Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?
Forum>Entwickler>Antispam für eine Webseite – Welche lösung ist einigerm. gut?

Antispam für eine Webseite – Welche lösung ist einigerm. gut?

barbagianni
barbagianni03.12.0819:10
Ich habe mittelweile schon einieges probiert um meine E-mail auf der Webseite um sie nicht leserlich zu machen. Aber "die" schaffen immer wieder nach ein paar Monaten mein Mail-account mit Spams-E-mail zu füllen.

Hat schon jemand Captcha am Laufen hier?

Ich kenne mich etwas aus mit HTML aber nur etwas, und das wars auch. Daher wollte ich hier fragen ob mit Basis-Kentnisse auch machbar ist bzw. anbiendabar ist auf eine HTML Seite.


Abere Lösung sidn natürlich auch willkommen
0

Kommentare

bernddasbrot
bernddasbrot03.12.0819:30
Was hast du denn schon probiert? Javascript-Lösungen?

Am sichersten ist i.d.R. ein Bild.


0
barbagianni
barbagianni03.12.0819:37
Ich habe mit unicode oder wie sie heisst.
mit Javascritp, und habe sogar die E-mail adresse als bild eingesetzt. Das alle hat nicht "lange" geholfen.

Solle ich vielleicht über ein Formular die Möglichkeit geben mich zu kontaktieren?
0
bernddasbrot
bernddasbrot03.12.0820:29
Formular mit Captcha könnte klappen. Oder eben nur ein Bild (ohne Link auf deine Mail-Adresse via Javascript).

Die anderen Möglichkeiten mit Javascript die Mailadresse zu verschlüsseln, habe ich nicht ausprobiert, kann mir nicht vorstellen, dass die nicht ausgehebelt werden können.
0
barbagianni
barbagianni03.12.0821:26
ich werde mich nächste Woche internsiv damit beschäftigen. DAnke
0
Stefan S.
Stefan S.03.12.0822:37
kennst Du das?
0
hausfreund03.12.0822:48
probiere das mal:
0
Stefan S.
Stefan S.03.12.0822:56
Man sollte nie seine Emailadresse in Spamschutz-Webseiten eingeben zwecks Code-Erstellung. Denn die Site könnte von Spammern gemacht sein.
0
sierkb03.12.0823:00
bernddasbrot:

Du weißt, dass CAPTCHAs schon seit geraumer Zeit nicht mehr sicher sind bzw. mit sog. Bilderkennungsprogrammen innerhalb weniger Augenblicke entziffert bzw. entschlüsselt werden können? CAPTCHAS waren immer umstritten, ist deren Hürde für menschliche Leser doch ein manchmal sehr einschränkende (man denke da an unsere blinden Mitmenschen) und für Maschinen/Bots mittlerweile auch keine Hürde mehr. Die damit verbundenen Prüfeigenschaft im Sinne eines Turing-Tests ist mit leistungsfähigen Bilderkennungs-Programmen, derer sich bestimmte Bots mittlerweile bedienen (es gibt da verschiedene OCR-Programme bzw. -Progrämmchen), welche da verschiedentlich eingesetzt werden. U.a. verwendet man derlei Programme auch zur Identifizierung von in Bildern gepackten Text-Spam (jeder von uns hat derlei Spam schon mal bekommen, z.B. in Bilder gepackte Stock-Options). Was zur Spam-Erkennung dienlich ist, ist bestimmten mail-Harvestern sicher auch nicht entgangen, und sie nutzen derlei Programme eben ein, um in Bilder gepackte email-Adressen zu entziffern. Das klappt inzwischen hervorragend. Damit verpufft die von CAPTCHAS eigentlich beabsichtigte Wirkung. Was absehbar war. Es war nur eine Frage der Zeit, bis CAPTCHAs geknackt werden.

Stefan S.:

Was soll das sein? "Security through obscurity"? Du meinst, irgendein ernsthaft interessierter email-Harvester/Bot, der lässt sich durch so eine JavaScript-Lösung abschrecken? Blöd sind die auch nicht. Wer CAPTCHAs knackt, der hält sich an ein paar kleinen, niedlichen JavaScript-Obskuritäten auch nicht lange auf. Und die Praxis zeigt das auch. Derlei Lösungen beruhigen höchstens das Gewissen desjenigen, der es einsetzt. Mehr aber auch nicht. Was den eigentlichen Zweck angeht, sind auch Unkenntlichmachungen via JavaScript so ziemlich wirkungslos. Zumal Google mittlerweile auch schon anfängt, JavaScript zu indizieren und auszuwerten. email-Harvester/Bots können das schon länger. Das, was JavaScript manipuliert, ist das DOM. Und das Endergebnis, das im DOM steht, ist somit auch durch einen email-Harvester/Bots auslesbar, wenn er gut ist. Und es gibt so einige sehr leistungsfähige Harvester/Bots da draußen...
0
Stefan S.
Stefan S.03.12.0823:04
aha.
D.h. Du meinst: Alles zwecklos?
0
hausfreund04.12.0800:06
flash würde auch funktionieren
0
yo
yo04.12.0801:52
Und da gibt es noch:

Aber lies den Kommentar zum Stand der Dinge.

P.S. Na, ja, besser als nix ...
0
sierkb04.12.0802:48
Stefan S.
aha.
D.h. Du meinst: Alles zwecklos?

So ziemlich. Ich habe als Mitglied der HTML5 Working Group des W3C dort vorgeschlagen, sich des Themas mal anzunehmen bzw. eine tragfähige Lösung für HTML5 zu erarbeiten in Form von HTML-Elementen, welche geeignet sind, email-Adressen z.B. unter Angabe eines Hash-Wertes zu verschlüsseln, so ähnlich wie es z.B. bei XML Signature und auch FOAF angeboten wird, doch auf diesem Feld bin ich noch keinen großen Schritt weiter. Die Working Group hat im Moment andere Dinge im Fokus, sodass das Thema derzeit nicht beackert wird und weit nach hinten geschoben wird. Beizeiten werde ich mich nochmal mehr damit befassen und bei einer der nächsten Tele-Konferenzen mal versuchen, wieder ins Licht zu stellen.

Bisher kenne zumindest ich keine technischen Mittel, die da einen wirksamen Schutz bieten. Einzig die Vermeidung bzw. der zurückhaltene Einsatz von email-Adressen ist da zu empfehlen. Doch oft kommt man nicht drumherum (sei es aus rechtlichen Gründen oder auch zum Beispiel um sich als Entwickler zu authentifizieren bzw. eine direkte Kontaktmöglichkeit anzugeben), irgendeine verlässliche und einfach zu lesende email-Adresse irgendwo anzugeben, teilweise auch in Software selber. Und Google findet ALLES. Selbst email-Adressen in Changelogs und Konfigurationsdateien für Software (z.B. Spec-Files für RPM-Pakete, Changelogs, Mails in Mailinglisten etc.), welche weltweit gespidert werden und so ihren Weg ins WWW finden. Und von dort sind sie dann für jeden email-Harvester noch leichter zu finden. Auch da gibt es meiner Erfahrung nach keinen wirklich wirksamen Schutz. Man kann es diesen email-Bots schwerer machen (z.B. das @-Zeichen irgendwie umschreiben bzw. als "at", "et", "ätt", "bei" oder sonstwie umschreiben und meinetwegen in Klammern setzen. Auch das ist eher "security by obscurity" und nicht wirklich wirkungsvoll. Das belegen die tausenden und millionenfachen Spam-Mails, die über solche email-Adressen ihren Weg zu deren Empfänger finden -- trotz solcher erschwerenden Maßnahmen.

Wie schon angedeutet: ich habe mir das Thema schon vor einigen Monaten mal auf die Agenda gesetzt, um evtl. im Rahmen von HTML5 eine neue, wirkungsvollere Lösung herbeizuführen. Doch gut Ding will Weile haben, und bisher ist zumindest auf dem Parkett noch keine Lösung in Sicht.
0
Hot Mac
Hot Mac04.12.0803:30
JavaScript funktioniert bei mir nach wie vor.

Enkoder ist ein wenig in Vergessenheit geraten @@
0
ela04.12.0808:59
viele Bots unterstützen kein JavaScript, daher kann das zumindest ein bisschen helfen. Das Grundproblem ist doch aber:
- Man möchte die Mail-Adresse hinterlegen damit die Besucher einem eine Mail schreiben können. Wenn dies technisch möglich sein soll, dann kann dies auch für Spam genutzt werden. Der nächste Bot, der dann automatisch auf solche "hidden"-Links klickt um zu sehen, ob das Ergebnis ein "mailto" mit gültiger Adresse (abweichend von der offensichtlichen) ist, ist bestimmt schon unterwegs.

Es kann helfen, wenn man statt einer Mail-Adresse ein Kontaktformular anbietet und die Felder des Formulares bei jedem Aufruf zufällig umbenennen lässt. Die Felder sollten also nicht "e-mail", "name" etc. heißen. Dann kann man natürlich über ein JavaScript noch ein zusätzliches Feld verstecken, dass auf jeden Fall leer bleiben muss. Viele Bots finden dieses Feld und füllen es eben auch aus - zack - Spam erkannt.
Diese Maßnahme (zufällige Feldnamen und verstecktes Feld) helfen bei mir ziemlich gut.

Den Rest lasse ich inzwischen von Google-Mail ausfiltern. Einen besseren Mail-Spam-Filter habe ich bisher noch nicht gefunden. Ich hatte auch über andere Mail-Adressen, die ich nicht mal eben ändern kann und möchte, inzwischen so viel Spam, dass E-Mail nahezu unbenutzbar wurde. Seit Google den Müll für mich aussortiert kann ich die Spams im Monat an einer Hand abzählen.
0
bernddasbrot
bernddasbrot04.12.0809:22
sierkb

Ja, stimmt, Captcha ist auch nicht das Gelbe vom Ei, ist z.Zt. auch eine Mode.

Leider ist dieses ganze Thema immer eine Gratwanderung zwischen Schutz und Usability. Jedes Verfahren reduziert evtl. ein bisschen das Ausmaß der Spams, keines völlig. Bei Javascripten bin ich nicht sicher, ob diese nicht doch recht leicht umgangen werden können, sodass eine Hürde mehr (zu Lasten der Usability) mir dann doch als das geringste Übel erscheint.

Allein die URL ist ja meist schon ein "giveaway" - da braucht man nicht einmal viel Phantasie (bzw. Algorithmen), um daraus eine Mailadresse abzuleiten.

Bilder ohne Link sind zwar knackbar (handgeschrieben etwas weniger), aber m.E. noch die brauchbarste Lösung für das Reduzieren des Spamvolumens.
0
bjb04.12.0809:48
Wie wäre es mit einer wav-Datei mit gesprochener Adresse?
0
sierkb04.12.0816:09
bernddasbrot
Bilder ohne Link sind zwar knackbar (handgeschrieben etwas weniger), aber m.E. noch die brauchbarste Lösung für das Reduzieren des Spamvolumens.

Mein email-Provider und ich selber können da irgendwie anderes berichten. Gerade Anfang bis Mitte diesen des Jahres hat es eine Schwemme von email-Spam gegeben, wo der Spam entweder nur aus einem einzelnen Bild mit der dort in Textlettern geschriebenen Aufforderung, bestimmte Aktien zu kaufen, bestand oder ein derartig gestaltetes Bild in weiteren Spam-Text eingebunden war. Zuerst flutschten solche emails durch die Spam-Erkennung. Dann haben sowohl mein Provider als auch ich bei mir zu Hause die Spam-Erkennung nachgerüstet mit aktualisierten OCR-Bibliotheken, die sich nahtlos in die Spam-Erkennung und email-Filterung einbauen lassen , welche Texterkennung in solchen Bildern beherrschen (z.B. für Spamassassin). Danach war's das weitgehend mit solchem Bilder-Spam, weil er erfolgreich erkannt und gefiltert werden konnte. Die Erkennungsrate ist da inzwischen ziemlich hoch.
email-Harvestern/-Bots ist solche Software auch nicht unbekannt, die wird dort garantiert auch eingesetzt. Dort wird inzwischen Einiges an Energie und Technologie eingesetzt, um derlei Hürden zu schaffen. Und die Praxis zeigt das auch, besonders bei tausenden und millionen Blogs da draußen kann man das erkennen, die sich teilweise ein zeitlang mit Captchas gegen Kommentar-Spam haben schützen wollen. Dieser Schutz hat wenige Monate gehalten. Mittlerweile werden die dort eingesetzten Captchas von Spammern mühelos überwunden, und diese Blogs werden, wie zuvor auch, weiterhin/wieder von Kommentar-Spammern belästigt bzw. teilweise geflutet. Auch Captchas bieten da also keinerlei Hürde mehr, sind wirkungslos geworden. In solchen Fällen hilft dann nur noch den betreffenden Blog-Betreibern, die Kommentar-Funktion generell oder vorübergehend zu deaktivieren. Und bzgl. des Einsatzes von JavaScript an solchen Stellen, sind gerade in der Blogger-Szene da schon genug Erfahrungen gesammelt worden, die auch diesen Einsatz als reinen Placebo dastehen lassen.
0
thinair04.12.0816:18
UniCode ist auch ein ganz einfacher und recht guter weg:

http://www.lerneniminternet.de/htm/tip_spam-email.html


0
chrisbilder
chrisbilder04.12.0817:53
sierkb

Natürlich gibt es Möglichkeiten, die JavaScript/Unicode/Bild Verschlüsselungen zu knacken, doch der Aufwand für die Email-Harvester wird schon ziemlich groß. Erst mal muss erkannt werden, dass es sich bei z. B.
<a href="javascript:msb('ocknvq<vguvBgzcorng0qti')">Hier Klicken</a>
um eine Emailadresse handelt. Dann muss der Code interpretiert und ausgewertet werden. Das gleiche gilt für Unicode/Bilder.

Es geht ja nicht darum, die Adressen geheimzuhalten. Ich vertrete die Auffassung: Warum sollte ein Emailbot sich die Mühe machen, komplizierten Programmiercode zu interpretieren, wenn es lediglich darum geht, massenhaft Emails einzusammeln? Dieses Ziel wird mit der einfachen Suche nach dem @-Zeichen weiterhin erreicht. Die meisten Emailadressen stehen im Klartext auf den Seiten. Warum noch die paar wenigen suchen, die nur kompliziert zu knacken sind?
0
jabberj
jabberj04.12.0818:14
Hallo zusammen,

ich benutze LadyMailEncode (Widget), um die Mailadressen vor Spamrobots zu schützen und es klappt erstaunlich gut.
0
Metti
Metti04.12.0818:27
Ich kann thinair nur Recht geben.
Bei mir setze ich das seit Jahren ein und bin sehr zufrieden. Allerdings werden die Mails an die Adresse über GMX umgeleitet, weil dort ein brauchbarer Spamfilter den Mist herausfiltert.

Für mich kommt Javascript nicht in Frage, weil das den Anwender nötigt, Javascript zu nutzen. Ich möchte auch Anwendern ohne Javascipt die Möglichkeit geben, mich zu erreichen.

Zusätzlich gibt es den Hinweis, dass im Infodialog meiner Software ein Link auf eine andere Emailadresse vorhanden ist. Das hilft all denen, die auf der Adresse der Homepage nicht durchkommen (weil sie z.B. von GMX gefiltert wurden).

MfG, Metti.
0
sierkb04.12.0818:53
chrisbilder:

Unterschätze da mal nicht die Möglichkeiten und Fertigkeiten solcher Harvester. Die sind inzwischen auch schlauer und leistungsfähiger geworden. Nur, weil Du es Dir schlecht vorstellen kannst bzw. es für Dich nach mehr Arbeit aussieht, heißt das noch lange nicht, dass das dann tatsächlich auch eine echte Hürde bzw. wirklich mehr Arbeit für einen solchen Harvester ist. Bzgl. Captchas hat man bis vor kurzem auch mal so gedacht nach dem Motto: "das werden die nie schaffen, dazu braucht man eine gewisse Intelligenz (Stichwort: Turing-System), schnelle Rechner und/oder rohe Gewalt (Stichwort: brut force)." Und genau alle drei Faktoren sind inzwischen sowohl bei Spammern weit verbreitet, um ihre Fracht unter die Leute zu bringen, als auch bei hartnäckigen email-Harvestern. Wenn also Captchas keine Probleme mehr bereiten, dann tut es JavaScript (welches ja nichts anderes tut als das DOM des betreffenden Dokuments vor der Ausgabe zu manipulieren, und in dem Moment, wo ein Client diese DOM-Manipulation z.B. durch Anklicken initiiert, steht ein solche email-Adresse im Klartext schon im Speicher dieses abrufenden Clients) erst recht nicht.
Wenn schon technische Maßnahmen da wirkungsvoll einen Riegel vorschieben können, dann geht das wahrscheinlich nur via echter Verschlüsselung bzw. Hash-Werten. Und auch da gilt: ein zugreifender "freundlicher" Client muss sowas dann auch, mit den entsprechenden Gegenschlüsseln ausgerüstet, auch wieder entschlüsseln können. Die Technologien FOAF und XML Signature Syntax and Processing haben hierzu z.b. hier: und hier: ein paar vorbildhafte Ansätze, die man für HTML adaptieren könnte. Grundlage sind hierbei SHA1, RSA und DSA. HTML bietet solche Möglichkeiten bisher nicht an, diese beiden XML-Derivate dagegen wohl. FOAF als RDF-Anwendung mag nicht allzu bekannt und in Gebrauch und kein offiziell vom W3C verfolgter Standard sein, XML Signature ist es dagegen sehr wohl und seit Jahren an verschiedener Stelle bereits erfolgreich im Einsatz. Von diesen beiden Standards könnte HTML lernen, dafür setze ich mich u.a. innerhalb der HTML WG auch ein, bisher bietet HTML da keine Mechanismen an, der Benutzer ist alleingelassen mit dem Problem und kann dem Missbrauch seiner in Webinhalte eingebetteten email-Adresse keine wirklich wirkungsvollen Aktion entgegensetzen, die nicht irgendwann oder nach kurzer Zeit ausgehebelt werden kann.

Die einzige, derzeit wirklich wirkungsvolle Methode gegen missbräuchliches email-Harvesting von Webseiten ist, auf die Veröffentlichung von eMail-Adressen in HTML-Dokumenten im Sinne eines höheren Missbrauch-Schutzes zu verzichten bzw. sie möglichst klein zu halten. Oder es eben angesichts der Abwägung zwischen juristischen Notwendigkeiten einerseits und einer möglichst niedrig gehaltenen einschränkenden Nutzerfreundlichkeit. Und da alle bisher bekannten und in technisch dem derzeitigen Stand der Technik entsprechenden HTML-Dokumenten umsetzbaren Möglichkeiten gegen Missbrauch bisher keine echte wirkungsvolle Schranke bieten bzw. diese vielleicht mal angenommenen Schranken mittlerweile weitgehend überwunden sind, am Ende aber durch diese bisherigen Maßnahmen immer irgendwie eine mehr oder weniger spürbare Einschränkung der Gebrauchstauglichkeit (Usability) und Zugriffsmöglichkeit (Accessability) für den Benutzer einhergeht, sollte man überlegen, ob es dann nicht besser ist, auf derlei eigene Schutz-Mechanismen, deren Haltbarkeit inzwischen nur Sekundenbruchteile währt, vorerst ganz zu verzichten, um somit dem normalen Nutzer das Leben nicht unnötigerweise zu erschweren und wenigstens ihm ein ungetrübtes Nutzungserlebnis zu bescheren, wenn es schon nicht gelingt, mit bestehenden Mitteln dem Missbrauch einen wirksamen Schutz entgegenzusetzen, weil die bisherigen Brot-und-Butter-Technologien wie HTML/XHTML/ECMAScript (die, ja alle im Client-Browser des Anwenders laufen bzw. dort zusammengefügt werden) so einen Schutz gegen Missbrauch bisher z.B. gar nicht vorsehen. Dass sich das evtl. mal irgendwann ändert bzw. dass dafür der Standard angepasst wird und entsprechende Mittel dafür bereithält, dafür setze ich mich z.B. ein, ein guter Kandidat dafür ist HTML5 bzw. XHTML5, wo man was ändern könnte, denn dort wird sowieso im Grunde alles geändert und auf neue, zeitgemäße und zukunftsfähige Füße gestellt.
0
Stefan S.
Stefan S.04.12.0822:15
sierkb
Danke für die Infos!
0
yo
yo05.12.0801:01
sierkb
Also das ist ja nun wirklich mal ein Journal wert, auch wenn Du Hoffnungslosigkeit verbreitest...
Da Du offenbar weisst, wovon Du sprichst, würdest Du etlichen hier einen Gefallen tun, mal sortiert und strukturiert zu erzählen, was geht, wie es geht, (wo man es sich anlesen kann) und in welche Richtung man sich bewegen sollte, um diese Plage eindämmen zu können.

... So ein kleines Weihnachtsgeschenk für die MTN-Community ...

0
zar07.12.0812:52
Hallo,
ich habe seit ein paar Jahren Bot Trap auf meinen Seiten installiert.
Das Schöne: es funktioniert sowohl bei dynamischen als auch bei statischen Seiten.
Damit kann man sich captcha und den Hokus pokus um .htaccess - Ausschlüsse sparen.
Ein wirklich tolles Projekt. Automatische Updates sind selbstverständlich.
Seit ich Bot Trap laufen habe, gibt es keinen Spam mehr auf meinen Seiten. Fremde Seiten können auch die Inhalte nicht klauen und spiegeln.
Ein Logfile zeigt aktuell, welche bösen Spider abgelehnt wurden.

Viel mehr Infos hier:

Ich hoffe, diese Info ist nützlich für Euch.

LG
zar


0
chill
chill07.12.0813:20
kan man nicht einfach ein unsichtbares bild über das captcha legen? da denken diese harvester dann das da nix is und ziehen einfach weiter
„MBP M1 256/16 Monterey 12.1 . iPhone 11 128 GB, iOs 15.2“
0

Kommentieren

Diese Diskussion ist bereits mehr als 3 Monate alt und kann daher nicht mehr kommentiert werden.