Vermoeden dat mijn gastenboek wordt vol gespamt - Softwareontwikkeling

zondag 23 oktober 2005 13:09

Acties:

Topicstarter

Zie mijn gastenboek:
// link verwijderd, google leest mee

De bovenste berichten van MamDa, Portman, Friend, Xanax en Hydro. Daar gaat het om. Het waren er eerst veel meer maar heb een gedeelte al verwijderd.

De emailadressen van deze berichten zijn allemaal in de vorm van xanax@xanax.com, hydro@hydro.com e.d.

Lijkt me duidelijk spam. De berichten voegen ook weinig nuttigs toe.

Mijn hoop was dat alle berichten van 1 IP adres kwamen. Dan had ik dat makkelijk kunnen blokkeren.

80.77.86.240 - Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
83.103.70.42 - Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
211.95.105.202 - Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)

Dit is o.a. wat ik van de vervelende poster weet. Steeds wisselende ip-adressen dus.

Hoe zou ik dit het beste kunnen tegengaan? Is erg lastig dagelijks een paar berichten te moeten verwijderen.

[ Voor 5% gewijzigd door Spixo op 16-05-2006 21:46 . Reden: typo ]

zondag 23 oktober 2005 13:11

Acties:

Verwijderd

Gewoon een challenge/response mechanisme gebruiken? Of een plaatje genereren waaruit de tekst moet worden overgetypt.

zondag 23 oktober 2005 13:14

Acties:

Spixo

Topicstarter

Verwijderd schreef op zondag 23 oktober 2005 @ 13:11:
Gewoon een challenge/response mechanisme gebruiken? Of een plaatje genereren waaruit de tekst moet worden overgetypt.

Over dat plaatje heb ik ook al zitten nadenken. Alleen dat is weer lastiger voor "normale" bezoekers die een bericht willen achterlaten.

Daarnaast heb ik een handgemaakt gastenboek en lijkt het me vreemd dat ze een bot hebben ontwikkeld om precies mijn gastenboek vol te gaan spammen

zondag 23 oktober 2005 13:14

Acties:

NMe

Quia Ego Sic Dico.

CAPTCHA.

'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.

zondag 23 oktober 2005 13:27

Acties:

Not Pingu

Dumbass ex machina

Het nadeel van CAPTCHA-achtige dingen vind ik altijd dat het iets simpels als een gastenboekje tekenen, ineens een stuk(je) ingewikkelder maakt. Wat is bijv. de kans dat gewarpte tekst verkeerd wordt gelezen? Niet-nerds zijn een stuk minder perceptief en nauwkeurig met het interpreteren van scherm-input, dus de kans dat iets verkeerd wordt ingetypt is groot (zeker als regels tav. case sensitivity of het wel of niet moeten overnemen van de exacte schrijfwijze, niet duidelijk zijn).

Het eerste wat je in dit soort gevallen nodig hebt, is informatie. IP adressen, user agent strings en natuurlijk de geplaatste berichten van de spambots. Daarmee kun je vast wel iets vinden waarmee je posts van bots er met grote nauwkeurigheid uit kunt filteren.

Certified smart block developer op de agile darkchain stack. PM voor info.

zondag 23 oktober 2005 13:31

Acties:

Verwijderd

Dat "lastiger" is nou net het hele principe van CAPTCHA. Lastiger voor mensen, véél lastiger voor machines.

zondag 23 oktober 2005 13:31

Acties:

Spixo

Topicstarter

Verwijderd schreef op zondag 23 oktober 2005 @ 13:31:
Dat "lastiger" is nou net het hele principe van CAPTCHA. Lastiger voor mensen, véél lastiger voor machines.

Maar hoe weet je zeker dat het een bot is die loopt te irriteren? Waarom zou men een bot schrijven voor mijn gastenboek?

zondag 23 oktober 2005 13:38

Acties:

Verwijderd

Ricardo87 schreef op zondag 23 oktober 2005 @ 13:31:

Maar hoe weet je zeker dat het een bot is die loopt te irriteren? Waarom zou men een bot schrijven voor mijn gastenboek?

Hoe je dat zeker kunt weten is eigenlijk zojuist verteld. Probeer die oplossing dan gewoon, en als het probleem blijft bestaan, kun je nog altijd verder kijken.

Ik mag hopen dat je begrijpt dat de enige manier om dit te voorkomen zou betekenen dat je gastenboek helemaal niet meer bruikbaar is?

zondag 23 oktober 2005 13:50

Acties:

AlteKiet

Ricardo87 schreef op zondag 23 oktober 2005 @ 13:31:
[...]

Maar hoe weet je zeker dat het een bot is die loopt te irriteren? Waarom zou men een bot schrijven voor mijn gastenboek?

Het zijn geen bots die specifiek voor jouw gastenboek zijn geschreven, maar voor gastenboeken in het algemeen. Het formulier op de pagina waar je een entry kunt toevoegen heeft namelijk altijd dezelfde structuur:
<input>
<input>
...
<input>
<textarea></textarea>
<input type='submit'>

De bot voegt dan een bericht toe aan het textarea veld en een of ander e-mailadres aan het input-veld dat een naam heeft die op 'mail' lijkt.

[ Voor 8% gewijzigd door AlteKiet op 23-10-2005 13:51 ]

zondag 23 oktober 2005 13:55

Acties:

crisp

Devver

Pixelated

Daarom is het gebruik va een eenmalig token vaak ook een goede oplossing; hiermee genereer je een challenge-response waarmee geautomatiseerde input vaak niet meer mogelijk is; de 'bot' moet immers eerst de challenge (token) opvragen en die weer mee terug sturen in de POST - zo geavanceerd zijn de meeste spambots niet (plus dat ze vaak ook geen cookies accepteren)

[ Voor 7% gewijzigd door crisp op 23-10-2005 13:55 ]

Intentionally left blank

zondag 23 oktober 2005 13:58

Acties:

Spixo

Topicstarter

crisp schreef op zondag 23 oktober 2005 @ 13:55:
Daarom is het gebruik va een eenmalig token vaak ook een goede oplossing; hiermee genereer je een challenge-response waarmee geautomatiseerde input vaak niet meer mogelijk is; de 'bot' moet immers eerst de challenge (token) opvragen en die weer mee terug sturen in de POST - zo geavanceerd zijn de meeste spambots niet (plus dat ze vaak ook geen cookies accepteren)

Dit duizeld me even... heb je misschien een link waar dit allemaal staat uitgelegd?

zondag 23 oktober 2005 14:04

Acties:

NMe

Quia Ego Sic Dico.

Het is je net al allemaal uitgelegd?

'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.

zondag 23 oktober 2005 14:06

Acties:

Spixo

Topicstarter

-NMe- schreef op zondag 23 oktober 2005 @ 14:04:
Het is je net al allemaal uitgelegd?

Zoals ik het interpreteer:

1) De server stuurt een code, naar de client
2) De client trekt daar bijv. een md5 hash overheen en stuurt hem weer terug
3) Server trekt die hash ook en controleert of het klopt

Echter die bot kan toch stap 2 ook doen?

zondag 23 oktober 2005 14:17

Acties:

gorgi_19

Kruimeltjes zijn weer op :9

Niet als het in een cookie wordt weggeschreven, aangezien de meeste bots die niet ondersteunen.

Digitaal onderwijsmateriaal, leermateriaal voor hbo

zondag 23 oktober 2005 14:36

Acties:

Spixo

Topicstarter

Ik ben even wat aan het proberen geweest.

Het is nu alleen mogelijk wat in het gastenboek te schrijven als je op de link in het gastenboek hebt geklikt. Surf je rechtstreeks naar de onderstaande pagina dan ben je niet gemachtigd:

// link verwijderd, google leest mee

Momenteel set ik een sessie als je het gastenboek opend. Zou dit afdoende zijn?

[ Voor 10% gewijzigd door Spixo op 16-05-2006 21:46 ]

zondag 23 oktober 2005 15:42

Acties:

crisp

Devver

Pixelated

Doe je dat op basis van referer? referer spoofing is vrij eenvoudig en sowieso is de referer niet betrouwbaar en wordt deze ook vaak onderdrukt door bepaalde anti-virus pakketten.

Waar ik op doel is het volgende (in een notendop):

PHP:

1
2
3

session_start();
$_SESSION['token'] = md5(uniqid(rand(), true));
echo '<input type="hidden" name="token" value="'.$_SESSION['token'].'" />';

Bij het verwerken:

PHP:

session_start();
if (empty($_SESSION['token']) || empty($_POST['token']) || $_POST['token'] != $_SESSION['token'])
{
  echo 'Dit bericht kon niet geplaatst worden';
}
unset($_SESSION['token']);

[ Voor 3% gewijzigd door crisp op 23-10-2005 15:44 ]

Intentionally left blank

zondag 23 oktober 2005 15:43

Acties:

Guldan

Thee-Nerd

je zou ook nog kunnen instellen dat als een bericht hetzelfde is als een laatst geplaatst bericht dat hij hem dan niet toevoegd. Ook je je sessiesysteem uit kunnen breiden door een op de pagina waar de reply word als er op ok word gedrukt een extra sessie variable te zetten. en dan niet de pagina opnieuw te laten herladen als de sessie bestaat. En dan op de hoofdpagina deze weer te laten veranderen.
vb.

PHP:

//hoofdpagina van je gastenboek. 

$_SESSION['add'] = 0;
//geef alles weer etc.

PHP:

//reply pagina
//geef invoer formulier weer

if(isset($_POST['okknop']) && $_SESSION['add'] =0)
{
//voeg toe aan db
$_SESSION['add'] =1;
}

dit disabled ook spamacties door F5. en iemand moet eerst weer terug naar de hoofdpagina om te zorgen dat er weer een bericht geplaatst kan worden. Hoop dat je hier wat aan hebt.

edit:De manier van Crisp is veiliger door de random waarde.

[ Voor 7% gewijzigd door Guldan op 23-10-2005 15:44 ]

You know, I used to think it was awful that life was so unfair. Then I thought, wouldn't it be much worse if life were fair, and all the terrible things that happen to us come because we actually deserve them?