[CSS + PHP] Oplossing voor spam bij formulieren

isomis schreef op dinsdag 31 juli 2007 @ 16:39:
Ik zelf denk van wel aangezien het een oplossing is waarmee scripts echt niks kunnen.

1
2
3
4

function spamForm($form) {
   return "<script>document.write(rot13('" . rot13($form) . "'));</script>";
}
echo spamForm("<form action=..");

1

<script>document.write(rot13('<sbez npgvba=..."));</script>

[ Voor 13% gewijzigd door frickY op 31-07-2007 16:57 ]

[ Voor 55% gewijzigd door Verwijderd op 31-07-2007 17:00 ]

Verwijderd schreef op dinsdag 31 juli 2007 @ 16:58:
Ik gebruik meestal captcha en dat werkt ook wel goed..

[ Voor 22% gewijzigd door Verwijderd op 01-08-2007 16:46 ]

mr_taipan schreef op woensdag 01 augustus 2007 @ 16:52:
Ik vind het wel een elegante oplossing. Beter dan een capcha omdat die som ook lastig te lezen is.

Alex) schreef op donderdag 02 augustus 2007 @ 00:43:
Een klein rekensommetje kan ook wel helpen

[ Voor 10% gewijzigd door kokx op 02-08-2007 09:39 ]

[ Voor 42% gewijzigd door kokx op 02-08-2007 10:00 ]

pietje63 schreef op donderdag 02 augustus 2007 @ 09:50:
kokx, moet ik dan denken aan een 'klik hier niet' link? Ik ga de uitdaging vaak aan .

Mei schreef op donderdag 02 augustus 2007 @ 09:52:
Paar puntjes van mijn kant:
- Javascript is uit den boze
- Bots 'detecteren' werkt ook niet optimaal. Wat als ik jouw broncode bestudeer en vervolgens geblocked wordt, omdat ik me afvraag wat er op die pagina staat?
- Captcha's zijn goed, mits ze leesbaar zijn. Nu zijn bots zo ver dat ook zij de leesbare captcha's kunnen lezen. Gevolg: soms onleesbare captcha's.
- Rekensommetjes: Één van mijn favorieten. heel erg simpel, maar toch doeltreffend. Is hetzelfde als de naam van de eigenaar van de site (bij blogs vooral populair) of de naam van de site zelf in moeten voeren. Je zou zelfs nog een 'captcha' kunnen maken door gewoon een stukje tekst ervoor te zetten en dat overgetypt moet worden (welke bot verwacht dat? Er staat zoveel tekst in een formulier).

Je moet dus oppassen dat je je bezoekers niet lastig valt met anti-spammaatregelen. Javascript werkt niet altijd en als CSS noodzakelijk is ("Typ alle rode letters uit dit woord over" bijvoorbeeld), dan sluit je ook een deel van je bezoekers buiten.

En dan heb je nog de spammers die zich handmatig ergens registreren. Het schiet niet op he

[ Voor 9% gewijzigd door Verwijderd op 02-08-2007 10:09 ]

[ Voor 60% gewijzigd door Grijze Vos op 02-08-2007 12:16 ]

Grijze Vos schreef op donderdag 02 augustus 2007 @ 12:11:
Een maat van me heeft op een nederlandstalig gastenboek iets als "twee plus drie is?", en dat schijnt heel goed te werken.

_Apache_ schreef op donderdag 02 augustus 2007 @ 12:15:
[...]


Is dat een statische vraag ( lees, hardcoded ) of word er telkens een verschillende vraag + antwoord uit een db getrokken?

Grijze Vos schreef op donderdag 02 augustus 2007 @ 12:16:
[...]

Die was gewoon statisch, en het hielp enorm zei hij.

[ Voor 8% gewijzigd door Verwijderd op 02-08-2007 13:12 ]

[ Voor 20% gewijzigd door plakbandrol op 02-08-2007 23:35 ]

pietje63 schreef op vrijdag 03 augustus 2007 @ 10:10:
Weet iemand trouwes hoe het zit met flash formulieren, zijn daar ook spam problemen?

Verwijderd schreef op maandag 13 augustus 2007 @ 14:50:
Javascript oplossingen zijn niet handig om te gebruiken.

Ze zijn wel gemakkelijk te implementeren en werken vrijwel altijd wel, totdat een grappenmaker z'n botje even omschrijft om te werken als plugin voor Firefox bijvoorbeeld. Op dat moment vallen een hoop javascript oplossingen door de mand omdat ze vaak alleen maar werken doordat ze er vanuit gaan dat een botje geen javascript aankan.

'Gelukkig' zijn er nog veel mensen die hun forms zonder bescherming online gooien waardoor het gros van de botjes nog geen javascript aankan. Maar let wel, zodra een meerderheid van de forms de javascript beveiliging gaat gebruiken zullen de spammers hun bots uitrusten met javascript (iets wat tegenwoordig met alle open source browsers helemaal niet meer zo moeilijk is).

Er zijn maar een paar grote spelers die 90% van de aanvallen uitvoeren, zeg dat het er 5 zijn. Dan hoeven dus maar 5 proggers hun botje aan te passen om miljoenen formulieren kwetsbaar te maken.

Een echte schijnveiligheid dus.

Oplossingen gebaseerd op javascript die niet werken op het principe dat de bot geen javascript zou kunnen blijven natuurlijk wel werken en zijn dus de betere oplossingen (hoewel ook die vaak vrij gemakkelijk te omzeilen zijn als de bot eenmaal javascript kan, maar als het een minderheid blijft richten de botmakers zich daar niet op).

De CSS oplossing is erg netjes, maar wederom, zodra het een grotere groep of een meerderheid wordt zullen de botmakers zich erop richten en dan is het natuurlijk in no-time om zeep.

Verwijderd schreef op maandag 13 augustus 2007 @ 14:50:
Javascript oplossingen zijn niet handig om te gebruiken.

Ze zijn wel gemakkelijk te implementeren en werken vrijwel altijd wel, totdat een grappenmaker z'n botje even omschrijft om te werken als plugin voor Firefox bijvoorbeeld. Op dat moment vallen een hoop javascript oplossingen door de mand omdat ze vaak alleen maar werken doordat ze er vanuit gaan dat een botje geen javascript aankan.

'Gelukkig' zijn er nog veel mensen die hun forms zonder bescherming online gooien waardoor het gros van de botjes nog geen javascript aankan. Maar let wel, zodra een meerderheid van de forms de javascript beveiliging gaat gebruiken zullen de spammers hun bots uitrusten met javascript (iets wat tegenwoordig met alle open source browsers helemaal niet meer zo moeilijk is).

Er zijn maar een paar grote spelers die 90% van de aanvallen uitvoeren, zeg dat het er 5 zijn. Dan hoeven dus maar 5 proggers hun botje aan te passen om miljoenen formulieren kwetsbaar te maken.

Een echte schijnveiligheid dus.

Oplossingen gebaseerd op javascript die niet werken op het principe dat de bot geen javascript zou kunnen blijven natuurlijk wel werken en zijn dus de betere oplossingen (hoewel ook die vaak vrij gemakkelijk te omzeilen zijn als de bot eenmaal javascript kan, maar als het een minderheid blijft richten de botmakers zich daar niet op).

De CSS oplossing is erg netjes, maar wederom, zodra het een grotere groep of een meerderheid wordt zullen de botmakers zich erop richten en dan is het natuurlijk in no-time om zeep.

[ Voor 33% gewijzigd door soulrider op 16-08-2007 15:30 ]

soulrider schreef op donderdag 16 augustus 2007 @ 15:19:
wat ik recent merk bij sommige prof.-site's is een bevestigingsmail naar het opgegeven mail-adres in het contact-formulier waarin een link zit met de tekst:
"we doen pas iets met je ingevulde info nadat je op volgende link hebt geklikt"
(en niet echt gebruikers vriendelijk maar zo weet je als gebruiker dat je geen fake-adressen moet gaan invullen en als beheerder weet je ook dat het mail-adres echt tot die ene hoort)

oke, het is nog steeds afhandelbaar door een spambot, maar dan moet ie een werkend mail-adres gebruiken, en die mailbox telkens gaan controleren bij elke spam-actie. iets wat al sneller gaat opvallen bij botnets, en al wat lastiger is bij "eigen form-spam-servers"

voor shoutbox'en en andere forms is dit dan weer geen oplossing
(een band die ik ken toont een foto van 1 van haar leden en vraagt de voornaam van die persoon. namen zijn vindbaar op de site, alsook andere foto's van de personen - nooit diegene die gebruikt worden ter beveiliging. echte fans kennen de leden wel bij voornaam )

Ramon schreef op dinsdag 14 augustus 2007 @ 11:45:
[...]

Zo kan je alle oplossingen wel meteen weggooien. Captcha's werken ook TOTDAT er bots kwamen die ze konden omzeilen.

Ik zie wel een goede oplossing in het met javascript vervangen van de action van het form plus, de css-truuk van de topicstarter en dan ook nog een moderatie-queue. Dat moet samen toch wel voldoende zijn gok ik.

En wanneer is veiligheid géén schijnveiligheid?

[ Voor 4% gewijzigd door Verwijderd op 16-08-2007 15:36 ]

imp4ct schreef op donderdag 16 augustus 2007 @ 15:34:
[...]


Hmm, dit gaat meestal toch om registraties niet om comments en replys. Bij een registratie, vind ik het persoonlijk niet storend wanneer je een verificatie code moet ingeven vooralleer de account wordt geactiveerd.

Het nadeel aan het sturen van e-mails voor de activatie van je account is bv. dat de mails niet aankomen omdat ze door je spam-bot worden tegengehouden ofzo. Persoonlijk vind ik het enorm moeilijk om de juist headers enzo mee te geven zodat spam-bots eens leren goed te filteren tussen serieuze mails en spam-mails.

[ Voor 18% gewijzigd door soulrider op 16-08-2007 18:14 ]

Verwijderd schreef op donderdag 16 augustus 2007 @ 15:35:
[...]

Nee, je moet wel goed lezen wat ik zeg.

Ik gooi niet alle oplossingen weg, ik geef alleen aan dat er eigenlijk geen houden aan is. Het is dan dus dom oplossingen te gaan implementeren waar normale gebruikers last van hebben omdat het uiteindelijke doel toch niet behaald wordt.

Captcha's zijn per definitie een slechte oplossing, de patroonherkenning van computers tegenwoordig is over het algemeen beter als de gemiddelde gebruiker, als de gemiddelde gebruiker de captcha eenvoudig kan lezen dan zal een bot dit zeker ook kunnen. Je ziet nu ook vaak captcha's die voor de mens niet eens fatsoenlijk te lezen zijn.

Captcha's hebben nooit gewerkt, de enige reden waarom ze in de praktijk iets afdeden is omdat niemand de moeite had genomen om er een bot voor te schrijven die het tegen ging.

Even een vergelijking:

In plaats van dat ik mijn deur op slot doe haal ik gewoon de klink eruit en neem ik die mee. Niemand kan inbreken, ik heb immers de klink. Werkt prima, totdat iemand anders met een klink aan komt lopen en de deur open doet.

Het weghalen van de klink is net als de captcha natuurlijk geen oplossing al werkt het in de praktijk wel voor een korte tijd.


[...]

Zorgt dan voor een javascript oplossing die niet werkt op het principe dat de bot geen javascript kan, een bot met javascript schrijven is kinderlijk eenvoudig. Wederom is dat dus weer geen oplossing.

De CSS truuk is een goeie, het is niet echt eenvoudig om daar omheen te kunnen wegens de vele verschillende manieren waarop het geimplementeerd kan worden. Echter wanneer genoeg mensen dit doen zal de botschrijver hiet in no time een oplossing voor verzinnen. Ik denk dat ik in 2 dagen met gemak een bot kan schrijven die de verborgen velden als zodanig detecteert en met rust laat.

Moderatiequeue is een goede oplossing, daar valt niet echt omheen te komen, maar heeft een aantal nadelen:

- Vertraging voordat het op de site komt (voor een interactief iets als een forum dus onbruikbaar)
- Menselijke handelingen nodig (dat beinvloed de schaalbaarheid)


[...]

Wanneer het ofwel theoretisch ofwel praktisch onmogelijk is (voor zo ver het mogelijk is dat te bepalen) de beveiliging te kraken.

Zo zijn veel soorten encryptie gebruikt in computers niet veilig, in theorie is het eenvoudig te kraken mits je genoeg tijd hebt. Echter door de tijdspanne te beperken wordt het praktisch onmogelijk om het op tijd te kraken en kun je dus spreken van veiligheid.

[ Voor 14% gewijzigd door Verwijderd op 17-08-2007 00:02 ]

_eXistenZ_ schreef op vrijdag 17 augustus 2007 @ 00:49:
Ik bedacht deze:

Laat een plaatje tekenen, met een stuk of 6 getallen, en een pijl op een random locatie. De pijl wijst 1 van die zes getallen aan, deze moet je overtikken. Lijkt me nog verrekt lastig om als bot te interpoleren waar die pijl precies heen wijst.

[ Voor 5% gewijzigd door Verwijderd op 17-08-2007 00:56 ]

1
2
3
4
5
6
7

Naam: <input style="input1" name="#92623" />
Email: <input style="input2" name="#11117" />
Naam: <input style="input2" name="#12345" />
Code: <input style="input2" name="#666442" />
Email: <input style="input1" name="#92827" />
Code: <input style="input1" name="#29272" />
Email: <input style="input2" name="#42623" />

[ Voor 3% gewijzigd door _eXistenZ_ op 19-08-2007 22:49 ]

kokx schreef op donderdag 02 augustus 2007 @ 10:14:
Javascript heeft niet iedereen aan staan, dus dat is gewoon echt niet handig om te gebruiken. En die 2 procent die het niet aan heeft staan, doet het mischien wel om een reden.

Dutchmega schreef op zondag 26 augustus 2007 @ 15:28:
In mijn ogen gelijk bannen is wat extreem

mithras schreef op zaterdag 25 augustus 2007 @ 18:57:
Ik heb hier een input tekstveld toegevoegd, klasse-naam "reaction-prevention" gegeven (niet te doorzichtig dus lijkt me) en deze verborgen (display: none). Als deze is ingevuld wordt een spam-melding gegeven en de reactie niet gepost. Toch komen er reacties binnen als spam!

Verwijderd schreef op donderdag 30 augustus 2007 @ 14:40:
Ik kwam hier geheel toevallig terecht, was ook naar iets compleet anders op zoek. Ik heb hier niet veel verstand van want ik onderhou zelf geen sites of forums of dergelijken op het moment.

Doch, is het geen idee om een aantal verborgen velden aan te maken zoals eerder genoemd die de gebruiker niet moet invullen, MAAR; deze niet te verbergen met visibility: hidden of display:none maar door deze lager in het formulier te zetten (bijvoorbeeld, het formulier staat in een divje van 300px hoog, je zet de verborgen velden op 350px) . Vervolgens zet je de overflow op hidden en de gebruiker ziet de velden niet staan.

Een bot die geprogammeerd is om veldjes te vinden die met CSS onzichtbaar zijn gemaakt, komt deze niet tegen. De bot ziet alle velden op de pagina gewoon staan, vult ze in en komt in het vangnet terecht.

Blaise schreef op donderdag 01 mei 2008 @ 16:40:
Bovenstaande werkt; heb iets soortgelijks op mijn website en heb geen last van robotspam. Echter, als je website populairder wordt en je massa's bezoekers krijgt, wordt het rendabel (en is het erg makkelijk) om deze beveiliging te kraken.

Makkelijker is overigens om dit te doen zodat je je form flexibel houdt:

Cascading Stylesheet:

1 2 3 4

input.honeypot { position: absolute; left: -999px }

[ Voor 32% gewijzigd door Voutloos op 02-05-2008 11:28 ]