expertenaustausch > comm.software.* > comm.software.webserver

Heiko Wetteborn (28.11.2017, 16:33)
Hallo Leute,
ich stehe auf dem Schlauch.

Ich habe in der .htaccess Folgendes stehen:
ErrorDocument 400 /error/400.php

ErrorDocument 401 /error/401.php

ErrorDocument 403 /error/403.php

ErrorDocument 404 /error/404.php
ErrorDocument 500 /error/500.php

<Limit GET POST>
Order allow,deny
allow from all
deny from .ru
deny from .pl
deny from .ua
deny from .cn
deny from .jp
deny from .in
deny from 148.251
deny from 148.252
deny from 148.253

</Limit>

Ich habe das Problem, dass ich ständig von Besuchern aus .ru besucht
werde, die dann auch noch Spams ins Gästebuch eintragen können. Aber
auch ein Kumpel, der definitiv in Deutschland wohnt, kommt auf die
Website nicht drauf, weil sie angeblich gesperrt ist. Dabei erhält er
nicht die Fehlerseite error403.php, wie sie oben beschrieben ist,
sondern eine völlig andere Website. Er hat die IP-Adresse
91.106.171.179, die definitiv aus Deutschland ist.

Wo mache ich eigentlich einen Fehler in der .htaccess-Datei?
Trage ich ein
deny from 71.70.x.y in die .htaccess ein, welches meine eigene
IP-Adresse ist, habe ich mich mittels Webbrowser ordnungsgemäß ausgesperrt.

Gruß
Heiko
Andreas Kohlbach (28.11.2017, 23:32)
On Tue, 28 Nov 2017 15:33:23 +0100, Heiko Wetteborn wrote:

[...]

> Ich habe das Problem, dass ich ständig von Besuchern aus .ru besucht
> werde, die dann auch noch Spams ins Gästebuch eintragen können.


Hast du Captures für das Gästebuch? Wenn nicht, würde ich die einfügen.
Sebastian Suchanek (29.11.2017, 07:34)
Am 28.11.2017 um 22:32 schrieb Andreas Kohlbach:
> On Tue, 28 Nov 2017 15:33:23 +0100, Heiko Wetteborn wrote:
> [...]
>> Ich habe das Problem, dass ich ständig von Besuchern aus .ru besucht
>> werde, die dann auch noch Spams ins Gästebuch eintragen können.

> Hast du Captures für das Gästebuch? Wenn nicht, würde ich die einfügen.


Kann es sein, dass Du Captchas meintest?
Falls ja: die mögen helfen, die Spam-Flut etwas einzudämmen, ein
Allheilmittel sind sie aber nicht. BTDT.

BTW: Was IMHO ebenfalls einen guten Beitrag zur Spam-Bekämpfung in
Gästebüchern leistet: Nicht nur auf ein paar fixe IP-Adressbereiche
filtern, sondern auch auf TOR Exit Nodes[1]. Man muss halt als
Gästebuchbetreiber abwägen, wie wichtig einem Einträge von legitimen
TOR-Nutzer sind. Das gilt aber analog auch für Captchas, die häufig z.B.
Blinde de facto ausschließen.

Tschüs,

Sebastian

_____
[1]
Heiko Wetteborn (29.11.2017, 07:58)
Am 29.11.2017 06:34, schrieb Sebastian Suchanek:
[..]
> Blinde de facto ausschließen.
> Tschüs,
> Sebastian

Also Captchas sind definitiv kein Mittel gegen Spamflut. Es gibt
mittlerweile einige Tools, diese unerwünschten und schlechtlesbaren
Bildchen automatisch lösen zu lassen. Siehe hier nur mal unter dem
Stichpunkt "Webvisum" und "Romula".
Beide Tools werden augenscheinlich mittlerweile auch bei Spambots
eingesetzt.

Ich habe das Problem erstmal so gelöst, dass ich jeden Gästebucheintrag
explizit freischalten muss. Dazu erhalte ich in einem PHP-Script alle
noch nicht freigeschalteten Gästebucheinträge in einer Liste und kann
für jeden Eintrag wählen, ob er freigeschaltet oder gelöscht werden soll.
Am Ende der Lilste findet sich dann der Button "bearbeiten" und den Rest
macht dann das Script. Einträge, die zum löschen vorgemerkt sind, werden
gelöscht und die Einträge, die zum freischalten vorgemerkt sind, werden
freigeschaltet und erscheinen dann auch im Gästebuch.

Das geht eigentlich ganz flott, wenn ich mich einmal am Tag da ran setze
und die Einträge entsprechend bearbeite.

In einem früheren Gästebuch auf einer anderen Website habe ich dem
Absender des GB-Eintrages eine eMail geschickt. In dieser eMail war ein
Link zum Freischalten seines GB-Eintrages. Wenn er seinen GB-Eintrag
nach 48 Stunden nicht freigeschaltet hat, wurde der Eintrag komentarlos
gelöscht. Das ist in der Regel dann geschehen, wenn der Absender gar
keine eMail bekommen hat, weil es sie z. B. gar nicht gibt. Dann kann er
den Link in der eMail natürlich auch nicht anklicken.

Dennoch würde es sehr nützlich sein, einige Länder aus der Website
konsequent auszusperren.

Gruß
Heiko
Andreas Kohlbach (29.11.2017, 23:30)
On Wed, 29 Nov 2017 06:34:51 +0100, Sebastian Suchanek wrote:
> Am 28.11.2017 um 22:32 schrieb Andreas Kohlbach:
> Kann es sein, dass Du Captchas meintest?


Ja. Blöde Rächtschraiphülfe wollte das korrigieren. Ich sollte besser
aufpassen.

> Falls ja: die mögen helfen, die Spam-Flut etwas einzudämmen, ein
> Allheilmittel sind sie aber nicht. BTDT.


Ist Google's Recaptcha <https://www.google.com/recaptcha/> nicht recht
gut? Ich habe kaum Spam auf meinen Formularen.

Captchas helfen natürlich nicht, wenn Spammer Arbeiter in Indien oder
China anheuern, die nichts anderes machen, als Captchas manuell zu lösen.
Sebastian Suchanek (29.11.2017, 23:47)
Am 29.11.2017 um 22:30 schrieb Andreas Kohlbach:
> On Wed, 29 Nov 2017 06:34:51 +0100, Sebastian Suchanek wrote:
> Ja. Blöde Rächtschraiphülfe wollte das korrigieren. Ich sollte besser
> aufpassen.
> Ist Google's Recaptcha <https://www.google.com/recaptcha/> nicht recht
> gut? Ich habe kaum Spam auf meinen Formularen.
> [...]


Ich will mal so sagen: Ich habe zwei prinzipiell identische Gästebücher
auf zwei verschiedenen Seiten - eins mit Google ReCaptcha, das andere
gänzlich ohne Captcha. Anfangs war das Captcha eine Verbesserung, aber
seit spätestens 6-12 Monaten kann ich keinen spürbaren Unterschied
zwischen den beiden Gästebüchern mehr feststellen.

Tschüs,

Sebastian
Andreas Kohlbach (30.11.2017, 01:20)
On Wed, 29 Nov 2017 22:47:53 +0100, Sebastian Suchanek wrote:
> Am 29.11.2017 um 22:30 schrieb Andreas Kohlbach:
> Ich will mal so sagen: Ich habe zwei prinzipiell identische Gästebücher
> auf zwei verschiedenen Seiten - eins mit Google ReCaptcha, das andere
> gänzlich ohne Captcha. Anfangs war das Captcha eine Verbesserung, aber
> seit spätestens 6-12 Monaten kann ich keinen spürbaren Unterschied
> zwischen den beiden Gästebüchern mehr feststellen.


Ist Recaptcha gebrochen? Man muss ja aus Bildern Dinge, wie Autos,
Verkehrszeichen und anderes erkennen, und die Felder, in denen die
vorkommen, markieren. Oftmals schlägt das fehl, und man muss das mehrfach
machen. Ich stelle mir es schwer vor, das Erkennen zu automatisieren.

X'post + F'up de.comp.security.misc
Ähnliche Themen