Nehmt mir die Angst :(

[fiu]

Hi Leute
Ich habe ein Kontaktformular auf meiner Website und bekomme ununterbrochen (4-5x pro Stunde)

DIESE Nachricht:

name: grenlick
email: djbson44@gmail.com
nachricht: Jputyr http://www.xy73BsUuiapvk2nbv83nMmc7p.net

bitte sagt mir, dass das nichts zu bedeuten hat und btw... wenn jemand weiss was ich dagegen tun kann ..nur her damit

mfg fiu

[Cybergreek]

Wovor hast Du denn Angst? Was sollte das bedeuten?

Wenn es immer die gleiche Nachricht ist, kannst Du ja vor dem Versenden der E-Mail überprüfen welche E-Mail-Adresse eingetragen wurde und wenn es djbson44@gmail.com ist, dann die E-Mail nicht verschicken. Das wäre nur eine kurzfristige Lösung, aber so würdest Du Dir das Porto für die 4-5 E-Mails pro Stunde sparen

[fiu]

Aber ich möchte den ..Typen im Glauben lassen es hätte funktioniert .. weil sonst könnte er ja einfach die E-Mail ändern ...^^ .. was hat das alles überhaupt zu bedeuten .. wer ist das und warum schickt der mir ständig so eine komische Nachrichten ^^

[Cybergreek]

Du machst ja nur ein

Code:

if ($_REQUEST["email"] != "djbson44@gmail.com")
  mail(...);

Der Rest bleibt komplett gleich und derjenige der auf den Senden-Button klickt kriegt überhaupt nicht mit, ob die E-Mail versendet wurde oder nicht.

[fiu]

ok ... das werd ich zwar machen ... aber das ist wie ne aspirin .. die schmerzen sind weg aber die ursache nicht

[Cybergreek]

So is et. Deswegen hatte ich ja geschrieben, dass das nur eine kurzfristige Lösung ist.

Für die langfristige Lösung kannst Du Dich ja mal hier und hier einlesen

[wildmieze]

4-5x die Stunde ist doch eigentlich recht wenig für so eine "Attacke" - wenns bei meinen alten Formularen richtig losgeht, sinds locker 50 die Stunde .. nach ein oder zwei Tagen ist der Spuk meistens erstmal wieder vorbei ..

.. aber ich hab auch noch nicht rausgefunden, wo der Sinn dahinter liegt .. Bots, die irgendwas testen? ... keine Ahnung .. aber Angst braucht man da bei einem normalen Kontaktformular nicht zu haben^^

[max.m]

aber Angst braucht man da bei einem normalen Kontaktformular nicht zu haben

Naja, ganz so bedenkenlos würde ich es nicht sehen: vielleicht ist das Formular unsicher und wird zum SPAM-Versand missbraucht? Evtl. nimmt der Provider dann die Seite vom Netz wegen zu viel Traffic. Und evtl. hat man dann mit einer gewerblichen Seite auch einen ordentlichen Verdienstausfall...

[wildmieze]

Stimmt, daran hatte ich nicht gedacht^^

[maxi89]

Für die langfristige Lösung kannst Du Dich ja mal hier und hier einlesen

Ich vertrete da gerne und intensiv den Standpunkt: Es muss auch ohne Captcha gehen, denn ich bin werweißwieoft an übertrieben kniffligen Captcha-Codes gescheitert und brauchte 2-3 Versuche, bis ich etwas richtig entziffert hatte.
Dann lieber Schutz über die CSS-Ausblende-Methode (hat 99,6% aller Bots bei mir bisher gefiltert, bei 0% false positives) oder so Fragen, die testen, ob am anderen Ende Intelligenz sitzt - wie z.B. 5 Radiobuttons einfügen, per Zufallsprinzip einen mit rotem Hintergrund versehen und dem Benutzer sagen, er möge bitte den roten Radiobutton aktivieren.

[Levis]

CSS-Ausblende-Methode (hat 99,6% aller Bots bei mir bisher gefiltert, bei 0% false positives) .

Hast Du einen Link?

[maxi89]

Die CSS-Methode?

Ich meine sogar, es wäre mal hier im TP in einem Tutorial erwähnt worden, finde den Thread aber gerade nicht.
Aber ich kann das ja mal eben kurz rezitieren:

Also angenommen, du hast ein Formular mit den Feldern "name", "email" und "message".
Da fügst du jetzt einfach irgendwo zwischen den anderen Feldern ein neues Textfeld mit dem Namen "website" hinzu - der Name sollte den Bot animieren, etwas hineinzuschreiben und "website" ist sowas
Der Code sähe dann so aus:

HTML-Code:

<form name.....>
<input type="text" name="website" class="form_url" value="">
</form>

Jetzt fügst du zu deinem restlichen CSS-Code die Klasse "form_url" hinzu:

HTML-Code:

.form_url
{
   visibility: hidden;
   display: none;
}

Damit wird dieses Eingabefeld jetzt ausgeblendet und ist für den Benutzer eines normalen Webbrowsers nicht mehr sichtbar. Für Bots, die ja bloß den Quelltext und keine gerenderte Ansicht sehen, existiert dieses Eingabefeld weiterhin und wenn der Name interessant genug ist, wird der Bot dort auch was eintragen.
Die haben nämlich offensichtlich eine Art Liste, in welche Felder mit welchen Namen was eingetragen werden soll

Jetzt müssen wir in unserem Formularcode nur noch abfragen, ob unser verstecktes und durch den Benutzer nicht änderbares Feld auf einmal Text enthält - hier Beispielsweise in PHP:

PHP-Code:


if(strlen(trim($_POST['form_url'])) > 0)
{
   // Aaaaha! Der Bot hat was eingetragen, jetzt platzt der Mond!!!
} 


False Positives - also versehentliches Aussortieren echter Anfragen - ist nahezu vollständig ausgeschlossen, denn diese CSS-Anweisungen gibt es nicht erst seit gestern und bisher hat das auch in jedem Browser funktioniert.
Wer ganz sicher gehen will, erzeugt ein Label für dieses Eingabefeld, weist ihm die selbe CSS-Klasse zu und schreibt darein, dass das nebenstehende Feld bitte unbedingt und unter allen Umständen um Gottes Willen absolut leer gelassen werden muss

[fiu]

also das hört sich für mich fast besser an als diese captcha geschichte .. denn auch ich bin schon das ein oder andere mal beim entziffern verzweifelt ^^

[wildmieze]

japp, die Methode scheint gut zu funktionieren .. hab ich letztens eher durch Zufall bei einem Kunden eingebaut - so nach dem Motto: Guck mal, die ganzen Spam-Dinger füllen das Feld aus, daß wir ausgeblendet haben! - Echt? Cool. Das können wir abfragen^^ .. seitdem ist Ruhe
... trotzdem ist das Formular noch anderweitig gesichert .. ich weiß nicht, ob die CSS-Methode ausreicht, um unbemerkten Massen-Spam über das Script verhindern zu können ..

[Andrea_S]

Die Captchas sind für Menschen mit Sehbehinderung kein willkommenes Mittel. Da finde ich einfache Fragestellungen mit einer Zahl als Antwort benutzerfreundlicher.