|
| Spambeskyttelse i HTML ??? Fra : Lars J. Helbo, DK |
Dato : 30-04-08 14:31 |
|
En bekendt har en hjemmeside med en kontaktformular, hvorfra han
modtager en masse spam. Han har bedt mig om hjælp og jeg har kigget
lidt på det.
Desværre viser det sig, at siden ligger på et webhotel uden hverken
PHP eller ASP (til 40 kr/måned for 100 mb plads og ingen særlige krav
til noget som helst - fat det hvem der kan). Den rigtige løsning er
naturligvis at flytte hele siden til en anden udbyder, spare 30
kr/måned og så lave en Captcha-løsning i PHP.
Men før vi nu går i gang med det lille projekt. Er der noget som
helst, der kan laves? Jeg har altså sådan set kun HTML og JavaScript
til rådighed.
| |
Kim Ludvigsen (30-04-2008)
| Kommentar Fra : Kim Ludvigsen |
Dato : 30-04-08 15:01 |
|
Lars J. Helbo, DK skrev:
> En bekendt har en hjemmeside med en kontaktformular, hvorfra han
> modtager en masse spam. Han har bedt mig om hjælp og jeg har kigget
> lidt på det.
>
> Desværre viser det sig, at siden ligger på et webhotel uden hverken
> PHP eller ASP
Der må være en eller anden form for serversidesprog, ellers
ville kontaktformularen ikke virke. Men ok, det kan
selvfølgelig være et færdigt script, som han ikke kan ændre i.
> Men før vi nu går i gang med det lille projekt. Er der noget som
> helst, der kan laves? Jeg har altså sådan set kun HTML og JavaScript
> til rådighed.
Nej, det er ikke muligt at lave en sikring i html eller
JavaScript i formularen. Hvis han vil beholde sit nuværende
webhotel, kan han overveje at udskifte formularen med en
mailadresse, der kan beskyttes mere eller mindre effektivt
med html/JavaScript.
--
Mvh. Kim Ludvigsen
Læs om nyhedsgrupperne, hvordan de opstod, hvordan de
bruges, og læs også et interview med en af superbrugerne.
http://kimludvigsen.dk
| |
Stig Johansen (30-04-2008)
| Kommentar Fra : Stig Johansen |
Dato : 30-04-08 15:01 |
|
Lars J. Helbo, DK wrote:
> En bekendt har en hjemmeside med en kontaktformular,
....
> Desværre viser det sig, at siden ligger på et webhotel uden hverken
> PHP eller ASP
Mig bekendt kan man ikke have nogensomhelst fungerende ting som
kontaktformularer uden serverside.
Hvis du skal have ideer, bliver du nok nødt til at forklare hvordan
kontaktformularen er strikket sammen.
Er det et eller andet formmail - 'ting'?
--
Med venlig hilsen
Stig Johansen
| |
Lars J. Helbo, DK (30-04-2008)
| Kommentar Fra : Lars J. Helbo, DK |
Dato : 30-04-08 16:19 |
|
On Wed, 30 Apr 2008 15:30:45 +0200, "Lars J. Helbo, DK" <mig@her.com>
wrote:
>En bekendt har en hjemmeside med en kontaktformular, hvorfra han
Tak for svarene. Det var også hvad jeg havde tænkt; men det kunne jo
være, at der fandtes et fif, som jeg ikke kendte.
Ja, det fungerer simpelthen med et færdigt cgi-script, som udbyderen
stiller til rådighed, og hvor der ikke rigtigt kan ændres noget. Så må
jeg forklare ham, at han kan få det både bedre og billigere.
| |
Bertel Lund Hansen (30-04-2008)
| Kommentar Fra : Bertel Lund Hansen |
Dato : 30-04-08 16:40 |
|
Lars J. Helbo, DK skrev:
> Ja, det fungerer simpelthen med et færdigt cgi-script, som udbyderen
> stiller til rådighed, og hvor der ikke rigtigt kan ændres noget. Så må
> jeg forklare ham, at han kan få det både bedre og billigere.
Eller spørge udbyderen hvorfor han har lavet en spammaskine.
--
Bertel
http://bertel.lundhansen.dk/ FIDUSO: http://fiduso.dk/
| |
Lars J. Helbo, DK (30-04-2008)
| Kommentar Fra : Lars J. Helbo, DK |
Dato : 30-04-08 19:43 |
|
On Wed, 30 Apr 2008 17:39:39 +0200, Bertel Lund Hansen
<unospamo@lundhansen.dk> wrote:
>Eller spørge udbyderen hvorfor han har lavet en spammaskine.
Ja, det kan der være noget om. Men så er der jo også det med prisen.
Det er en meget simpel foreningshjemmeside med 7 html-sider og en del
billeder. Den kan altså fint ligge hos B-One, Cliche eller Web10 til
en fjerdedel af prisen og incl. php og MySQL, så man kan lave noget
fornuftigt.
Hvis man stiller sådan et spørgsmål til nuværende udbyder, vil han
sikkert også bare foreslå, at man opgraderer webhotellet. Han har jo
også 100 mb med php. Det koster så bare 75 kr/måned .....
| |
Erik Ginnerskov (30-04-2008)
| Kommentar Fra : Erik Ginnerskov |
Dato : 30-04-08 22:52 |
| | |
Rune Jensen (30-04-2008)
| Kommentar Fra : Rune Jensen |
Dato : 30-04-08 20:04 |
|
On 30 Apr., 23:52, "Erik Ginnerskov" <erik.ginners...@live.dk> wrote:
> Lars J. Helbo, DK wrote:
>
> > Han har jo
> > også 100 mb med php. Det koster så bare 75 kr/måned .....
>
> Det er sgu da optrækkeri. Du nævnte selv et par mulige udbydere, jeg kan
> foreslå unoeuro.com, de har også en fornuftig prissætning og leverer et
> kvalitetsprodukt.
Eneste minus ved UnoEuro er, at de ikke har slået automatisk link fra
i statistikken over referrers - hvilket ikke er smart for begyndere,
som risikerer alt muligt skrammel installeret, hvis de klikker på det
forkerte link. Iflg. awstats forum kan man klare det med en setting af
en variabel. Jeg har skrevet til UnoEuro, men de påstår, de ikke kan
ændre det.
Ellers enig, ja, det er et super stabilt produkt til prisen, og så kan
jeg godt lide deres brugervenlige abonnementsbetingelser. Man skal så
bare holde nallerne fra links i statistikken, som man ikke 100% ved
hvad er.
MVH
Rune Jensen
--
Cent (feat. Akon) - Still Will
DJ Tïesto - Adagio for Strings
Milk Inc. - Go to Hell (Very Extended)
http://www.mmradio.se/
| |
fix (01-05-2008)
| Kommentar Fra : fix |
Dato : 01-05-08 20:01 |
|
Jeg forstår ikke helt problemet!
Er det ikke en formular du har lavet?
Det SPAM du får, er det sendt fra formularen?
hvis ja, er din formular lavet forkert, uden sikkerhed.
Det SPAM du får, er det sendt fra et utal SPAMMERE til den email du har
angivet i formularen.
hvis ja, er emailen skrevet i klartsprog i formularen, og derfor "høstet"
af spammere.
Måden jeg har løst det på er, at sikre at emailadressen ikke kan læses af
høstmaskiner, og at formularen sendes til en konto, som kun modtager mail
fra formularen. Der er forskellige værktøjer til dette, afhængig af sine
apps. Det optimale er et serverside mailscript, som checker på en hidden
variabel fra formularen og sender til en mailboks med en regel som ikke
accepterer mails med forkert afsender eller subject.
Husk at vælge ny mailadresse når du laver det om, da den eksisterende
åbenbart er kompromiteret.
finn
| |
Bertel Lund Hansen (01-05-2008)
| Kommentar Fra : Bertel Lund Hansen |
Dato : 01-05-08 20:25 |
| | |
fix (01-05-2008)
| Kommentar Fra : fix |
Dato : 01-05-08 20:58 |
|
Bertel Lund Hansen wrote:
> fix skrev:
>
>> Jeg forstår ikke helt problemet!
>
> Nej, det fremgår.
fair nok svar. - korriger mig p'se!
>En bekendt har en hjemmeside med en kontaktformular, hvorfra han
>modtager en masse spam. Han har bedt mig om hjælp og jeg har kigget
>lidt på det.
Hvordan "modtager man en masse spam fra en kontaktformular"?
er der en som sidder og udfylder den og trykker send [mere eller mindre
automatisk]?
finn
| |
Bertel Lund Hansen (01-05-2008)
| Kommentar Fra : Bertel Lund Hansen |
Dato : 01-05-08 21:35 |
|
fix skrev:
> Hvordan "modtager man en masse spam fra en kontaktformular"?
> er der en som sidder og udfylder den og trykker send [mere eller mindre
> automatisk]?
Ja, det gør en spambot. Det er ligegyldigt om man kamuflerer
mailadressen fordi botten bare bruger formularen.
Løsningen består i at lave et hidden felt som hedder noget
indbydende som f.eks. "emailaddress" og så skal scriptet tjekke
at feltet *ikke* er udfyldt.
Men det hjælper alt sammen intet når man ikke kan rette i
afsenderscriptet.
--
Bertel
http://bertel.lundhansen.dk/ FIDUSO: http://fiduso.dk/
| |
fix (02-05-2008)
| Kommentar Fra : fix |
Dato : 02-05-08 06:51 |
|
Bertel Lund Hansen wrote:
> fix skrev:
>
>> Hvordan "modtager man en masse spam fra en kontaktformular"?
>> er der en som sidder og udfylder den og trykker send [mere eller
>> mindre automatisk]?
>
> Ja, det gør en spambot. Det er ligegyldigt om man kamuflerer
> mailadressen fordi botten bare bruger formularen.
>
> Løsningen består i at lave et hidden felt som hedder noget
> indbydende som f.eks. "emailaddress" og så skal scriptet tjekke
> at feltet *ikke* er udfyldt.
>
> Men det hjælper alt sammen intet når man ikke kan rette i
> afsenderscriptet.
ok, - jeg havde trods alt forstået det meste, så derfor havde jeg selv den
med hidden field med
Jeg har bare aldrig selv rendt ind i det problem, og jeg har stadig
formularer liggende på 6' år.
Jeg har forstået at selve formularen kan redigeres. Kan min manglende
erfaring med de spambotter så skyldes, at jeg altid har flere felter som
skal udfyldes inden der udføres afsendelse(JS), og det klarer botten ikke?
finn
| |
Leonard (02-05-2008)
| Kommentar Fra : Leonard |
Dato : 02-05-08 07:13 |
|
On Thu, 01 May 2008 22:35:14 +0200, Bertel Lund Hansen wrote:
> Løsningen består i at lave et hidden felt som hedder noget
> indbydende som f.eks. "emailaddress" og så skal scriptet tjekke
> at feltet *ikke* er udfyldt.
Det hjælper ikke altid, nogen spambotter oplæres til at udfylde fleterne
korrekt eller undlade at udfylde dem.
--
Leonard
Hellere komme for sent i dette liv
end for tidligt til det næste ...
| |
Bertel Lund Hansen (02-05-2008)
| Kommentar Fra : Bertel Lund Hansen |
Dato : 02-05-08 07:25 |
|
Leonard skrev:
> Det hjælper ikke altid, nogen spambotter oplæres til at udfylde fleterne
> korrekt eller undlade at udfylde dem.
Jeg kan gå med til at de kan aflæse parametern hidden og så
undlade at udfylde feltet.
Hvis det ikke er skjult, har de ingen chance for at gætte hvordan
det skal udfyldes korrekt medmindre webmasteren har givet
felterne sigende og korrekte navne på et sprog som botterne
forstår.
Jeg bryder mig ikke om de løsninger der generer brugeren, men man
kan måske blive tvunget til at vælge sådan en hvis en
brugervenlig ikke klarer problemet.
En generende løsning indbefatter at brugeren skal skrive noget
der for ham er aldeles irrelvant. Der er nogle der viser et rodet
billede af nogle bogstaver man skal kopiere. På dansk kan man
f.eks. også bede brugeren om at skrive navnet på et dyr der
bræger.
--
Bertel
http://bertel.lundhansen.dk/ FIDUSO: http://fiduso.dk/
| |
fix (02-05-2008)
| Kommentar Fra : fix |
Dato : 02-05-08 07:52 |
|
Bertel Lund Hansen wrote:
> Leonard skrev:
>
>> Det hjælper ikke altid, nogen spambotter oplæres til at udfylde
>> fleterne korrekt eller undlade at udfylde dem.
>
> Jeg kan gå med til at de kan aflæse parametern hidden og så
> undlade at udfylde feltet.
>
> Hvis det ikke er skjult, har de ingen chance for at gætte hvordan
> det skal udfyldes korrekt medmindre webmasteren har givet
> felterne sigende og korrekte navne på et sprog som botterne
> forstår.
Er der nogen brugbar test mod sådanne bots?
Jeg mener, hvis jeg laver en side, hvordan tester jeg om en bot kan udfylde
den?
Når den så er "angrebet" kan jeg forsøge forskellige tiltag, og konstatere
om de virker.
Iøvrigt har jeg ikke noget imod de løsninger med et grafisk billede på 4
bogstaver som skal skrives ind, og den må da være ret effektiv. Jeg kan dog
ikke gennemskue om det kræver serverside, eller kan nøjes med JS
men et rnd() 3cifret tal i JS, som skal indtastes i et bestemt felt må da
også være temmeligt effektivt!
finn
| |
Bertel Lund Hansen (02-05-2008)
| Kommentar Fra : Bertel Lund Hansen |
Dato : 02-05-08 09:50 |
|
fix skrev:
> Er der nogen brugbar test mod sådanne bots?
Ja. Sæt en formular op med metoden og se om du får spam.
> Iøvrigt har jeg ikke noget imod de løsninger med et grafisk billede på 4
> bogstaver som skal skrives ind, og den må da være ret effektiv.
Der findes et program der kan knække ca. 90 % af den slags.
> men et rnd() 3cifret tal i JS, som skal indtastes i et bestemt felt må da
> også være temmeligt effektivt!
Det tal er du jo nødt til at offentliggøre, og så kan botten læse
det - hvis du da ikke skriver:
Læg syv og ni sammen og skriv resultatet
med bogstaver i feltet.
Jeg gad godt se den bot der kan løse det problem.
--
Bertel
http://bertel.lundhansen.dk/ FIDUSO: http://fiduso.dk/
| |
Leonard (02-05-2008)
| Kommentar Fra : Leonard |
Dato : 02-05-08 08:15 |
|
On Fri, 02 May 2008 08:24:40 +0200, Bertel Lund Hansen wrote:
>> Det hjælper ikke altid, nogen spambotter oplæres til at udfylde fleterne
>> korrekt eller undlade at udfylde dem.
>
> Jeg kan gå med til at de kan aflæse parametern hidden og så
> undlade at udfylde feltet.
Det var den første metode jeg fik hacket. Så indsatte jeg en værdi i
feltet, som skulle være den samme og problemet forsvandt i en periode.
Så fandt spambotten ud af at dette felt skulle indeholde det rigtige.
Løsningen er dog til at overse, for jeg skifter bare indholdet ud, når
der begynder at komme spam, så går der lang tid før en ny har fundet ud
af det.
--
Leonard
Hellere komme for sent i dette liv
end for tidligt til det næste ...
| |
Bertel Lund Hansen (02-05-2008)
| Kommentar Fra : Bertel Lund Hansen |
Dato : 02-05-08 09:48 |
|
Leonard skrev:
> Så fandt spambotten ud af at dette felt skulle indeholde det rigtige.
Vil du beskrive præcis hvordan det var implementeret? Stod der
f.eks. det rigtige ved siden af feltet som så bare skulle
kopieres?
Prøv at give en dansk forklaring i stil med det jeg skrev før.
Det overrasker mig lidt at botterne har fået kunstig intelligens.
--
Bertel
http://bertel.lundhansen.dk/ FIDUSO: http://fiduso.dk/
| |
Leonard (02-05-2008)
| Kommentar Fra : Leonard |
Dato : 02-05-08 12:31 |
|
On Fri, 02 May 2008 10:47:48 +0200, Bertel Lund Hansen wrote:
>> Så fandt spambotten ud af at dette felt skulle indeholde det rigtige.
>
> Vil du beskrive præcis hvordan det var implementeret? Stod der
> f.eks. det rigtige ved siden af feltet som så bare skulle
> kopieres?
Først havde jeg et felt:
<input type='hidden' name='email' value=''>
Det virkede fint, sålænge spambotten smed det samme i alle de felter,
den kunne finde, men på et tidspunkt holdt den op med at udfylde det
felt og så kom der spam igennem.
Så ændrede jeg det til:
<input type='hidden' name='email' value='mailadresse'>
hvor mailadresse var en valid mailadresse, som skulle være den rigtige.
det fandt spambotten også ud af, men løsningen er at skifte mailadresse
ud med noget andet en gang imellem, når der begynder at komme spam.
> Det overrasker mig lidt at botterne har fået kunstig intelligens.
Måske har der været et menneske inde og kigge, det ved jeg ikke, jeg
kender ikke spammernes metoder.
--
Leonard
Hellere komme for sent i dette liv
end for tidligt til det næste ...
| |
Stig Johansen (02-05-2008)
| Kommentar Fra : Stig Johansen |
Dato : 02-05-08 16:28 |
|
Bertel Lund Hansen wrote:
> Det overrasker mig lidt at botterne har fået kunstig intelligens.
Det har de heller ikke (endnu).
De har formentlig en eller anden associationsliste med feltnavne, der bliver
brugt til udfyldelse.
Til nød måske lidt fuzzy logik eller måske bare en soundex.
--
Med venlig hilsen
Stig Johansen
| |
fix (02-05-2008)
| Kommentar Fra : fix |
Dato : 02-05-08 10:46 |
|
Leonard wrote:
> On Fri, 02 May 2008 08:24:40 +0200, Bertel Lund Hansen wrote:
>
>>> Det hjælper ikke altid, nogen spambotter oplæres til at udfylde
>>> fleterne korrekt eller undlade at udfylde dem.
>>
>> Jeg kan gå med til at de kan aflæse parametern hidden og så
>> undlade at udfylde feltet.
>
> Det var den første metode jeg fik hacket. Så indsatte jeg en værdi i
> feltet, som skulle være den samme og problemet forsvandt i en periode.
> Så fandt spambotten ud af at dette felt skulle indeholde det rigtige.
> Løsningen er dog til at overse, for jeg skifter bare indholdet ud, når
> der begynder at komme spam, så går der lang tid før en ny har fundet
> ud af det.
det var lidt i den stil, jeg forestillede mig måtte være relativt effektivt.
et sted på siden står der at Marie er [variabel(rnd) 0-99]
indtast nøglefelt: hvor gammel er Marie?
men selvfølgeligt hurtigt gennemskuet med en form for intelligens!
finn
| |
|
|