is dit spam beveiliging mbt online mailto address ? - Softwareontwikkeling

woensdag 14 februari 2007 18:46

Acties:

Topicstarter

ik wil zorgen dat klanten mij eenvoudig kunnen vinden maar. Spam(Ro)Bots niet.
Zal dit stukje code effectief zijn in de praktijk ?

code:

<html>
 <script type="text/javascript">
 <!--
   email = ('DezeMailbox' + '@DitMaildomein')
   document.write('<A href="mailto:' + email + '">' + email +
   '</a>')
 -->
 </script>
 <notscript>Zet Javascript aan om het e-mailadres te lezen.</noscript>
</html>

Volgens een webdesign kennis van me, laten SpamBots javascript met rust.

Jullie ervaringen ??

bedankt,
arikkert

woensdag 14 februari 2007 18:48

Acties:

Justifier

Volgens mij kunnen ze dit wel gewoon lezen. Ze maken geen onderscheid tussen javascript en html volgens mij.

woensdag 14 februari 2007 19:15

Acties:

SchizoDuckie

Kwaak

je moet een spamspider eerder zien als een omgebouwde firefox met adblock tegenwoordig, een extensie dus die toegang tot de hele DOM heeft en alles ziet wat jij op het scherm ziet

Stop uploading passwords to Github!

woensdag 14 februari 2007 20:31

Acties:

André

Analytics dude

Ik doe het vaak zo:

HTML:

1	<a href="#" onmousedown="email(this, 'domein.nl', 'naam')">email</a>

JavaScript:

function email(element, domein, naam)
{
  element.href = "mailto:" + naam + "@" + domein;
  return true;
}

Dan wordt de DOM pas onmousedown veranderd. Werkt tot nu perfect, nog geen spam op gehad.

woensdag 14 februari 2007 21:36

Acties:

BalusC

Carpe diem

Wat ik vroeger ook veel had gezien is het toepassen van HTML entities. Geen idee of de spambots hier mee kunnen omgaan

HTML:

1	<a href="mailto:balusc@xs4all.nl">klik</a>

Moet je wel de goede character encoding aan hebben staan.

Lijst en converter van HTML entities:
http://www.webmaster-toolkit.com/html-entity-chart.shtml
http://www.fariel.com/Reference/HTML/Entities.php

woensdag 14 februari 2007 21:58

Acties:

crisp

Devver

Pixelated

BalusC schreef op woensdag 14 februari 2007 @ 21:36:
Wat ik vroeger ook veel had gezien is het toepassen van HTML entities. Geen idee of de spambots hier mee kunnen omgaan

Als ze een fatsoenlijke parser gebruiken wel...

Moet je wel de goede character encoding aan hebben staan.

Het is allemaal ASCII, dus character-encoding zou niet uit mogen maken

Intentionally left blank

woensdag 14 februari 2007 22:13

Acties:

Evos

Is er wel een goede mogelijkheid voor?
begrijp dat je uiteraard het beste zit met een image maar een klikbare link is voor de meeste niet zo gevorderde internet gebruiker wel een pré

woensdag 7 maart 2007 15:43

Acties:

arikkert

Topicstarter

André schreef op woensdag 14 februari 2007 @ 20:31:
Ik doe het vaak zo:
HTML:
1
<a href="#" onmousedown="email(this, 'domein.nl', 'naam')">email</a>
JavaScript:
1
2
3
4
5
function email(element, domein, naam)
{
  element.href = "mailto:" + naam + "@" + domein;
  return true;
}
Dan wordt de DOM pas onmousedown veranderd. Werkt tot nu perfect, nog geen spam op gehad.

bedankt allemaal,

heb deze gekozen.
die lijkt me lastigste voor een bot en schrikt mensen niet af.

woensdag 7 maart 2007 15:46

Acties:

AtleX

Tyrannosaurus Lex 🦖

BalusC schreef op woensdag 14 februari 2007 @ 21:36:
Wat ik vroeger ook veel had gezien is het toepassen van HTML entities. Geen idee of de spambots hier mee kunnen omgaan
HTML:
1
<a href="mailto:balusc@xs4all.nl">klik</a>
Moet je wel de goede character encoding aan hebben staan.

Lijst en converter van HTML entities:
http://www.webmaster-toolkit.com/html-entity-chart.shtml
http://www.fariel.com/Reference/HTML/Entities.php

http://atlex.nl/stuff/safemail/.

Maar die is inmiddels al hopeloos ingehaald door de voortschrijdende techniek van de spambotjes.

Sole survivor of the Chicxulub asteroid impact.

donderdag 8 maart 2007 15:02

Acties:

soulrider

André schreef op woensdag 14 februari 2007 @ 20:31:
Ik doe het vaak zo:
HTML:
1
<a href="#" onmousedown="email(this, 'domein.nl', 'naam')">email</a>
JavaScript:
1
2
3
4
5
function email(element, domein, naam)
{
  element.href = "mailto:" + naam + "@" + domein;
  return true;
}
Dan wordt de DOM pas onmousedown veranderd. Werkt tot nu perfect, nog geen spam op gehad.

heb je dacht ik wel een probleem voor de keyboard-navigators
(tab + enter) mits er dan een keypress en geen mousedown-event gegenereerd wordt.

maar da's mss net dat beetje gebruiksvriendelijkheid dat moet opge-offerd worden voor veiligheid

iets beter - gebruikersvriendelijker - is dan een onclick(...), die reageert op muisclick en click mbv een enter
(en geef de functie dan een iets meer niet voor de hand liggende naam bv stuurop(...) )

[ Voor 12% gewijzigd door soulrider op 08-03-2007 15:05 ]

dinsdag 14 augustus 2007 11:13

Acties:

BigDplayboy

Ik gebruik zelf een .txt document dat ik op de server heb staan:

code:

<font class="textFieldHeader">Bedrijfsnaam</font>
Adres
Postcode Woonplaats

<font class="textFieldHeader">Telephone</font>
nummer

<font class="textFieldHeader">Email</font>
me@domain1-domain2.com

<font class="textFieldHeader">Chamber of Commerce</font>
Regio: nummer

Het email-adres zichtbaar op de site wordt dan:
me@domain1-domain2.com

Deze .txt file laad ik in middels een php-scriptje dat de gehele tekst ook nog structureerd met <table><tr> en <td> tags... Is dit voldoende tegen een spam-bot?
Want eigenlijk wil ik gewoon ook de "mailto:" link in het text bestand opnemen (werkt verder prima, maar ik dacht ik vraag het eerst even). Of vinden ze het email-adres dan wel sneller?

Of nog beter, wat als ik die "function email(element, domein, naam)" gebruik die hierboven al genoemd wordt en die onclick=email(*,*,*) in het .txt bestand zet (inclusief unicode-codering)?

dinsdag 14 augustus 2007 11:30

Acties:

MueR

Admin Devschuur® & Discord

is niet lief

Zoals hierboven gemeld pakken spambots dit gewoon op hoor. PHP wordt serverside afgehandeld, dus die spambot ziet gewoon het mailto linkje in de DOM.

Anyone who gets in between me and my morning coffee should be insecure.

dinsdag 14 augustus 2007 12:00

Acties:

BigDplayboy

MueR schreef op dinsdag 14 augustus 2007 @ 11:30:
Zoals hierboven gemeld pakken spambots dit gewoon op hoor. PHP wordt serverside afgehandeld, dus die spambot ziet gewoon het mailto linkje in de DOM.

Geldt dit ook wanneer de betreffende .txt pas in wordt geladen na een onClick-event?
Want dan wordt het tijdstip van inladen van de txt file toch client-side bepaald?

dinsdag 14 augustus 2007 12:17

Acties:

Niemand_Anders

Dat was ik niet..

Geldt dit ook wanneer de betreffende .txt pas in wordt geladen na een onClick-event?
Want dan wordt het tijdstip van inladen van de txt file toch client-side bepaald?

Nee, dan niet. Je kunt inderdaad zodra op de link wordt geklikt dmv van xmlHttpRequest (aka ajax) het emailadres ophalen en vervolgens de bezoekers redirecten naar dat email adres.

Effectief krijg je dan een javascript call als

code:

1	location.href = "mailto:someone@earth.com";

Op dat moment zal de emailclient van de bezoeker opstarten zoals dat ook zou gebeuren als je een <a href="mailto:someone@earth.com"> op je website hebt. 'a href' en location.href triggeren dezelfde reactie bij de browser (volgens ECMA 262 specificatie)

Daarnaast worden spambots steeds beter en het zal niet lang duren of deze bots ook ajax calls kunnen herkennen. En zodra 1 bot je adres hebt opgepakt heb je verloren. Je kunt dus beter tijd en kennis steken in een goed spam filter. Immers zul je ook buiten je website om spam ontvangen.

Een andere oplossing is het gebruik van een email (contact) formulier en server-sided de email wordt verstuurd. Op die manier hoeft de bezoeker dus nooit dat adres te weten.

If it isn't broken, fix it until it is..

dinsdag 14 augustus 2007 13:15

Acties:

Verwijderd

Misschien een link in een Flash-documentje? Dat is voor SpamBots al moeilijker uit te lezen, omdat je niet met tab-enter erbij kan komen.

dinsdag 14 augustus 2007 14:22

Acties:

Boelie-Boelie

Verwijderd schreef op dinsdag 14 augustus 2007 @ 13:15:
Misschien een link in een Flash-documentje? Dat is voor SpamBots al moeilijker uit te lezen, omdat je niet met tab-enter erbij kan komen.

Bij het tegengaan van spam is het niet de bedoeling dat de toegankelijkheid in het gedrang komt en naast spambots ook mensen uitsluit die op een andere manier surfen (bijv. zonder Flash of zonder muis). Als er één ding toegankelijk behoort te zijn, dan is het denk ik wel de mogelijkheid om contact op te nemen...

Cogito ergo dubito

woensdag 15 augustus 2007 12:43

Acties:

Verwijderd

Een andere manier om de boel te faken is natuurlijk gewoon de boel anders neerzetten.

Voorbeeld:

HTML:

<script type="text/javascript">
    <!--
    function mail(href)
    {
        location.href = 'mailto:'+str_rot13(href);
    }

    function str_rot13(str)
    {
        var rot13 = '';
        for(var index = 0; index < str.length; index++)
        {
            var code = str.charCodeAt(index);
            if(code >= 97 && code <= 122) // Vooralsnog alleen kleine lettertjes...
            {
                code+=13;
                if(code > 122) code-=26;
                rot13+=String.fromCharCode(code);
            }
            else rot13+=str.charAt(index);
        }
        return rot13;
    }
    //-->
</script>
<a href="#" onclick="javascript:mail('grfg@ubgznvy.pbz');">mail me</a>

Is idd geen volledige rot13, was ook maar ff gauw om te testen en te laten zien. Weet ook niet of dit de weg is...

Kan me bijna niet voorstellen dat huidige spambots al code parsen en zulke dingen kunnen kraken (alhoewel rot13 natuurlijk vrij simpel is, maar je zou ook een andere encryptie kunnen gebruiken).

woensdag 15 augustus 2007 12:59

Acties:

netvor

Ikzelf gebruik voor de site van m'n band een decryptie methode, gestolen van http://www.jottings.com/obfuscator.htm

Ik pas het zodanig toe dat het ook voor mensen zonder JavaScript werkt. Ik heb in m'n html het volgende:

HTML:

1	<a id="briefje">mailbox <em>apestaartje</em> domein <em>punt</em> tld</a>

wat dus een HTML anchor is (geen link)

Vervolgens gebruik ik dus (een variant op) de decryptiemethode van Jottings, deze wordt bij het laden van de pagina uitgevoerd. Aan het eind van deze methode doe ik iets als:

JavaScript:

1 2	document.getElementById('briefje').innerHTML = foo.substr(7) document.getElementById('briefje').href = foo

waarbij de variabele foo dus de uiteindelijke mailto:mailbox@domein.tld string bevat.

Maar zoals als gezegd is, deze methode is volstrekt nutteloos als spambots javascript kunnen uitvoeren en de uiteindelijke DOM kunnen bekijken. Een methode als onClick is erg storend voor mensen die niet willen klikken maar alleen het adres willen bekijken. Een alternatief is onMouseOver, maar niet iedereen gebruikt een muis...

Computer Science: describing our world with boxes and arrows.

woensdag 15 augustus 2007 13:12

Acties:

frickY

Ook ik gebruik rot13 om de mailadressen onbruikbaar in de bron te zetten. Werkt tot nu toe prima.