Größeres Update für die SpamBee
Kurze Info: Janek Bevendorff hat einige Arbeit in die Erweiterung der SpamBee gesteckt, dabei vor allem in das HiddenCaptcha. Dieses kann nun mit 3 Methoden ausgeführt werden:
Standard
Dies ist eine neue Methode von Janek. Hier wird ebenfalls das Captcha per JS ausgefüllt und dann versteckt. Die Antwort steht hier allerdings als JavaScript im HTML der Artikel Seite. Das hat den Vorteil, dass nicht mehrere Webcalls ausgeführt werden müssen, um das Captcha zu beantworten und zu verstecken, allerdings den Nachteil, dass ein schlauer Bot die Antwort durch intelligentes Suchen im HTML heraus finden kann. Jedoch sollte dieser Nachteil nur ein theoretischer sein, denn dann müsste der Bot schon auf Plugins wie diese optimiert worden sein, was recht unwahrscheinlich ist.
JSON
Das ist die alte Methode des Hidden Captchas, die ich implementiert hatte. Hier wird in einem externen Javascript ein Ajax Call ausgeführt, der die Antwort nachträglich beim Blog erfragt. Sie steht also nirgends in den ausgelieferten Dateien. Es ist eine weitere Indirektion, die es nur sehr spezialisierten Bots erlauben dürfte, das HCaptcha zu umgehen. Jedoch scheint diese Methode in wenigen Blogs Probleme bereitet zu haben. Für diese Blogs (und für solche, die großen Wert auf Performance legen), könnte die "Standard Methode" eine gute Alternative sein.
Smarty
Das ist eine Methode, in der es dem Template überlassen wird, sich um die Maßnahmen zu kümmern. Offenbar benötigte Janek das bei sich, ich habe dies nicht ausprobiert. Hier beantwortet und versteckt das Plugin jedenfalls nichts, sondern hinterlässt die Antwort einfach im Smarty für das Template.
Eigene Fragen erstellen
Da Janek davon ausgeht, dass diese simplen mathematischen Captchas von einigen Bots gelöst werden können, hat er noch eine weitere Abfrage eingebaut: Man kann nun eigene Fragen/ Antworten konfigurieren. So was wie "Welche Farbe hat eine Zitrone? Gelb" und ähnliches.
Wenn man dieses Feature benutzt muss man sich im Klaren sein, dass der Leser bei nicht angeschaltetem Javascript die Sprache der Frage und Antwort verstehen muss. Das ist bei vielen Blogs so, denn die meisten schreiben in einer Sprache, Kommentare in anderen Sprachen sind in 99% sowieso schon SPAM. Ich würde hier aber noch dringender empfehlen, Moderation für HCaptchas anzuschalten, wenn dieses Feature benutzt wird.
Vielen Dank, Janek für Deine Mühen! Freut mich, dass das Plugin Interessierte zum weiter programmieren anregt! 
Das Update 1.2 von Janek ist bereits in Spartacus und sollte heute oder morgen verfügbar sein.
Janek ist übrigens genau der Mensch, der mich in einer Diskussion auf G+ damals dazu animierte, doch mal einen Honeypot auszuprobieren. Ich dachte damals, dass das keine wirksame Methode mehr wäre, er überzeugte mich zum Glück vom Gegenteil, wodurch die SpamBee im Endeffekt dann entstand. Ich erwähnte ihn im aktuellen S9YCamp Podcast zur Spam Bekämpfung, konnte mich da aber leider nicht an den Namen erinnern.
Update
Janek hat nun auch noch die Antwort, die in der "Standard" Methode im HTML sichtbar war, verschlüsselt. Damit sollten auch hier Bots nur noch durch kommen, wenn sie Javascript ausführen. Zusätzlich habe ich noch einen Fix eingespielt: Bei mir wurden Trackbacks nicht mehr gespeichert, was an einer speziellen Konfiguration hier in meinem Blog lag, die aber auch durchaus in anderen Blogs vorkommen kann. In den Kommentaren habe ich dazu mehr geschrieben.
Comments
Display comments as Linear | Threaded
Janek
on :
Follow @Manko10Das nächste Update ist schon in der Mache: Text-Scrambling der Antwort für alle drei Methoden sowie Code-Obfuscation für die Default-Methode.
Janek
on :
Follow @Manko10Da isses: https://github.com/s9y/additional_plugins/pull/17
Hat mich einiges an Schweiß gekostet, PHP und JavaScript vernünftiges UTF-8 beizubringen. Bringt ja nichts, wenn der UTF-8-Antwortstring auf dem Server mit Single-Byte-String-Funktionen verschlüsselt und dann auf Client-Seite mit UTF-16 wieder entschlüsselt wird.
Grischa on :
Ich habe die neue Version mal in meinem Blog in allen möglichen Konfigurationen durchgetestet: Scheint prima zu klappen! Habe den Pull Request also gerade rein geholt.
Das Scrambling (egal welche Version) passiert nur bei der "Standard" Methode des HCaptchas, oder? In der JSON Methode wüsste ich nicht, was da gescrambled werden könnte (und sehe dazu auch nichts im HTML/JS dann)?
Grischa wrote about: Das versteckte Captcha
hama
on :
Follow @hampaHalli Hallo
Nachdem ich heute morgen die aktuelle Version 1.2 der Biene eingespielt habe, tritt bei mir nun folgender Effekt auf:
Wenn ich bei den Kommentaren in der Administration für Bayes Spam/Ham anlernen möchte, erscheint nach einem Klick auf die entsprechende Schaltfläche eine leere Seite in der oben links "Fertig" steht. Das ist bestimmt das "Fertig", das normalerweise links unter dem jeweiligen Kommentar ausgegeben wurde.
Könnte ihr da einen Zusammenhang sehen? Gestern habe ich nämlich noch erfolgreich Spam/Ham angelernt.
Grüsse
Hampa
Janek
on :
Follow @Manko10Eigentlich sollte das Bayes-Plugin nicht in seiner Funktion eingeschränkt sein. Ich schau mir das gleich mal an.
hama
on :
Follow @hampaWürde mich tatsächlich auch wundern, wenn die eine Sache was mit der anderen zu tun hat. Aber da es sich um Computer handelt, ist bekanntlich (fast) alles möglich. ;o)
Janek
on :
Follow @Manko10Hmm. Ich kann das Problem hier irgendwie nicht nachvollziehen. Tritt es wirklich nur auf, wenn Bee aktiviert ist?
hampa
on :
Follow @hampa...Zuerst Bee-Plugin deaktiviert. Problem weiterhin vorhanden. Dann die Chronik von heute im Firefox gelöscht. Noch ein Versuch. Und siehe da. Bayes macht wieder das was es soll. Dann Bee-Plugin aktiviert. Bayes macht weiterhin, was es soll.
Sorry für die Aufregung und danke fürs nachgucken.
Janek
on :
Follow @Manko10Das ja schön, wenn's wieder geht. Hätte mich irgendwie gewundert, wenn das jetzt an der Bee gelegen hätte.
Grischa
on :
Follow @gbrockhausSo, ich habe den weiteren Pull Request rein genommen. Danke Janek!
Außerdem habe ich noch einen Fix nachgeschoben: In meinem Blog hier wurden keine Trackbacks gespeichert. Das lag daran, dass ich das Core SpamPlugin nicht aktiv habe und so "Required Fields" für die Kommentare in der Biene konfiguriert habe. Diese wurden allerdings auch bei Trackbacks überprüft und da ich z.B. Email verlange (die von Trackbacks ja nicht geliefert werden), wurden die abgewiesen.
Der Fix ist bereits in Spartacus und sollte ab morgen als Version 1.2.3 verfügbar sein.
Grischa wrote about: Die Spamschutz Biene
Grischa
on :
Follow @gbrockhausIch habe hier mal meinen Antispam Report in der Seitenleiste für alle sichtbar gemacht (vorher nur für eingeloggte sichtbar, da ich noch keinen Cache implementiert hatte). Nett für einen Überblick, wie es gerade so aussieht!
Ich hatte die SpamBee einen guten Tag ausgeschaltet, weil diese bei mir die Trackbacks verhinderte. Aus dieser Zeit sind ca 165 Bayes Erfolge. Inzwischen läuft die Biene aber wieder warm, so dass beim Bayes wieder kaum etwas ankommt.
Grischa wrote about: GCM: Aktive Benachrichtigung am Android Gerät
hampa
on :
Follow @hampaHast du dieses Seitenleisten-Plugin selbst geschrieben oder existiert dafür ein Plugin?
Grischa
on :
Follow @gbrockhausDas wird das Seitenleisten Plugin zur SpamBiene. Ist aber noch nicht released, ich kam in den letzten Tagen vor lauter Merging im Plugin kaum noch dazu, selbst Code zu bauen.
Geht dann bald auch nach Spartacus.
Grischa wrote about: Lokale GIT Repositories mit einer USB Festplatte synchronisieren
hampa
on :
Follow @hampaDas wird toll! Vielen Dank für die Info. "Honepot" wird jedoch ein Fehlerteufel sein... Tschüss und gute Nacht.
Grischa
on :
Follow @gbrockhausHuch? "Honeypod" solltest Du da aber gar nicht mehr sehen?
hampa
on :
Follow @hampaÖhm. Der Cache kann es nicht sein, den habe ich eben gelöscht.
Grischa
on :
Follow @gbrockhausDann bin ich wohl blind, ich habe gerade die Seite nach dem HoneypoD durchsucht und nur meinen Kommentar dazu gefunden..
hampa
on :
Follow @hampaEs ist ja auch schon spät...
Ian on :
Hi Grischa
Ich teste gerade die Biene und habe so den Verdacht, als ob die Zugriffszahlen seither rasant gestiegen sind... Wenn ich nicht fail2ban hätte, wäre das sicherlich noch mehr.
Durchgekommen ist aber nix.
Um das genauer zu beobachten, hätte ich gerne anstatt des Seitenleisten Pugins lieber eine Backendauswertung, die man per config individuell finetunen kann ...
Wäre das möglich für dich?
Grüße
Grischa
on :
Follow @gbrockhausHi Ian.
Ja, das wurde schon mal angefragt. Muss ich mal schauen, wie ich Zeit habe. Natürlich gehört diese Stat eher in den Admin Bereich (obwohl es scheinbar auch User interessiert).
Habe auch schon überlegt, ob man das nicht auch als Plugin für das Dashboard Plugin anbieten könnte. Wäre schick und ich könnte mal probieren, wie man sich da am besten als "externes Plugin" einhängen kann.
Grischa wrote about: Dieses Wochenende Froscon
Ian on :
Ja genau!
Das wäre ein sehr gutes Testprojekt für den hook.
Schreib mir einfach wenn sich da was entwickelt.!
Don Chambers on :
I posted a question on the s9y forum here: http://board.s9y.org/viewtopic.php?f=4&t=18908
Grischa
on :
Follow @gbrockhausI answered at that forum post, Don.
Grischa wrote about: Zurück zu Ubuntu Ocelot