Skip to content

Größeres Update für die SpamBee

Kurze Info: Janek Bevendorff hat einige Arbeit in die Erweiterung der SpamBee gesteckt, dabei vor allem in das HiddenCaptcha. Dieses kann nun mit 3 Methoden ausgeführt werden:

Standard

Dies ist eine neue Methode von Janek. Hier wird ebenfalls das Captcha per JS ausgefüllt und dann versteckt. Die Antwort steht hier allerdings als JavaScript im HTML der Artikel Seite. Das hat den Vorteil, dass nicht mehrere Webcalls ausgeführt werden müssen, um das Captcha zu beantworten und zu verstecken, allerdings den Nachteil, dass ein schlauer Bot die Antwort durch intelligentes Suchen im HTML heraus finden kann. Jedoch sollte dieser Nachteil nur ein theoretischer sein, denn dann müsste der Bot schon auf Plugins wie diese optimiert worden sein, was recht unwahrscheinlich ist.

JSON

Das ist die alte Methode des Hidden Captchas, die ich implementiert hatte. Hier wird in einem externen Javascript ein Ajax Call ausgeführt, der die Antwort nachträglich beim Blog erfragt. Sie steht also nirgends in den ausgelieferten Dateien. Es ist eine weitere Indirektion, die es nur sehr spezialisierten Bots erlauben dürfte, das HCaptcha zu umgehen. Jedoch scheint diese Methode in wenigen Blogs Probleme bereitet zu haben. Für diese Blogs (und für solche, die großen Wert auf Performance legen), könnte die "Standard Methode" eine gute Alternative sein.

Smarty

Das ist eine Methode, in der es dem Template überlassen wird, sich um die Maßnahmen zu kümmern. Offenbar benötigte Janek das bei sich, ich habe dies nicht ausprobiert. Hier beantwortet und versteckt das Plugin jedenfalls nichts, sondern hinterlässt die Antwort einfach im Smarty für das Template.

Eigene Fragen erstellen

Da Janek davon ausgeht, dass diese simplen mathematischen Captchas von einigen Bots gelöst werden können, hat er noch eine weitere Abfrage eingebaut: Man kann nun eigene Fragen/ Antworten konfigurieren. So was wie "Welche Farbe hat eine Zitrone? Gelb" und ähnliches.

Wenn man dieses Feature benutzt muss man sich im Klaren sein, dass der Leser bei nicht angeschaltetem Javascript die Sprache der Frage und Antwort verstehen muss. Das ist bei vielen Blogs so, denn die meisten schreiben in einer Sprache, Kommentare in anderen Sprachen sind in 99% sowieso schon SPAM. Ich würde hier aber noch dringender empfehlen, Moderation für HCaptchas anzuschalten, wenn dieses Feature benutzt wird.

Vielen Dank, Janek für Deine Mühen! Freut mich, dass das Plugin Interessierte zum weiter programmieren anregt! :-) Das Update 1.2 von Janek ist bereits in Spartacus und sollte heute oder morgen verfügbar sein.

Janek ist übrigens genau der Mensch, der mich in einer Diskussion auf G+ damals dazu animierte, doch mal einen Honeypot auszuprobieren. Ich dachte damals, dass das keine wirksame Methode mehr wäre, er überzeugte mich zum Glück vom Gegenteil, wodurch die SpamBee im Endeffekt dann entstand. Ich erwähnte ihn im aktuellen S9YCamp Podcast zur Spam Bekämpfung, konnte mich da aber leider nicht an den Namen erinnern.

Update

Janek hat nun auch noch die Antwort, die in der "Standard" Methode im HTML sichtbar war, verschlüsselt. Damit sollten auch hier Bots nur noch durch kommen, wenn sie Javascript ausführen. Zusätzlich habe ich noch einen Fix eingespielt: Bei mir wurden Trackbacks nicht mehr gespeichert, was an einer speziellen Konfiguration hier in meinem Blog lag, die aber auch durchaus in anderen Blogs vorkommen kann. In den Kommentaren habe ich dazu mehr geschrieben.

Trackbacks

rowi

rowi am : rowi via Twitter

"rowi via Twitter" vollständig lesen
RT @gbrockhaus: blog: Größeres Update für die #SpamBee http://t.co/I1Om8Ytb #s9y #captcha
Manko10

Manko10 am : Manko10 via Twitter

"Manko10 via Twitter" vollständig lesen
RT @gbrockhaus: blog: Größeres Update für die #SpamBee http://t.co/I1Om8Ytb #s9y #captcha
RobLen

RobLen am : RobLen via Twitter

"RobLen via Twitter" vollständig lesen
Größeres Update für die SpamBee durch @gbrockhaus http://t.co/mvpSIr2X #s9y
ddeimeke

ddeimeke am : ddeimeke via Twitter

"ddeimeke via Twitter" vollständig lesen
@MarcusMoeller Guck mal nach "Hidden Captcha": http://t.co/ZZdKhllR

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Janek

Janek Auf Twitter lesen: am :

Das nächste Update ist schon in der Mache: Text-Scrambling der Antwort für alle drei Methoden sowie Code-Obfuscation für die Default-Methode. :-)

Janek

Janek Auf Twitter lesen: am :

Da isses: https://github.com/s9y/additional_plugins/pull/17 :-)

Hat mich einiges an Schweiß gekostet, PHP und JavaScript vernünftiges UTF-8 beizubringen. Bringt ja nichts, wenn der UTF-8-Antwortstring auf dem Server mit Single-Byte-String-Funktionen verschlüsselt und dann auf Client-Seite mit UTF-16 wieder entschlüsselt wird. :-D

Grischa

Grischa am :

Ich habe die neue Version mal in meinem Blog in allen möglichen Konfigurationen durchgetestet: Scheint prima zu klappen! Habe den Pull Request also gerade rein geholt. :-)

Das Scrambling (egal welche Version) passiert nur bei der "Standard" Methode des HCaptchas, oder? In der JSON Methode wüsste ich nicht, was da gescrambled werden könnte (und sehe dazu auch nichts im HTML/JS dann)?

Grischa schrieb auch: Das versteckte Captcha

hama

hama Auf Twitter lesen: am :

Halli Hallo

Nachdem ich heute morgen die aktuelle Version 1.2 der Biene eingespielt habe, tritt bei mir nun folgender Effekt auf:

Wenn ich bei den Kommentaren in der Administration für Bayes Spam/Ham anlernen möchte, erscheint nach einem Klick auf die entsprechende Schaltfläche eine leere Seite in der oben links "Fertig" steht. Das ist bestimmt das "Fertig", das normalerweise links unter dem jeweiligen Kommentar ausgegeben wurde.

Könnte ihr da einen Zusammenhang sehen? Gestern habe ich nämlich noch erfolgreich Spam/Ham angelernt.

Grüsse

Hampa

Janek

Janek Auf Twitter lesen: am :

Eigentlich sollte das Bayes-Plugin nicht in seiner Funktion eingeschränkt sein. Ich schau mir das gleich mal an.

hama

hama Auf Twitter lesen: am :

Würde mich tatsächlich auch wundern, wenn die eine Sache was mit der anderen zu tun hat. Aber da es sich um Computer handelt, ist bekanntlich (fast) alles möglich. ;o)

Janek

Janek Auf Twitter lesen: am :

Hmm. Ich kann das Problem hier irgendwie nicht nachvollziehen. Tritt es wirklich nur auf, wenn Bee aktiviert ist?

hampa

hampa Auf Twitter lesen: am :

...Zuerst Bee-Plugin deaktiviert. Problem weiterhin vorhanden. Dann die Chronik von heute im Firefox gelöscht. Noch ein Versuch. Und siehe da. Bayes macht wieder das was es soll. Dann Bee-Plugin aktiviert. Bayes macht weiterhin, was es soll.

Sorry für die Aufregung und danke fürs nachgucken.

Janek

Janek Auf Twitter lesen: am :

Das ja schön, wenn's wieder geht. Hätte mich irgendwie gewundert, wenn das jetzt an der Bee gelegen hätte. :-)

Grischa

Grischa Auf Twitter lesen: am :

So, ich habe den weiteren Pull Request rein genommen. Danke Janek! :-)

Außerdem habe ich noch einen Fix nachgeschoben: In meinem Blog hier wurden keine Trackbacks gespeichert. Das lag daran, dass ich das Core SpamPlugin nicht aktiv habe und so "Required Fields" für die Kommentare in der Biene konfiguriert habe. Diese wurden allerdings auch bei Trackbacks überprüft und da ich z.B. Email verlange (die von Trackbacks ja nicht geliefert werden), wurden die abgewiesen.

Der Fix ist bereits in Spartacus und sollte ab morgen als Version 1.2.3 verfügbar sein.

Grischa schrieb auch: Die Spamschutz Biene

Grischa

Grischa Auf Twitter lesen: am :

Ich habe hier mal meinen Antispam Report in der Seitenleiste für alle sichtbar gemacht (vorher nur für eingeloggte sichtbar, da ich noch keinen Cache implementiert hatte). Nett für einen Überblick, wie es gerade so aussieht!

Ich hatte die SpamBee einen guten Tag ausgeschaltet, weil diese bei mir die Trackbacks verhinderte. Aus dieser Zeit sind ca 165 Bayes Erfolge. Inzwischen läuft die Biene aber wieder warm, so dass beim Bayes wieder kaum etwas ankommt. ;-)

Grischa schrieb auch: GCM: Aktive Benachrichtigung am Android Gerät

hampa

hampa Auf Twitter lesen: am :

Hast du dieses Seitenleisten-Plugin selbst geschrieben oder existiert dafür ein Plugin?

hampa

hampa Auf Twitter lesen: am :

Das wird toll! Vielen Dank für die Info. "Honepot" wird jedoch ein Fehlerteufel sein... Tschüss und gute Nacht.

Grischa

Grischa Auf Twitter lesen: am :

Dann bin ich wohl blind, ich habe gerade die Seite nach dem HoneypoD durchsucht und nur meinen Kommentar dazu gefunden.. :-O

Ian

Ian am :

Hi Grischa

Ich teste gerade die Biene und habe so den Verdacht, als ob die Zugriffszahlen seither rasant gestiegen sind... Wenn ich nicht fail2ban hätte, wäre das sicherlich noch mehr.

Durchgekommen ist aber nix.

Um das genauer zu beobachten, hätte ich gerne anstatt des Seitenleisten Pugins lieber eine Backendauswertung, die man per config individuell finetunen kann ...

Wäre das möglich für dich?

Grüße

Grischa

Grischa Auf Twitter lesen: am :

Hi Ian.

Ja, das wurde schon mal angefragt. Muss ich mal schauen, wie ich Zeit habe. Natürlich gehört diese Stat eher in den Admin Bereich (obwohl es scheinbar auch User interessiert).

Habe auch schon überlegt, ob man das nicht auch als Plugin für das Dashboard Plugin anbieten könnte. Wäre schick und ich könnte mal probieren, wie man sich da am besten als "externes Plugin" einhängen kann.

Grischa schrieb auch: Dieses Wochenende Froscon

Ian

Ian am :

Ja genau!

Das wäre ein sehr gutes Testprojekt für den hook.

Schreib mir einfach wenn sich da was entwickelt.!

Don Chambers

Don Chambers am :

I posted a question on the s9y forum here: http://board.s9y.org/viewtopic.php?f=4&t=18908

Kommentar schreiben

Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
Dieses Blog erlaubt Dir, Audio Kommentare über audioboo.fm hinzuzufügen. Erstelle einen neuen Boo und gib hier den Link auf die Seite Deines Boos ein.
record
Wenn Du Deinen Twitter Namen eingibst wird Deine Timeline in Deinem Kommentar verlinkt.
Bewirb einen Deiner letzten Artikel
Dieses Blog erlaubt Dir mit Deinem Kommentar einen Deiner letzten Artikel zu bewerben. Bitte gib Deine Blog URL als Homepage ein, dann wird eine Auswahl erscheinen, in der Du einen Artikel auswählen kannst. (Javascript erforderlich)
(Bedingung: 1 Kommentare geschrieben)
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
tweetbackcheck