Skip to content

Größeres Update für die SpamBee

Kurze Info: Janek Bevendorff hat einige Arbeit in die Erweiterung der SpamBee gesteckt, dabei vor allem in das HiddenCaptcha. Dieses kann nun mit 3 Methoden ausgeführt werden:

Standard

Dies ist eine neue Methode von Janek. Hier wird ebenfalls das Captcha per JS ausgefüllt und dann versteckt. Die Antwort steht hier allerdings als JavaScript im HTML der Artikel Seite. Das hat den Vorteil, dass nicht mehrere Webcalls ausgeführt werden müssen, um das Captcha zu beantworten und zu verstecken, allerdings den Nachteil, dass ein schlauer Bot die Antwort durch intelligentes Suchen im HTML heraus finden kann. Jedoch sollte dieser Nachteil nur ein theoretischer sein, denn dann müsste der Bot schon auf Plugins wie diese optimiert worden sein, was recht unwahrscheinlich ist.

JSON

Das ist die alte Methode des Hidden Captchas, die ich implementiert hatte. Hier wird in einem externen Javascript ein Ajax Call ausgeführt, der die Antwort nachträglich beim Blog erfragt. Sie steht also nirgends in den ausgelieferten Dateien. Es ist eine weitere Indirektion, die es nur sehr spezialisierten Bots erlauben dürfte, das HCaptcha zu umgehen. Jedoch scheint diese Methode in wenigen Blogs Probleme bereitet zu haben. Für diese Blogs (und für solche, die großen Wert auf Performance legen), könnte die "Standard Methode" eine gute Alternative sein.

Smarty

Das ist eine Methode, in der es dem Template überlassen wird, sich um die Maßnahmen zu kümmern. Offenbar benötigte Janek das bei sich, ich habe dies nicht ausprobiert. Hier beantwortet und versteckt das Plugin jedenfalls nichts, sondern hinterlässt die Antwort einfach im Smarty für das Template.

Eigene Fragen erstellen

Da Janek davon ausgeht, dass diese simplen mathematischen Captchas von einigen Bots gelöst werden können, hat er noch eine weitere Abfrage eingebaut: Man kann nun eigene Fragen/ Antworten konfigurieren. So was wie "Welche Farbe hat eine Zitrone? Gelb" und ähnliches.

Wenn man dieses Feature benutzt muss man sich im Klaren sein, dass der Leser bei nicht angeschaltetem Javascript die Sprache der Frage und Antwort verstehen muss. Das ist bei vielen Blogs so, denn die meisten schreiben in einer Sprache, Kommentare in anderen Sprachen sind in 99% sowieso schon SPAM. Ich würde hier aber noch dringender empfehlen, Moderation für HCaptchas anzuschalten, wenn dieses Feature benutzt wird.

Vielen Dank, Janek für Deine Mühen! Freut mich, dass das Plugin Interessierte zum weiter programmieren anregt! :-) Das Update 1.2 von Janek ist bereits in Spartacus und sollte heute oder morgen verfügbar sein.

Janek ist übrigens genau der Mensch, der mich in einer Diskussion auf G+ damals dazu animierte, doch mal einen Honeypot auszuprobieren. Ich dachte damals, dass das keine wirksame Methode mehr wäre, er überzeugte mich zum Glück vom Gegenteil, wodurch die SpamBee im Endeffekt dann entstand. Ich erwähnte ihn im aktuellen S9YCamp Podcast zur Spam Bekämpfung, konnte mich da aber leider nicht an den Namen erinnern.

Update

Janek hat nun auch noch die Antwort, die in der "Standard" Methode im HTML sichtbar war, verschlüsselt. Damit sollten auch hier Bots nur noch durch kommen, wenn sie Javascript ausführen. Zusätzlich habe ich noch einen Fix eingespielt: Bei mir wurden Trackbacks nicht mehr gespeichert, was an einer speziellen Konfiguration hier in meinem Blog lag, die aber auch durchaus in anderen Blogs vorkommen kann. In den Kommentaren habe ich dazu mehr geschrieben.

Trackbacks

rowi

rowi on : rowi via Twitter

Continue reading "rowi via Twitter"
RT @gbrockhaus: blog: Größeres Update für die #SpamBee http://t.co/I1Om8Ytb #s9y #captcha
Manko10

Manko10 on : Manko10 via Twitter

Continue reading "Manko10 via Twitter"
RT @gbrockhaus: blog: Größeres Update für die #SpamBee http://t.co/I1Om8Ytb #s9y #captcha
RobLen

RobLen on : RobLen via Twitter

Continue reading "RobLen via Twitter"
Größeres Update für die SpamBee durch @gbrockhaus http://t.co/mvpSIr2X #s9y
ddeimeke

ddeimeke on : ddeimeke via Twitter

Continue reading "ddeimeke via Twitter"
@MarcusMoeller Guck mal nach "Hidden Captcha": http://t.co/ZZdKhllR

Comments

Display comments as Linear | Threaded

Janek

Janek Read on twitter: on :

Das nächste Update ist schon in der Mache: Text-Scrambling der Antwort für alle drei Methoden sowie Code-Obfuscation für die Default-Methode. :-)

Janek

Janek Read on twitter: on :

Da isses: https://github.com/s9y/additional_plugins/pull/17 :-)

Hat mich einiges an Schweiß gekostet, PHP und JavaScript vernünftiges UTF-8 beizubringen. Bringt ja nichts, wenn der UTF-8-Antwortstring auf dem Server mit Single-Byte-String-Funktionen verschlüsselt und dann auf Client-Seite mit UTF-16 wieder entschlüsselt wird. :-D

Grischa

Grischa on :

Ich habe die neue Version mal in meinem Blog in allen möglichen Konfigurationen durchgetestet: Scheint prima zu klappen! Habe den Pull Request also gerade rein geholt. :-)

Das Scrambling (egal welche Version) passiert nur bei der "Standard" Methode des HCaptchas, oder? In der JSON Methode wüsste ich nicht, was da gescrambled werden könnte (und sehe dazu auch nichts im HTML/JS dann)?

Grischa wrote about: Das versteckte Captcha

hama

hama Read on twitter: on :

Halli Hallo

Nachdem ich heute morgen die aktuelle Version 1.2 der Biene eingespielt habe, tritt bei mir nun folgender Effekt auf:

Wenn ich bei den Kommentaren in der Administration für Bayes Spam/Ham anlernen möchte, erscheint nach einem Klick auf die entsprechende Schaltfläche eine leere Seite in der oben links "Fertig" steht. Das ist bestimmt das "Fertig", das normalerweise links unter dem jeweiligen Kommentar ausgegeben wurde.

Könnte ihr da einen Zusammenhang sehen? Gestern habe ich nämlich noch erfolgreich Spam/Ham angelernt.

Grüsse

Hampa

Janek

Janek Read on twitter: on :

Eigentlich sollte das Bayes-Plugin nicht in seiner Funktion eingeschränkt sein. Ich schau mir das gleich mal an.

hama

hama Read on twitter: on :

Würde mich tatsächlich auch wundern, wenn die eine Sache was mit der anderen zu tun hat. Aber da es sich um Computer handelt, ist bekanntlich (fast) alles möglich. ;o)

Janek

Janek Read on twitter: on :

Hmm. Ich kann das Problem hier irgendwie nicht nachvollziehen. Tritt es wirklich nur auf, wenn Bee aktiviert ist?

hampa

hampa Read on twitter: on :

...Zuerst Bee-Plugin deaktiviert. Problem weiterhin vorhanden. Dann die Chronik von heute im Firefox gelöscht. Noch ein Versuch. Und siehe da. Bayes macht wieder das was es soll. Dann Bee-Plugin aktiviert. Bayes macht weiterhin, was es soll.

Sorry für die Aufregung und danke fürs nachgucken.

Janek

Janek Read on twitter: on :

Das ja schön, wenn's wieder geht. Hätte mich irgendwie gewundert, wenn das jetzt an der Bee gelegen hätte. :-)

Grischa

Grischa Read on twitter: on :

So, ich habe den weiteren Pull Request rein genommen. Danke Janek! :-)

Außerdem habe ich noch einen Fix nachgeschoben: In meinem Blog hier wurden keine Trackbacks gespeichert. Das lag daran, dass ich das Core SpamPlugin nicht aktiv habe und so "Required Fields" für die Kommentare in der Biene konfiguriert habe. Diese wurden allerdings auch bei Trackbacks überprüft und da ich z.B. Email verlange (die von Trackbacks ja nicht geliefert werden), wurden die abgewiesen.

Der Fix ist bereits in Spartacus und sollte ab morgen als Version 1.2.3 verfügbar sein.

Grischa wrote about: Die Spamschutz Biene

Grischa

Grischa Read on twitter: on :

Ich habe hier mal meinen Antispam Report in der Seitenleiste für alle sichtbar gemacht (vorher nur für eingeloggte sichtbar, da ich noch keinen Cache implementiert hatte). Nett für einen Überblick, wie es gerade so aussieht!

Ich hatte die SpamBee einen guten Tag ausgeschaltet, weil diese bei mir die Trackbacks verhinderte. Aus dieser Zeit sind ca 165 Bayes Erfolge. Inzwischen läuft die Biene aber wieder warm, so dass beim Bayes wieder kaum etwas ankommt. ;-)

Grischa wrote about: GCM: Aktive Benachrichtigung am Android Gerät

hampa

hampa Read on twitter: on :

Hast du dieses Seitenleisten-Plugin selbst geschrieben oder existiert dafür ein Plugin?

hampa

hampa Read on twitter: on :

Das wird toll! Vielen Dank für die Info. "Honepot" wird jedoch ein Fehlerteufel sein... Tschüss und gute Nacht.

hampa

hampa Read on twitter: on :

Öhm. Der Cache kann es nicht sein, den habe ich eben gelöscht. ;-)

Grischa

Grischa Read on twitter: on :

Dann bin ich wohl blind, ich habe gerade die Seite nach dem HoneypoD durchsucht und nur meinen Kommentar dazu gefunden.. :-O

Ian

Ian on :

Hi Grischa

Ich teste gerade die Biene und habe so den Verdacht, als ob die Zugriffszahlen seither rasant gestiegen sind... Wenn ich nicht fail2ban hätte, wäre das sicherlich noch mehr.

Durchgekommen ist aber nix.

Um das genauer zu beobachten, hätte ich gerne anstatt des Seitenleisten Pugins lieber eine Backendauswertung, die man per config individuell finetunen kann ...

Wäre das möglich für dich?

Grüße

Grischa

Grischa Read on twitter: on :

Hi Ian.

Ja, das wurde schon mal angefragt. Muss ich mal schauen, wie ich Zeit habe. Natürlich gehört diese Stat eher in den Admin Bereich (obwohl es scheinbar auch User interessiert).

Habe auch schon überlegt, ob man das nicht auch als Plugin für das Dashboard Plugin anbieten könnte. Wäre schick und ich könnte mal probieren, wie man sich da am besten als "externes Plugin" einhängen kann.

Grischa wrote about: Dieses Wochenende Froscon

Ian

Ian on :

Ja genau!

Das wäre ein sehr gutes Testprojekt für den hook.

Schreib mir einfach wenn sich da was entwickelt.!

Don Chambers

Don Chambers on :

I posted a question on the s9y forum here: http://board.s9y.org/viewtopic.php?f=4&t=18908

Add Comment

E-Mail addresses will not be displayed and will only be used for E-Mail notifications.
This blog allows you to add audio comments using audioboo.fm. Create a new boo and enter the link to the page into the boo field.
record
If you enter your twitter name, your timeline will get linked to your comment.
Promote one of your recent articles
This blog allows you to announce one of your recent blog articles with your comment. Please enter your the corresponding URL as homepage and a selection box will pop up letting you choose an article. (Javascript needed)
(Requirements: 1 comments written)
Standard emoticons like :-) and ;-) are converted to images.
tweetbackcheck