AccessControl - Schutz von Foren und Websites

[Thomas B.]

Neue Funktion hinzugefügt

Neben dem bisherigen Schutz von Perl und PHP Scripts sowie von PHP-Webseiten, bietet AccessControl nun auch den Schutz von Seiten die in reinem HTML geschrieben sind.

Warum sollte ich statische Seiten vor Spambots schützen? Und was macht man wenn die Seiten keine Extensions haben, wohin sich der Trend zur Zeit entwickelt?

[[btk]tobi]

Ich war gerade mit meinem normalen 1&1 DSL und Chrome unter Debian auf deiner Seite weil ich mir das Script anschauen wollte und wurde gleich mit einem Captcha begrüßt. Irgendwas scheint da also kaputt zu sein.

Hast du mal drüber nachgedacht deine Formulare selber zu schützen (CSS, JS, hidden Felder,...)? Das ist deutlich effektiver und du sperrst keine echten Benutzer aus wenn es gut gemacht wird. So ist das auf jeden Fall nichts, lieber hab ich ein paar Bots auf meiner Seite wie das ich Kunden aussperre.

[DieterW]

Ich war gerade mit meinem normalen 1&1 DSL und Chrome unter Debian auf deiner Seite weil ich mir das Script anschauen wollte und wurde gleich mit einem Captcha begrüßt. Irgendwas scheint da also kaputt zu sein.

Nein, da ist nichts 'kaputt'.
Die von Dir verwendete IP ist in mehreren RBLs gelistet.
Hättest ja das Captcha einfach lösen können.

Hast du mal drüber nachgedacht deine Formulare selber zu schützen

Ja - und dann habe ich den Code für AccerssControl geschrieben.

Das ist deutlich effektiver und du sperrst keine echten Benutzer aus wenn es gut gemacht wird. So ist das auf jeden Fall nichts, lieber hab ich ein paar Bots auf meiner Seite wie das ich Kunden aussperre.

Niemand wird ausgesperrt - lediglich ein Catcha wird präsentiert.

[DieterW]

Warum sollte ich statische Seiten vor Spambots schützen?

Ich bin mehr als sicher dass ich im Zusammenhang mit statischen Seiten zu keinem Zeitpunkt Spambots erwähnt habe.

Und was macht man wenn die Seiten keine Extensions haben, wohin sich der Trend zur Zeit entwickelt?

Darüber mach Dir mal keine Gedanken ...
warum solltest Du statische Seiten vor Spambots schützen wollen? *grins*

[DieterW]

"Schutz gegen Angreifer" - also wenn irgendwer genau deine seite angreifen oder lahmlegen will, dann schafft er das auch. Dein script wird auch keine webseite gegen eine DDOS attacke schuetzen

Oh doch - es schützt gegen solche Attacken

[Boa]

Na dann hoffe ich mal, das sich die Mitbewerber das script einbauen
Besser als mit solchen Aktionen kann man Besucher ja nicht vergraulen.

[DieterW]

Na dann hoffe ich mal, das sich die Mitbewerber das script einbauen
Besser als mit solchen Aktionen kann man Besucher ja nicht vergraulen.

Einige bessere Methoden zum Vergraulen von Besuchern gibt es tatsächlich ...

- Spameinträge in Foren
- Spameinträge in Blogs
- Spameinträge in Gästebüchern
- Fake User im Bestand
- inkonsistente Datenbanken wegen erfolgter SQL-Injections
- nicht erreichbare Domains wegen diverser DDoS Angriffe
- nicht erreichbare Dömains wegen BruteForce Angriffen auf Passwörter

[[btk]tobi]

Nein, da ist nichts 'kaputt'.
Die von Dir verwendete IP ist in mehreren RBLs gelistet.
Hättest ja das Captcha einfach lösen können.

Aha wenn ein normaler User als Spammer erkannt wird ist das nicht kaputt? Mir als User ist es doch egal wo meine IP gelistet ist. Wenn ich eine Internetseite aufrufe und dort mit einem Captcha begrüßt werde gehe ich eben wieder und klick das nächste Suchergebnis an.

Aus Programmier Sicht macht das ja alles Sinn, aber aus User Sicht eben nicht, bzw. es ist zu fehleranfällig und verscheucht nur User. Würde ich jetzt mit einem Botnet kommen würde ich dem eben beibringen deine Sperrseite zu erkennen und mit einer anderen IP nochmal kommen.

Gruß Tobi

[nerd]

"Schutz gegen Angreifer" - also wenn irgendwer genau deine seite angreifen oder lahmlegen will, dann schafft er das auch. Dein script wird auch keine webseite gegen eine DDOS attacke schuetzen

Oh doch - es schützt gegen solche Attacken

Achso? Und ich dachte immer DDOS attacken mit ein paar tausend requests pro sekunde(!) werden abgewert indem man die packets schon am router verwirft bevor sie ueberhaupt zum webserver gelangen. Offenbar ist dein script da deutlich perforanter als ein hochleistungsrouter mit mehreren Tbps...?!

Mir gefaellt auch wie du meine restlichen kritikpunkte komplett ignoriert hast.

Ich wuensche dir trotzdem noch viel erfolg mit deiner loesung. Ich bin sicher das feedback von anderen webmastern und seitenbetreibern hier in diesem thema kann man auch komplett ignorieren; mit den gefuehlten ~90% false-positives muss der kunde halt leben.

[DieterW]

Mir gefaellt auch wie du meine restlichen kritikpunkte komplett ignoriert hast.

Wenn jemand meint, er könne im Rahmen eines Requests seine IP nach belieben ändern, dann ist er für mich kein ernstzunehmender Gesprächspartner und damit erübrigt sich dann auch eine Antwort auf seine Beiträge. Plonk!

<°)((((((O><

[DieterW]

Nein, da ist nichts 'kaputt'.
Die von Dir verwendete IP ist in mehreren RBLs gelistet.
Hättest ja das Captcha einfach lösen können.

Aha wenn ein normaler User als Spammer erkannt wird ist das nicht kaputt?

Nicht der 'normale' User wird als Spammer erkannt sondern (in Deinem Fall) wird erkannt dass die IP bereits von einem Spammer (oder Angreifer oder Bot) verwendet wurde.
Also wird das Captcha eingeblendet und der 'normale' User löst das Captcha und hat Zugriff auf den von ihm gewünschten Inhalt.
Hast Du im Rahmen einer Registrierung (z.B. auch bei diesem Forum) noch nie ein Captcha lösen müssen?

Mir als User ist es doch egal wo meine IP gelistet ist.

Tja - wenn Dein ISP es zuläßt dass aus seinem IP-Bereich böse Buben agieren, dann tauchen die von den bösen Buben verwendeten IPs in den RBLs des Internet auf und Du wirst als Verwender solcher IPs mit den Folgen konfrontiert.
Das sollte Dir eigentlich nicht 'egal' sein.

Wenn ich eine Internetseite aufrufe und dort mit einem Captcha begrüßt werde gehe ich eben wieder und klick das nächste Suchergebnis an.

Du bist auf meiner Domain nicht mit einem Captcha begrüßt worden.
- Du hast die Seite mit der AcceccControl Produktbeschreibung lesen können.
- Du hast die Startseite des Registrierungsscripts lesen können
- Du hast den Link zur Registrierung klicken können
Erst dann wurde Dir die Captcha Seite vorgelegt (eben weil Deine IP gelistet ist).

Würde ich jetzt mit einem Botnet kommen würde ich dem eben beibringen deine Sperrseite zu erkennen und mit einer anderen IP nochmal kommen.

Versuche dieser Art werden täglich mehrfach unternommen - allerdings erfolglos.

Aber gut ...
aus den Reaktionen hier im Forum glaube ich zu erkennen, dass die Captcha-Seite von Aufbau und Inhalt her als störend und verstörend angesehen wird - was ich (jetzt) teilweise nachvollziehen kann.

Ich werde überlegen wie ich das Layout ändere und würde mich über konstruktive Kommentare/Vorschläge freuen.

Gruß Dieter

[[btk]tobi]

Nicht der 'normale' User wird als Spammer erkannt sondern (in Deinem Fall) wird erkannt dass die IP bereits von einem Spammer (oder Angreifer oder Bot) verwendet wurde.
Also wird das Captcha eingeblendet und der 'normale' User löst das Captcha und hat Zugriff auf den von ihm gewünschten Inhalt.
Hast Du im Rahmen einer Registrierung (z.B. auch bei diesem Forum) noch nie ein Captcha lösen müssen?

Richtig, aber ich werde wohl nicht der einzige sein dem es so geht, also muss man damit rechnen das der normale User eine IP benutzt die schon mal zum spammen verwendet wurde.
Das man beim registrieren oder allgemein beim ausfüllen von Formularen Captchas lösen muss ist ja mittlerweile normal und wenn man eh schon damit beschäftigt ist ein Formular auszufüllen kann man auch noch kurz das Captcha lösen. Wenn ich aber eine Webseite besuche bin ich gewöhnt das ich ohne irgendwas tun zu müssen den Content sehe. Wenn ich jetzt mit einem Captcha, Layerwerbung o.Ä. begrüßt werde bin ich ruck zuck beim nächsten Suchergebnis und das obwohl ich weiß was da los ist und wie ich an den Content komme. Leute wie meine Mutter z.B. würden da einfach nur denken das die Seite kaputt ist und wieder gehn.

So wie ich das sehe misst du den Erfolg des Scripts daran wie viele Bots/Besucher ausgesperrt wurden. Du solltest dabei aber auch die false positive mit einrechnen und dann überlegen was besser ist, einen Bot durch zu lassen oder einen Besucher zu verjagen.

Gruß Tobi

[DieterW]

shtml muss nicht sein, html geht genauso.
Entweder du nimmst den Hinweis und setzt ihn um oder ich zeige dir wie es geht, aber damit würdest du schlecht aussehen.

Och bitte - nun zeig mir doch endlich wie es geht ...
oder hat Harald Su. es Dir verboten?

Du solltest sowieso vorsichtig sein mit dem was Du da für den Pfadfinder machst.
Irgentwann wird dieser weltweit agierende Konzern dessen Content ihr abgreift, ganz böse reagieren - und das fällt dann auch den beteiligten Programmierern schwer auf die Füße.

[Kristian]

shtml muss nicht sein, html geht genauso.
Entweder du nimmst den Hinweis und setzt ihn um oder ich zeige dir wie es geht, aber damit würdest du schlecht aussehen.

Och bitte - nun zeig mir doch endlich wie es geht ...
oder hat Harald Su. es Dir verboten?

Du solltest sowieso vorsichtig sein mit dem was Du da für den Pfadfinder machst.
Irgentwann wird dieser weltweit agierende Konzern dessen Content ihr abgreift, ganz böse reagieren - und das fällt dann auch den beteiligten Programmierern schwer auf die Füße.

OK,

Code: Alles auswählen

<IfModule mod_include.c>
	Options +Includes
	AddOutputFilter INCLUDES .html 
</IfModule>

in die .htaccess und gut ist.

Ansonsten glaube ich nicht, dass das, was du hier über Pfadfinder träumst, Relevanz hat.
Abgesehen davon, dass ich das Vergnügen hatte, hinter dir aufzuräumen bzw. abzuräumen, das ging damals ja gar nicht anders, hat sich die Welt dort weiter gedreht.

[DieterW]

Wenn ich jetzt mit einem Captcha begrüßt werde bin ich ruck zuck beim nächsten Suchergebnis und das obwohl ich weiß was da los ist und wie ich an den Content komme. Leute wie meine Mutter z.B. würden da einfach nur denken das die Seite kaputt ist und wieder gehn.

Gruß Tobi

OK - ich werde das Layout der Captcha-Seite so umgestalten dass es zukünftig auch 'mutterfreundlich' ist.
Danke für den Hinweis (und das ist keine Ironie sondern wirklich ernst gemeint).

Gruß Dieter