[php] Beveiliging tegen spam

dinsdag 23 januari 2007 17:34

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Die captcha-code die gegenereerd wordt, kan die niet gewoon vervangen worden door een gif-file waarop letters staan afgebeeld. Deze gif dan in een formulier zetten en de gebruiker die letters laten overtypen en tenslotte laten controleren of de letters juist zijn door php.
Dit kan toch ook alleen maar door een menselijke gebruiker ingevult worden en zo veel eenvoudiger dan die captcha-code.
Of heb ik het mis?

Had nog een vraagje:
Wanneer een "mailto:" linkje op een site wordt geplaatst maar de linknaam is niet dezelfde als het effectieve mailadres waarnaar gelinkt wordt, kan dit ook spam veroorzaken?

bv:

<a href="mailto:naam@site.be">naam</a>
<a href="mailto:naam@site.be">naam@site.be</a>

Is bovenste nu veilig tegen spam en onderste niet? Of beide niet veilig?

dinsdag 23 januari 2007 17:36

Acties:

0 Henk 'm!

Wortelsoep

Verwijderd schreef op dinsdag 23 januari 2007 @ 17:34:
Die captcha-code die gegenereerd wordt, kan die niet gewoon vervangen worden door een gif-file waarop letters staan afgebeeld. Deze gif dan in een formulier zetten en de gebruiker die letters laten overtypen en tenslotte laten controleren of de letters juist zijn door php.
Dit kan toch ook alleen maar door een menselijke gebruiker ingevult worden en zo veel eenvoudiger dan die captcha-code.
Of heb ik het mis?

Ik snap je vraag niet

Had nog een vraagje:
Wanneer een "mailto:" linkje op een site wordt geplaatst maar de linknaam is niet dezelfde als het effectieve mailadres waarnaar gelinkt wordt, kan dit ook spam veroorzaken?

bv:
<a href="mailto:naam@site.be">naam</a>
<a href="mailto:naam@site.be">naam@site.be</a>
Is bovenste nu veilig tegen spam en onderste niet? Of beide niet veilig?

Beide (zeer) onveilig. Niet gebruiken dus. Tenzij het op een besloten community is waar spambots niet kunnen komen.

dinsdag 23 januari 2007 17:36

Acties:

0 Henk 'm!

Voutloos

Een captcha is toch vaak genoeg een plaatje?

Of bedoel je dat de tekst niet vervormd moet zijn? Dat is om OCR moelijker te maken.

{signature}

dinsdag 23 januari 2007 17:39

Acties:

0 Henk 'm!

mithras

Verwijderd schreef op dinsdag 23 januari 2007 @ 17:34:
Die captcha-code die gegenereerd wordt, kan die niet gewoon vervangen worden door een gif-file waarop letters staan afgebeeld. Deze gif dan in een formulier zetten en de gebruiker die letters laten overtypen en tenslotte laten controleren of de letters juist zijn door php.
Dit kan toch ook alleen maar door een menselijke gebruiker ingevult worden en zo veel eenvoudiger dan die captcha-code.
Of heb ik het mis?

Een captcha wordt (als het goed is) aangemaakt met random characters. Een spammer kan een statische gif brute-forcen en daarna zoveel spammen als hij wil. Een captcha wordt elke keer opnieuw gegenereerd, dus dan gaat dat niet op

Had nog een vraagje:
Wanneer een "mailto:" linkje op een site wordt geplaatst maar de linknaam is niet dezelfde als het effectieve mailadres waarnaar gelinkt wordt, kan dit ook spam veroorzaken?

bv:
<a href="mailto:naam@site.be">naam</a>
<a href="mailto:naam@site.be">naam@site.be</a>
Is bovenste nu veilig tegen spam en onderste niet? Of beide niet veilig?

Spam bots zoeken code door. naam@site.be staat in beide gevallen vermeld, dus is in beide gevallen even makkelijk te traceren. Genereer liever (zoals hier op GoT) het email adres met GD, zodat er een plaatje van gemaakt wordt. Je levert wat usability in, maar spammers houd je zo grotendeels tegen

dinsdag 23 januari 2007 17:39

Acties:

0 Henk 'm!

CodeCaster

Can I get uhm...

Verwijderd schreef op dinsdag 23 januari 2007 @ 17:34:
Die captcha-code die gegenereerd wordt, kan die niet gewoon vervangen worden door een gif-file waarop letters staan afgebeeld. Deze gif dan in een formulier zetten en de gebruiker die letters laten overtypen en tenslotte laten controleren of de letters juist zijn door php.
Dit kan toch ook alleen maar door een menselijke gebruiker ingevult worden en zo veel eenvoudiger dan die captcha-code.
Of heb ik het mis?

Dat heb je mis. Want de gif kan dan gelezen worden door iemand waarna de bot erop aangepast wordt, want de code blijft toch altijd hetzelfde... Of je moet dagelijks gaan zitten FTP'en om een nieuw gifje te uploaden en de php-code hierop aan te passen...

Had nog een vraagje:
Wanneer een "mailto:" linkje op een site wordt geplaatst maar de linknaam is niet dezelfde als het effectieve mailadres waarnaar gelinkt wordt, kan dit ook spam veroorzaken?

bv:
<a href="mailto:naam@site.be">naam</a>
<a href="mailto:naam@site.be">naam@site.be</a>
Is bovenste nu veilig tegen spam en onderste niet? Of beide niet veilig?

Beide niet. Zolang er een mail-adres in de html staat, kan een bot deze lezen.

https://oneerlijkewoz.nl
Op papier is hij aan het tekenen, maar in de praktijk...

dinsdag 23 januari 2007 17:39

Acties:

0 Henk 'm!

momania

iPhone 30! Bam!

Verwijderd schreef op dinsdag 23 januari 2007 @ 17:34:
Die captcha-code die gegenereerd wordt, kan die niet gewoon vervangen worden door een gif-file waarop letters staan afgebeeld. Deze gif dan in een formulier zetten en de gebruiker die letters laten overtypen en tenslotte laten controleren of de letters juist zijn door php.
Dit kan toch ook alleen maar door een menselijke gebruiker ingevult worden en zo veel eenvoudiger dan die captcha-code.
Of heb ik het mis?

Dan leest iemand dus 1 keer welke letters hij moet invullen, maakt dan een spam script en voila

De captcha catch is dat het juist iedere keer veranderd.

Neem je whisky mee, is het te weinig... *zucht*

dinsdag 23 januari 2007 17:41

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Ja de tekst moet nie gevormd zijn. Gewoon wanneer een gebruiker iets wil posten dat gij het woord "post" ziet staan op een plaatje. Dat hij dit dan overtypt en zo een controle uitvoeren via php om te kijken of het woord juist is.

Vraagt veel minder programmeer werk. (Ben beginnende php-er)

dinsdag 23 januari 2007 17:43

Acties:

0 Henk 'm!

CodeCaster

Can I get uhm...

Nogmaals, een spammer ziet dan dat het woord altijd hetzelfde is. Hierop kan hij zijn spambot dan aanpassen, zodat die altijd hetzelfde woord invoert. En dan ben je het haasje.

Extragratisj tip: koop eens een goed boek

https://oneerlijkewoz.nl
Op papier is hij aan het tekenen, maar in de praktijk...

dinsdag 23 januari 2007 17:43

Acties:

0 Henk 'm!

momania

iPhone 30! Bam!

Verwijderd schreef op dinsdag 23 januari 2007 @ 17:41:
Ja de tekst moet nie gevormd zijn. Gewoon wanneer een gebruiker iets wil posten dat gij het woord "post" ziet staan op een plaatje. Dat hij dit dan overtypt en zo een controle uitvoeren via php om te kijken of het woord juist is.

Vraagt veel minder programmeer werk. (Ben beginnende php-er)

Dan kan je net zo goed boven het invoer veld de tekst 'voer hier het woord "POST" in' zetten.
Heb je dezelfde beveiliging als met een statische gif met onvervormde tekens: weinig tot geen dus

Neem je whisky mee, is het te weinig... *zucht*

dinsdag 23 januari 2007 17:47

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

@CodeCaster: heb een paar goede boeken, maar redelijk oud en geen beveiliging systemen.
Zal eens zoeken achter boek van php voor beveiligingen.

@andere: en als ik nu via php @ vervang door "at" en . vervang door "dot"
is dit ook even onveilig? weergave op site wordt dan naamatsitedotbe

[ Voor 7% gewijzigd door Verwijderd op 23-01-2007 17:48 ]

dinsdag 23 januari 2007 17:49

Acties:

0 Henk 'm!

momania

iPhone 30! Bam!

Verwijderd schreef op dinsdag 23 januari 2007 @ 17:47:
@andere: en als ik nu via php @ vervang door "at" en . vervang door "dot"
is dit ook even onveilig?

Is een optie, maar spam-bots weten al deze truckjes ondertussen ook al natuurlijk

Als je echt spam wilt voorkomen moet je geen e-mail adressen laten zien in een openbaar gedeelte van je site. Dan kunnen de spam-bots er ook niet bij.
En anders is de beste oplossing nog op er een plaatje van te renderen.

Neem je whisky mee, is het te weinig... *zucht*

dinsdag 23 januari 2007 18:01

Acties:

0 Henk 'm!

XWB

Devver

Misschien heb je hier wat aan:

[tip] Unicode je emailadres
http://area51.endoria.net/tests/encode.php
http://atlex.nl/stuff/safemail/

March of the Eagles

dinsdag 23 januari 2007 18:03

Acties:

0 Henk 'm!

mithras

Tip: [google=php captcha]. Kan je zo 100 voorbeelden vandaan plukken. Verder zijn de "at en dot" truck al oud, en wordt ook met gemak herkent.

Beter kan je gewoon een plaatje maken (zoals ik al zei, ook te vinden via Google) of in de trant van "test [at] domein [punt] nl": met spaties, blokhaken én een Nederlands woord (punt), dat maakt het al een stukje lastiger

dinsdag 23 januari 2007 18:56

Acties:

0 Henk 'm!

UltimateB

Pomdiedom

Gebruik zelf voor formulieren de volgende contructie. Action van een form naa reen 404 pagina laten verwijzen en de action veranderen als op een plaatje geclickedd wordt. 99% van de mensen op het net heeft toch javascript.

HTML:

<form id="gbform" name="gbform" action="404.php" method="post">
 <table>
  <tr><td>Je naam:</td><td align="right"><input type="text" name="name" size="31"></td></tr>
  <tr><td colspan="2">Je bericht:</td></tr>
  <tr><td colspan="2"><textarea name="message" cols="39" rows="10"></textarea></td></tr>
  <tr>
    <td colspan="2">
      <img src="images/send.png" 
      onclick="document.gbform.action = 'index.php?page=submit';document.gbform.submit();">
    </td>
  </tr>
</table>
</form>

Sinds dien geen gastenboek spam meer gehad.

"True skill is when luck becomes a habit"
SWIS

Onderwerpen