das ist der absolut untrainierte Bayessche Algorhytmus. Das ist zufällierweise der gleiche Algorhytmus wie er in Thunderbird, Spamassign, GMX, etc. eingebaut ist. Er hat sich also seit Jahren bewährt und liefert nur schlechte Resultate, da er untrainiert ist. Ausserdem werden nur Einträge mit über 90% Spamwarscheinlichkeit gelöscht oder als Spam markiert.


QUOTE
Zeitverschwendung ist der Aufwand einmal täglich sein Gästebuch reinigen zu müssen.


Nein, ich hab ja geschrieben, dass das Script AUTOMATISCH ALLE 10MINUTEN AUSGEFÜHRT WERDEN KANN. Das Script muss 1 mal hochgeladen werden, fertig. Die Einträge mit 100% Spamsicherheit werden gelöscht.


QUOTE
Wenn das jeder Webmaster machen müsste, hätte man fast das Arbeitspensum eines
mittelständischen Unternehmens verblasen.


Nein es ist natürlich viel einfacher wenn 100'000 Gästebuch-Programmierer ihr ein Update programmieren. etc.


QUOTE
Wenn du schon die Gästebuchfelder in der Datenbank automatisch auslesen willst,
kannst du auch gleich ein besseres Gästebuch präsentieren, dass diese Daten integriert
und dem Webmaster keine überflüssige Arbeit auferlegt.


Klar, das Script wäre dann aber Designtechnisch nicht mehr in die Seite integriert. Es würde auch nicht für CMS-Systeme funktionieren, etc.
 
QUOTE
Nein es ist natürlich viel einfacher wenn 100'000 Gästebuch-Programmierer ihr ein Update programmieren. etc.



Ja genau. Das ist doch wohl das Minimum, dass man als Abnehmer erwarten darf, auch bei Gratis-Angeboten. Sonst schieb ich den schwarzen Peter mal zu faulen Programmierern,
die erst ein Kind in die Welt setzen und dann nichts mehr davon wissen wollen.

Das ist fast genauso schlimm wie der spam und total verantwortungslos.
Die arbeiten den Spammern ja geradezu in die Hände.

Editiert: Ausserdem tangiert ein Spamschutz nicht das Darstellung einer Seite, sofern der Webmaster
nicht an den Funktionen gebastelt hat.

Gruss

Bernd R. Rickert
 
QUOTE
Ja genau. Das ist doch wohl das Minimum, dass man als Abnehmer erwarten darf, auch bei Gratis-Angeboten. Sonst schieb ich den schwarzen Peter mal zu faulen Programmierern,
die erst ein Kind in die Welt setzen und dann nichts mehr davon wissen wollen.


Wer Updates und Support will soll auch zahlen. Total *!?" von jemandem zu erwarten, gratis zu arbeiten
wink.gif
. Und die Programmierer müssen ihre alten Projekte liegenlassen, damit sie neues anfangen können.

--

Falls es jemand interessiert:

http://www.paulgraham.com/paulgraham/spam.html

Mit einem gut trainierten Bayeschen-Filter können laut dem Erfinder 99.5% aller Spams erkannt werden und praktisch 0% werden fälschlicherweise als Spam eingestuft.

Gruess,
Joel

PS:

QUOTE
And so you do, and in the beginning it works. A few simple rules will take a big bite out of your incoming spam. Merely looking for the word "click" will catch 79.7% of the emails in my spam corpus, with only 1.2% false positives.


 
Also meine Meinung ist ja, dass diese Art von Spamfilter etwas in die falsche Richtung geht. Mir kommt es mit der hier verwendeten Argumentation so vor, als wolle man einen 3 Jahre alten sendmail MTA damit vor Spam schützen, indem man einfach beigeht und alle herausgehenden und eingehenden E-Mail mit einen reinen Spamfilter (auf der Basis von Bayes) zu eliminieren.
Jeder der den alten sendmail (sendmail hat sich seitdem aber stark verbessert) kennt, weiß nun, dass man hier ein riesiges Scheunentor offen stehen lässt, wo jeder beliebige von außen ins System gelangen kann.


Joel versteh das nicht falsch, es ist eine nette Idee, aber es ist Erstens nicht wirklich etwas neues (im E-Mail-Bereich wir sowas schon lange praktiziert), und Zweitens sind Deine Argumente für die Verwendung eines solchen Dienstes technisch gesehen sehr mies. Man würde doch selber damit nur eine weitere Angrifffläche für seine Website schaffen, wenn man einen solchen Service benutzen möchte, zudem wäre man der willkür (und wenn dies nicht zutreffen sollte, einen flogeschweren Fehler) der Entwickler von dem Script ausgeliefert.
Wer für die technische Pflege eines Gästebuches zu faul ist, kann sich dann auch einfach gleich an einen guten Gästebuch-Service wenden.



MfG Sascha Ahlers
 
QUOTE
Also meine Meinung ist ja, dass diese Art von Spamfilter etwas in die falsche Richtung geht. Mir kommt es mit der hier verwendeten Argumentation so vor, als wolle man einen 3 Jahre alten sendmail MTA damit vor Spam schützen, indem man einfach beigeht und alle herausgehenden und eingehenden E-Mail mit einen reinen Spamfilter (auf der Basis von Bayes) zu eliminieren.
Jeder der den alten sendmail (sendmail hat sich seitdem aber stark verbessert) kennt, weiß nun, dass man hier ein riesiges Scheunentor offen stehen lässt, wo jeder beliebige von außen ins System gelangen kann.


Joel versteh das nicht falsch, es ist eine nette Idee, aber es ist Erstens nicht wirklich etwas neues (im E-Mail-Bereich wir sowas schon lange praktiziert), und Zweitens sind Deine Argumente für die Verwendung eines solchen Dienstes technisch gesehen sehr mies. Man würde doch selber damit nur eine weitere Angrifffläche für seine Website schaffen, wenn man einen solchen Service benutzen möchte, zudem wäre man der willkür (und wenn dies nicht zutreffen sollte, einen flogeschweren Fehler) der Entwickler von dem Script ausgeliefert.
Wer für die technische Pflege eines Gästebuches zu faul ist, kann sich dann auch einfach gleich an einen guten Gästebuch-Service wenden.


Verstehe nicht was du meinst .. !?

Das mit der Willkür stimmt mehr oder weniger, aber wenn man einen definierten Algorhytmus hat, welcher die statistische Wahrscheinlichkeit auf Spam berechnet ist das nicht unbedingt so. Ausserdem geht es nicht um Bayes ...... meine Idee war das checken der URL mit zwei API-Abfragen alles andere ist Beilage
wink.gif
.

Bsp:

Aber um noch technisch ein Vorteil zu bringen. Ein Java-Scripts Schutz kann relativ schnell ausgehebelt werden, auch der Wartezeiten-Schutz kann ausgehebelt werden, sowie der nicht Java-Script Schutz.

Ein Server-Seitiger Filter kann sich jedoch jederzeit an die neuen Spambots anpassen. Da häufige Spams sehr schnell Blacklisted sind.
 
QUOTE (Joel Janser @ Mo 3.4.2006, 13:16)[...] Verstehe nicht was du meinst .. !? [...]

Ich meine, dass so ein Spamfilter nichts bringt, wenn das entsprechende Gästebuchscript nicht gewartet wird. Man bietet dadruch nur Angrifffläche, mit einen externen Script um so mehr, da gerade so ein Service, ab einer gewissen größe interessant wird für einen Angriff. Es gibt halt Personen, welche nur in Systeme eindringen oder Viren schreiben, um öffentliche Ausmerksamkeit zu bekommen.
Besonders den direkten Datenbankzugriff sehe ich als besonderes problematisch an.

Zum Thema Bayes-Filter, auch wenn ein Bayes-Filter gut trainiert sein sollte, ist dies keine Garantie, dass kein Spam mehr durchkommt, ist mehr Spam-Aufkommen vorhanden, steigt auch die Zahl der Spam-Nachrichten, welche durch dieses System schlüpft.
Dies kann man auch bei größeren E-Mail-Systemen (ca. 100.000 E-Mails und mehr pro Woche) gut beobachten.

Spam ist halt eine Art Wettrüsten und das Beste ist eigentlich schon im Vorfeld Spam abzuwehren, und das am besten mit möglichst wenig Rechenleistung.



QUOTE (Joel Janser @ Mo 3.4.2006, 13:16)[...] Aber um noch technisch ein Vorteil zu bringen. Ein Java-Scripts Schutz kann relativ schnell ausgehebelt werden, auch der Wartezeiten-Schutz kann ausgehebelt werden, sowie der nicht Java-Script Schutz. [...]

Wo soll da der technische Vorteil sein? - Sowas ist eigentlich eine standardgemäße Erwartung, welche ich an kontrollierende Scripte stelle. JavaScript ist nur für eine Kontrolle gut, um etwas Last vom Server zu nehmen.



MfG Sascha Ahlers
 
omg. natürlich ist es nicht optimal, das beste gegen gästebuch-spam.

Du denkst aus der Sicht des System-Administrators und nicht des Benutzers. Der Nutzer hat ein kleines, einfaches Tool um seinen Spam zu löschen und keinen mehr zu haben.

Es ist das gleiche wie mit den Viren, die Leute haben lieber ihr gutes, altes Windows mit einem Virenscanner der ständig aktualisiert wird. Natürlich wäre es besser, ein System zu haben dass von grund auf besser gesichert ist, wie Linux. Dort braucht man auch kaum Scanner, etc. Aber wenn alle Linux hätten, bräuchte man schlussendlich doch einen Viren-Scanner der sich automatisch updated, weil sich die Viren anpassen.

Die Leute wollen weder migrieren, noch programmieren, noch sonst was ... ein Tool das die Probleme löst, ist ok ... aber ihr versteht das nicht weil ihr alle PHP-Freaks und Admins seid
wink.gif
.
 
QUOTE (Joel Janser @ Mo 3.4.2006, 14:00)[...] Es ist das gleiche wie mit den Viren, die Leute haben lieber ihr gutes, altes Windows mit einem Virenscanner der ständig aktualisiert wird. Natürlich wäre es besser, ein System zu haben dass von grund auf besser gesichert ist, wie Linux. Dort braucht man auch kaum Scanner, etc. [...]

Aus der Sicht des Systemadministrators ist diese Behauptung auch nicht ganz richtig, ich habe einen Virenscanner auch auf meinen Linux-Systemen, sowie einen Paket-Filter. Auch verwende ich, für gewisse Sachen immer noch Windows.
Wenn ich unter Linux, genauso wie auf jedem anderen System auch, nicht sicherheitsbewusst handele, bringt es mir nichts, dass das System von der Architektur vielleicht her sicherer ist als andere Betriebssysteme.
Sicherheit ist nun mal etwas, wo man auf jedes einzelne Bindeglied seine Aufmerksamkeit richten muss, aber dabei insgesamt den Überblick behalten muss. Oder um zu zitieren, wenn auch nicht ganz zum Thema passend:

"Die Sicherheit des Kleinen beruht auf der Sicherheit des Großen, die Sicherheit des Großen beruht auf der Sicherheit des Kleinen. Kleine und Große, Vornehme und Geringe sind aufeinander angewiesen, damit alle ihre Freude genießen können." ~ Lü Bu We


Aber ich habe auch ganz bewusst gesagt, das ich es aus technischer Sicht her so sehe.
Und vom Kunden her gesehen, müsste es doch eigentlich gleich sein, ob er für ein Spam-Service oder für einen guten Gästebuchservice, welches einen solchen Spamschutz integriert hat, bezahlt.


Und zu schätzen weiß ich es durchaus, wenn ich ein gutes Tool bekommen kann, besonders bei der Administration. Bei PHP nutze ich doch auch die Erweiterungen, ich schreibe halt nur die Sachen selber, welche meinen Bedürfnissen nicht entsprechen.



MfG Sascha Ahlers
 
Sie müssen sich einloggen oder registrieren, um hier antworten zu können.
Zurück
Oben