Anti-Bot Maßnahmen

[fat-lobyte]

Hallo,
wie vielleicht einige User, aber auf jeden Fall alle Moderatoren mitbekommen haben, haben wir in letzter Zeit ein ziemliches Problem mit Bots.
Es gibt bei der Anmeldung zwar ein Captcha, dieses Funktioniert aber entweder nicht so gut, oder es sitzen irgendwo billige Arbeitskräfte die den ganzen Tag Captchas lösen.

Deswegen zwei Vorschläge von mir:ist
1. Einführung einer einfachen Frage, in deutschem Text, z.B. "Was ist Zwölf geteilt durch Drei?". Anscheinend lesen die meisten Bots keine Fragen die sie nicht kennen, außerdem würde das wahrscheinlich auch die meisten Billigarbeitskräfte ausnocken, denn man kann die Deutschsprachigen Länder wohl kaum als Billiglohnländer bezeichnen.
ACHTUNG: führt man das ein, beschränkt man das Forum praktisch auf Deutschsprachige Mitglieder. Auch wenn das zurzeit "sowieso" der Fall ist, ist es eine Bürde die nicht im Sinne dieses Forums

2. Einführung anderer Captchas: Wirkungslos gegen die Billigarbeiter, könnte aber bei Bots funktionieren. Mit Captchas ist das so ähnlich wie mit Viren: die Captchas werden Besser, die Bots werden besser, die Captchas werden Besser, die Bots werden Besser, ...
Um zumindest nicht dauerhaft auf der Verlierseite zu stehen könnte man einem Externen Anbieter vertrauen.
Hier Schlage ich (mit Vorbehalt) Google vor: reCaptcha ist ein Service von Google, bei dem (von OCR Software unlesbare) Wörter aus Büchern Präsentiert werden. Dabei werden zwei Wörter Präsentiert: ein Bekanntes, das bereits gelöst wurde und ein Unbekanntes. Ist das bekannte Wort Korrekt, so wird erstens der Zugang erlaubt, und zweitens das unbekannte Wort gespeichert (um für ein anderes Captcha verwendet zu werden).
Das ganze ist natürlich nicht ganz Eigennützig. Google versucht hier für OCR Software unlesbare Worte aus Büchern und Zeitschriften, die sie für Google Books digitalisieren durch Menschen lösen zu lassen.

Man kann sich natürlich alternativ nach anderen Anbietern umsehen. Auf jeden Fall ist das jetzige Captcha nicht ausreichend.

mfg, fat-lobyte

[nufan]

Relativ gut finde ich auch Sachen wie "Klicke in den offenen Kreis!" und es werden auf weißer Fläche mehrere Kreise dargestellt, von denen einer aber nicht geschlossen ist. Ich bin kein Fan von Captchas, da oft auch wirklich unlesbare Dinge dabei sind. Auch dieses Problem wird dadurch gelöst.
In wieweit hat man denn bei der Gestaltung der Anmeldungsseite freie Hand?

[Xin]

Hallo,
wie vielleicht einige User, aber auf jeden Fall alle Moderatoren mitbekommen haben, haben wir in letzter Zeit ein ziemliches Problem mit Bots.

Ich war die letzten Tage krankheitsbedingt nicht arbeiten und entsprechend auch wenig im Forum unterwegs. Ich gehe mal davon aus, dass die letzten Tage ganz normal waren mit dem Unterschied, dass ich nicht so regelmäßig aufgeräumt habe, wie sonst.

Als ich gerade ins Forum schaute, war auch das erste, was ich tat, einmal 'hardf*** ***' mit Links entfernen.

Deswegen zwei Vorschläge von mir:ist
1. Einführung einer einfachen Frage, in deutschem Text, z.B. "Was ist Zwölf geteilt durch Drei?". Anscheinend lesen die meisten Bots keine Fragen die sie nicht kennen, außerdem würde das wahrscheinlich auch die meisten Billigarbeitskräfte ausnocken, denn man kann die Deutschsprachigen Länder wohl kaum als Billiglohnländer bezeichnen.

Das ist eine ja bereits diskutierte, einfache Lösung.

ACHTUNG: führt man das ein, beschränkt man das Forum praktisch auf Deutschsprachige Mitglieder. Auch wenn das zurzeit "sowieso" der Fall ist, ist es eine Bürde die nicht im Sinne dieses Forums

Auch wenn der Engländer sich aus "Username" und "Passwort" vermutlich einen Reim machen kann, so ist er für die Registrierungsbedingungen entweder der deutschen Sprache mächtig um oder hat so oder so schon Schwierigkeiten.

Das macht mir wenig Sorgen.

2. Einführung anderer Captchas: Wirkungslos gegen die Billigarbeiter, könnte aber bei Bots funktionieren. Mit Captchas ist das so ähnlich wie mit Viren: die Captchas werden Besser, die Bots werden besser, die Captchas werden Besser, die Bots werden Besser, ...
Um zumindest nicht dauerhaft auf der Verlierseite zu stehen könnte man einem Externen Anbieter vertrauen.

Mein Vorschlag um das Problem schnell zu lösen wäre erstmal das Captcha abzuschalten.
Man zeigt es an. Und man schreibt daneben, dass man Siebenundvierzig-Elf als Ziffern eintragen soll und gut.
Gibt der User 4711 ein, wird er registriert, ansonsten gibt er das Captcha ein und nix is.

Die Google-Lösung gefällt mir nicht.

Relativ gut finde ich auch Sachen wie "Klicke in den offenen Kreis!" und es werden auf weißer Fläche mehrere Kreise dargestellt, von denen einer aber nicht geschlossen ist. Ich bin kein Fan von Captchas, da oft auch wirklich unlesbare Dinge dabei sind. Auch dieses Problem wird dadurch gelöst.
In wieweit hat man denn bei der Gestaltung der Anmeldungsseite freie Hand?

Damit kommen wir zum nächsten Problem:

Das Forum ist bisher unverändert. Nicht nur das, es ist auch veraltet. Das letzte Upgrade hat nicht geklappt. Ich muss hier also sowieso nochmal ran.
Das Problem ist letztendlich, dass Änderungen am Forum dazu führen, dass wir ein Problem bei den Updates bekommen.

Ich überlege, ob wir für phpBB nicht einen Fork machen sollten, wo wir zum einen die normale Entwicklung des Forums einpflegen und zum anderen das Forum nach Bedarf modifizieren können.
Dann können wir das Forum meinetwegen auf den Kopf stellen.

[Dirty Oerti]

Ist zwar nun schon etwas veraltet, der Thread hier, aber ich muss trotzdem meine Lösung mal vorbringen:
Mit einem kleinen Eingriff in die PHP Sourcen (2 Dateien) von phpBB kann man mit großer Wahrscheinlichkeit jeden Bot (außer er wird speziel für uns hier programmiert) abwehren.
Und zwar reicht es aus, den Aufbau der Registrierungsseite zu verändern. Das HTML Eingabeelement für die Emailadresse wird einfach unsichtbar gemacht und ein neues Eingabefeld mit einer anderen ID erstellt, in das der Benutzer dann seine Emailadresse einträgt.
Dann müssen nur beim Einlesen der Daten eben die Daten aus dem richtigen Feld genommen werden.
Man könnte sogar die Emailaddressen aus dem unsichtbaren Feld in der Sperrliste aufnehmen, da sich dort ja nur die Bots eintragen.
Versteht man mich?

Die Änderungen im Code sind nicht groß, das ganze habe ich schon an einem Testforum probiert.

[Xin]

Die Änderungen im Code sind nicht groß, das ganze habe ich schon an einem Testforum probiert.

Lass uns am Wochenende mal Skypen, obwohl da ziehst Du ja gerade um.
Also lass uns skypen, wenn Du angekommen bist.

Das installierte Forum ist eh veraltet, ich will das ganze in Subversion packen, Änderungen in Branches, so dass wir neue Forumversionen entsprechend patchen können. Dann machen wir das mal auf einer Testdomain wobei wir gleich die aktuelle Forenversion verbraten und dies hier aktualisieren.

Dann können wir uns auch daran begeben, das Forum so umzuarbeiten, dass wir Informationen ans Design übergeben können. Hier gibt's ja auch noch eine offene Baustelle.