AccessControl - Schutz von Foren und Websites

[DieterW]

OK - ich habe eine Trial-Version zum Download bereitgestellt.
Allerdings allein im Forum und auch dort nur für User die einwandfrei zu identifizieren sind.

Link zum entsprechenden Bereich des Forums: Klick

[e-fee]

Sehr hübsch:

Bin gerade mal auf den Link zum Forum gegangen - kann man so oder so sehen mit der Registrierung: Kontrolle behalten wollen über diejenigen, die den Zugang haben, oder angemeldete User generieren wollen.
Insofern hab ich dann auch einfach mal auf die Startseite des Forums geklickt, und was passiert? Ich als normale Userin mit normalem DSL-Zugang mit 'ner dynamischen IP, die von Vodafone kommt, kriege diesen netten Captcha-Bildschirm vorgesetzt und fühle mich schon gleich mal kriminalisiert. Gut, ich bin ich, aber was macht Lieschen Müller? Die kriegt doch 'nen Herzinfarkt!
So einen Bildschirm hatte ich zuletzt, wenn ich über den Proxy meines Ex-Arbeitgebers gesurft bin, über den tatsächlich auch mal diverse Crawling-Scripte gelaufen sein mögen, wenn ich eine mit Bot-Trap geschützte Seite aufrufen wollte.

Möchte ich persönlich meinen Usern nicht zumuten, also bleibt's beim Honeypot und gewissen aufgrund von Erfahrungswerten gesperrten IP-Adressbereichen.

[DieterW]

Gut, ich bin ich, aber was macht Lieschen Müller? Die kriegt doch 'nen Herzinfarkt!

Nun ja ...
allerdings haben Websites die von "Lieschen Müller" besucht werden, in der Regel kaum schutzwürdige Inhalte aufzuweisen.
Insofern dürfte dort also wenig Interesse an einer Zugangskontrolle bestehen.

Aber das Programm bietet dem Webmaster ja auch die Möglichkeit, IPs und IP-Ranges in die WhiteList einzutragen - damit wird das "Herzinfarktrisiko" dann deutlich reduziert

[DieterW]

Das ist das Unangenehme an den Usern dieses Forums ...
Kritik wird mal eben ganz schnell gepostet - eine qualifizierte Antwort auf die Kritik wird dann aber schlicht ignoriert.
Auf diese Art kann tatsächlich keine Diskussion zu Sachthemen entstehen; eigentlich sehr schade.

[DieterW]

AccessControl ist jetzt bei HotScripts gelistet.
https://www.hotscripts.com/listing/acce ... ol-141125/
Allerdings erfordert der Download immer noch eine Anmeldung im AccessControl-Forum und verifizierbare Angaben zum jeweiligen User.
Den Umweg über HotScripts kann man sich also ersparen und stattdessen direkt zum Forum gehen.

[DieterW]

AccessControl ist jetzt auch in einer PHP Kategorie bei HotScripts gelistet.
https://www.hotscripts.com/listing/acce ... ol-141540/
Also einfach mal ausprobieren - 30 Tage kostenfrei.

[DieterW]

Da hat sich so ein Script Kiddy ein kleines Bot-Programm geschrieben und kommt mit diversen Versionen des User Agent AppleWebKit daher.

Beispiel:
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.31 (KHTML, like Gecko) Chrome/26.0.1410.64 Safari/537.31

OK - der Bot verwendet Server aus:

Polen
Frankreich
USA
Ukraine
Schweden

und seine IPs sind (natürlich) nun den AccessControl BlackLists hinzugefügt worden.

Foren/Blogs/Shops die die Möglichkeit haben, UserAgents auszusperren, sollten diesen UA unbedingt blocken.

[DieterW]

Der Spammer der von der IP-Range
5.39.36.72 - 5.39.36.79
France Roubaix Ovh Systems (kimsufi.com)
reinkommt, ist besonders penetrant - versucht alles, kommt aber nicht durch.

[H G]

Der Spammer der von der IP-Range
5.39.36.72 - 5.39.36.79
France Roubaix Ovh Systems (kimsufi.com)
reinkommt, ist besonders penetrant - versucht alles, kommt aber nicht durch.

Wenn ich mir den Threat hier anschaue bist du der einzige Spammer.

[mtx93]

Das Problem sind nicht die Spamer, die killt man auch mit project honepot, anti forum spam & DNSBL. Mein System killt ca. 99% des Spams und mehr ist da nicht nötig.

Das Problem mit den eigenen Lösungen ist, das sie zu viele echte User killen.

Gerade die Otto Normaluser, die man haben will, fangen sich hier und da mal ein Virus.

Die IPs von denen landen dann in solchen Listen und Peng, hat man ganze Bereiche der normalen dynamischen IPs von Telekom & Co auf der Liste.

Die DNSBL von Project Honeypot & Torvalt ziehen ihre Ips aus einen großen Topf und können deswegen Algos drüber laufen lassen und sehen, ob die IPs wieder "rein" sind.

Wenn man ein gutes Forum/CMS hat, landen neue User eh in der Gruppe "neu angemeldet" und ihre ersten Posts in der Moderator Queue.

Jeder Spamer, der durch kommt, ist zwar etwas Arbeit.

Aber jeder falsche Spamer ist verlorenes Geld. Und das summiert sich schnell, insbesondere wenn der dann seinen Freunden erzählt, des es sich nicht lohnt.

Und man bekommt kein "You don't have permission to access /cgi-bin/bot-trap/YaBB.pl on this server."

[DieterW]

Die DNSBL von Project Honeypot & Torvalt ziehen ihre Ips aus einen großen Topf und können deswegen Algos drüber laufen lassen und sehen, ob die IPs wieder "rein" sind.

Vollkommen richtig ...
deshalb fragt AccessControl ja auch bei jedem Request eben diese Liste (und weitere) ab.

Und man bekommt kein "You don't have permission to access /cgi-bin/bot-trap/YaBB.pl on this server."

Hmmm ...
das BotTrap-Forum ist offen und nicht durch AccessControl geschützt.
Wenn Du da ein "You don't have permission to access " erhalten hast, dann hast Du versucht Dich unter einem Fake-Account anzumelden - sowas wird von mir per Hand geprüft.

[DieterW]

Der Spammer der von der IP-Range
5.39.36.72 - 5.39.36.79
France Roubaix Ovh Systems (kimsufi.com)
reinkommt, ist besonders penetrant - versucht alles, kommt aber nicht durch.

Wenn ich mir den Threat hier anschaue bist du der einzige Spammer.

Toller Kommentar - Danke für Deine überaus konstruktive Antwort.

[Thomas B.]

Hallo Dieter,

aus reiner Neugier habe ich mir mal dein Skript angesehen. (Die PHP Version)

Du möchtest ein Feedback, gut.
Ich finde du solltest dich noch einmal mit den grundlegenden Dingen dieser Skriptsprache auseinander setzen, vor allem Variablen und Kontrollstrukturen.
Zahlen in Strings zu konvertieren und dann zu vergleichen ist recht ineffektiv.

OOP wäre einen weitere Möglichkeit dein Skript zu verbessern. Du könntest die Skripte um ca. 70% reduzieren. Dadurch wird es für dich leichter es zu warten und die Performance würde sich auch erhöhen.

Für die Datenbank der IPs gibt es auch bessere Lösungen, immer wieder die Daten einzulesen und zu durchsuchen wird sich bei größeren Datenbeständen und Besucherzahlen schlecht auf die Performance auswirken. Lass die Daten doch direkt im Arbeitsspeicher?

Du könntest auch den Anwenden mehr Freiheit lassen, zB. bei der Gestaltungen der Templates.

Ich glaub das reicht erstmal.


Schöne Grüße und weiterhin viel Erfolg mit deinem Skript
Thomas

[DieterW]

Hallo Thomas,

danke für Dein Feedback
Verbesserungsvorschläge sind immer herzlich willkommen.

Zu den Themen:

Hallo Dieter,

aus reiner Neugier habe ich mir mal dein Skript angesehen. (Die PHP Version)

Das PHP Script ist Teil der Download-Datei - hast Du ja sicherlich bereits festgestellt.
Beim PHP Script handelt es sich um eine Adaption des Perl Scripts (das zuerst entstanden ist).
Ja - PHP ist nicht unbedingt meine Muttersprache
aber ich bin ziemlich sicher dass dieser PHP Code von besserer Qualität ist als das was vom PRES angeboten wird.

Ich finde du solltest dich noch einmal mit den grundlegenden Dingen dieser Skriptsprache auseinander setzen, vor allem Variablen und Kontrollstrukturen.

a) was meinst Du mit Variablen?
b) welche Kontrollstrukturen sind gemeint?

Zahlen in Strings zu konvertieren und dann zu vergleichen ist recht ineffektiv.

Wenn damit die Auswertung des Captchas gemeint ist, dann liegt dieser Performanceverlust im Millisekundenbereich und ist von daher kaum relevant.

OOP wäre einen weitere Möglichkeit dein Skript zu verbessern. Du könntest die Skripte um ca. 70% reduzieren. Dadurch wird es für dich leichter es zu warten und die Performance würde sich auch erhöhen.

OOP war bei der ersten Entwicklung des Perl Scripts tatsächlich eine Überlegung; e hat sich dann aber gezeigt dass das Laden der Objekte zu einem deutlichen Zeitverlust führt; daher habe ich auf OOP verzichtet.

Für die Datenbank der IPs gibt es auch bessere Lösungen

Ja - eine relationale Datenbank ...
allerdings führen die Zugrifffe auf die Datenbank zu erheblichen Verlusten bei der Performance.

immer wieder die Daten einzulesen und zu durchsuchen wird sich bei größeren Datenbeständen und Besucherzahlen schlecht auf die Performance auswirken.

Es werden nicht alle Datenbestände eingelesen/durchsucht.
Lediglich die auf den zu prüfenden Request bezogene Datei wird geladen und die enthaltenen Daten werden dem Programm als (zu durchsuchendes) Array übergeben - damit wird der Arbeitsspeicher des Servers nur minimal belastet.

Lass die Daten doch direkt im Arbeitsspeicher?

Kann nicht funktionieren - es wären (derzeit) ca. 145 Mio. Datensätze; das belastet den Arbeitsspeicher des Servers enorm.

Du könntest auch den Anwenden mehr Freiheit lassen, zB. bei der Gestaltungen der Templates.

Jeder Anwender hat die Möglichkeit, die in der Datei acOutput.php bzw. acOutput.pl als Block enthaltenen HTML Zeilen, seinen Wünschen entsprechend zu modifizieren.

Nochmals Dank für Dein Feedback!
Ich hoffe dass wir diese Codediskussion noch erweitert führen können.

Mit Gruß
Dieter

[nerd]

Ja - eine relationale Datenbank ...
allerdings führen die Zugrifffe auf die Datenbank zu erheblichen Verlusten bei der Performance.

Dann machst du was falsch. Ein table auf den ich laufend zugreife ist 130MB gross und hat ~700.000 eintraege, trotzdem kann ich jeden datensatz innerhalb von 0.01s finden... hier auf meinem betagten laptop... im energiesparmodus. Und die komplexitaet steigt mit der datenmenge logarhytmisch an; soll heissen bei 16.7 Millionen datensaetzen braucht man im unguenstigsten fall 24 lookups um einen bestimmten datensatz im index zu finden, mit 25 lookups kann man dann schon 33 millionen datensaetze durchsuchen usw.