[ASP] Gastenboek beschermen tegen spam

in de asp die de berichten verwerkt ook checken of er wel ingelogd is, anders kan inderdaad rechtsstreeks daarheen gepost worden

wellicht dat ie 1 keer inlogt met die gegevens en dan ingelogd blijft staan ofzo?

overigens zie ik in je startpagina ook dit linksonderin:

on (release) { getURL ("mailto:het@emailadres.nl"); } lijkt me ook niet de bedoeling?

Zoek op capcha

Bij de bericht submit zo'n gegenereerde image met een code laten intypen voordat er gesubmit kan worden. Er zijn momenteel nog weinig bots die daar doorheen kunnen komen.

voorbeeld:


Edit:
Dat heet dus Captcha

[ Voor 6% gewijzigd door Zerora op 14-06-2007 11:31 ]

Serverside afhandeling: Programming

Daarnaast is hier best al veel over te vinden. Kon je echt niets vinden?

Die spam berichten worden niet gedaan door letterlijk berichten in te tikken in het gastenboek. Wat ze doen is ze sturen een POST request naar (in jou geval gastenboek.asp) met daarin alle info die jij wilt hebben (naam, e-mail, bericht enz). Je moet dus bij het ontvangen van een POST request eerst kijken of diegene ook heeft ingelogd.

Het is gebruiksvriendelijker om gebruik te maken van een Captcha systeem. Ik klikte net op gastenboek en toen zag ik gebruikersnaam en wachtwoord staan. Dus ik zoeken naar een manier hoe je je kunt registreren tot ik later de tekst iets beter las.

Kijk eens in dit of dit topic. Daar staan wat tips en ik dacht ook wat redenen waarom Captcha een paardenmiddel is.

[ Voor 19% gewijzigd door TeeDee op 14-06-2007 11:42 ]

ik heb geen captcha... maar sinds mijn gastenboek pagina niet meer gastenboek.php heet, maar notitie.php en er geen url's mogen voorkomen in het bericht (althans, dan wordt hij wel aan de db toegevoegd, maar niet weergegeven, zodat ik hem zelf kan aanzetten) heb ik geen spam meer gehad... wat op zich wel verrassend is, maar gelukkig al ruim een half jaar werkt....
het is niet ideaal, maar voorlopig werkt het nog bij mij...

Kijk of je akismet kunt implementeren.

CyBeR schreef op donderdag 14 juni 2007 @ 11:49:
Kijk of je akismet kunt implementeren.

Ik vind askimet ook niet alles. Als ik namelijk ergens op een normale homepage/blog een comment wil plaatsen onder mijn eigen naam, emailadres en blog, dan markeert askimet dit als spam. Waarschijnlijk heeft iemand mijn naam als spam gemarkeerd. Mooi kloten!

Ik heb de jongens van Askimet al gemaild of ze mijn gegevnes uit de blacklist willen halen, maar ik krjig geen reply. Iemand een tip?

Verwijderd schreef op donderdag 14 juni 2007 @ 12:07:
[...]


Leuk, zo'n "free" service......heb je het geimplementeerd en dan krijg je enige tijd later de mededeling dat de service vanaf nu betaald dient te worden, anders kunnen ze de service niet meer onderhouden......kan je weer opnieuw beginnen.

Pessimistisch bedacht, maar dat zal niet gebeuren. Akismet verkoopt commerciele keys waarmee 't gebeuren onderhouden wordt.

Maar bedankt voor de tip, ik ga liever voor zoiets als captcha.......ik zag iets op http://www.joriso.nl/verh...evelopment-captcha-2.html dat ik misschien ga implementeren.

Grote verschil tussen akismet en captcha is dat akismet je gebruikers niet lastig valt. Gebruikers hebben namelijk een grafhekel aan captchas.

Een vriend van mij heeft trouwens zijn gastenboek beveiligd dmv een simpel sommetje. Hij neemt 2 willekeurige getallen onder de 5 en dan maakt hij het sommetje getal1 * getal2. Mensen moeten het antwoord in een textbox tikken. Naderhand wordt gekeken of het antwoord klopt. Simpeler te implementeren dan letters met ruis in een plaatje.

Verwijderd schreef op donderdag 14 juni 2007 @ 12:17:
Een vriend van mij heeft trouwens zijn gastenboek beveiligd dmv een simpel sommetje. Hij neemt 2 willekeurige getallen onder de 5 en dan maakt hij het sommetje getal1 * getal2. Mensen moeten het antwoord in een textbox tikken. Naderhand wordt gekeken of het antwoord klopt. Simpeler te implementeren dan letters met ruis in een plaatje.

Maar hoe kun je naderhand controleren of het klopt? De waarde van het antwoord wordt dus meegegeven in een hidden-field ofzo? Zijn die botjes van tegenwoordig niet zo slim dat ze de hidden-fields controleren?

smeerbartje schreef op donderdag 14 juni 2007 @ 12:21:
[...]

Maar hoe kun je naderhand controleren of het klopt? De waarde van het antwoord wordt dus meegegeven in een hidden-field ofzo? Zijn die botjes van tegenwoordig niet zo slim dat ze de hidden-fields controleren?

Stop de uitkomst in een sessie en in een controle pagina kijk je of de velden opgeteld de waarde in de sessie zijn?

wat ik zelf wel een fijn werkende oplossing vind is het "versleutelen" van de veldnamen. Je geeft in een hidden field een string mee en daar kan je mee kan je uitzoeken wat de veldnamen zijn. Om van de spammers af te zijn moet je dan natuurlijk ook een timestamp element meegeven. Wordt volgens mij ook gebruikt op Travian inlogpagina.

smeerbartje schreef op donderdag 14 juni 2007 @ 12:21:
[...]

Maar hoe kun je naderhand controleren of het klopt? De waarde van het antwoord wordt dus meegegeven in een hidden-field ofzo? Zijn die botjes van tegenwoordig niet zo slim dat ze de hidden-fields controleren?

Met een hidden field inderdaad. Nee blijkbaar zijn ze daar niet slim genoeg voor. Ze zullen ze vast wel opmerken maar dat ze die twee waardes moeten vermenigvuldigen dat snappen die bots niet. Hij draait nu al 2 jaar een spam vrij gastenboek.

Je kan ook de variabelen vervangen die je meegeeft Dus niet de standaard benamingen. Of je voegt een hidden field toe die je vervolgens in asp afvangt.

if ( len(request("anti-bot") < 1 ) then response.end

Bv

Verwijderd schreef op vrijdag 15 juni 2007 @ 20:22:
[...]


Sorry, dit begrijp ik als PHP noob niet.....ik wil dus als je de code goed intikt i.p.v. de message "goedzo - u bent geen robot" dat je naar de pagina bevestiging.asp gaat, en als je de code fout intikt niet de message "foei robot, foei foei foei!" krijgt maar dat je naar de pagina fout.asp gaat.

Mmm, in de TS titel staat ASP. Dus nam aan dat je ASP gebruikte. Maar wat ik bedoelde te zeggen is dat je gastenboek waarschijnlijk gespamt wordt door een bot. Deze bot gaat uit van 'bepaalde' waardes. Zoals <input type="text" name="email"> bijvoorbeeld. Wanneer je dan het veld niet 'email' zou noemen, maar s_email (om maar even iets te zeggen), dan gaat die bot niet meer werken.

Of je geeft in de code <input type="hidden" name="anti_bot" value="no_bot"> mee, en kijkt in de submit pagina of deze string er is. Wanneer je gespamt wordt door een bot, zal die waarde niet bestaan en zal die spambot niet meer slagen in het spammen.

Zo, hoop dat het nu duidelijk is. Zelf vind ik die captcha minder gebruikersvriendelijk dat bovenstaande methode.

kun je niet een soort captcha maken met bijvoorbeeld 4 simple plaatje's en welke hoort hier niet in thuis.

dus de bezoeker vult eerst het formulier in en komt dan op de captcha pagina waar bijvoorbeeld 4 simple kleine plaatjes worden gezien. bijvoorbeeld een auto, een trein, een vliegtuig en een haarborstel. als de gebruiker dan op de haarborstel klikt wordt de pagina verzonden, zoniet dan wordt gebruiker terug gestuurd, via een location header natuurlijk.

wat ik vooral een gebrek aan captha's vindt is dat je je muis moet loslaten om iets in te vullen. nu zou dat gewoon 'submit' en dan 'haarborstel' worden. 2 op een volgende clicks is veel makkelijker en waarschijnlijk nog veel sterker ook. want een bot zou de code wel uit een plaatje kunnen hallen door goei OCR+ruis filters maar zelfs als een bot exact weet wat er op het plaatje staat zou hij de puzel nog niet kunnen oplossen. daarnaast zou je de plaatjes ook in stijl van je website kunnen maken.

dus makkelijker voor de gebruiker en zogoed als onmogelijk voor een bot. hele wetenschapsteams zijn bezig om zo'n puzel op te lossen en tot nu toe is er nog niet 1 robot die zo'n puzel heeft opgelost.

in PHP zou je dit goed kunnen doen.

het formulier stuurt de gegevens door naar de captcha pagina waar de waardes ondertussen in de sessie worden bewaard. de captcha pagina kijkt in een database van puzeltjes en kiest er willekeurig eentje uit. en set de 4 plaatjes in een willekeurige volgorde klaar in de sessie.

vevolgens maak je een soort van captcha_image.php welke dus de plaatjes verstuurt middel's een img-tag in de vorm van: <img src="captcha_image.php?image=1">. omdat de plaatjes zijn verwisseld en er telkens een andere set wordt gekozen is plaatje 1 dus altijd een ander plaajte. zelfde geld ook voor de andere 3 plaatjes of hoeveel je er maar wil gebruiken.

vervolgens zet je om elk plaatje een href-link in de vorm van: <a href="captcha.php?choise=1"> waarna de captcha.php de gekozen plaatje gecontroleerd met de oplossing. als de gebruiker het juiste plaatje koos, worden de formulier waarden opgeslagen en wordt de gebruiker middel's een header 301 oftewel de location-header omgeleid naar een success pagina. als de gebruiker het verkeerde plaatje koos of het opslaan mislukte wordt de gebruiker omgeleid naar een error pagina.

als je dit een beetje goed opzet hoeft captcha.php en captcha_image.php niet eens formulier specefiek te zijn en zou je elke formulier wat een captcha nodig heeft hiernaar kunnen omleiden.

ik lijkt mij een veel gebruiks vriendelijke en tevens sterkere oplossinging voor bots of any kind.

1 topic ervoor is wel genoeg. Ook deze gaat dicht vanwege dezelfd reden. De directe vraag van Andre kwam zelfs geen antwoord op.

Dat je "n00b" bent (volgens je eigen woorden) is niet erg. Dat je direct om kant en klare oplossingen lijkt te vragen en zelf geen moeite lijkt te doen om je eigen vragen te beantwoorden wel.

[ Voor 43% gewijzigd door Creepy op 15-06-2007 21:23 ]