Datensicherheit im Forum

Begonnen von das Berstl, April 13, 2012, 00:40:08 VORMITTAG

Vorheriges Thema - Nächstes Thema

das Berstl

Nachdem heute und vor einigen Tagen automatische Spamverteiler Accounts im Forum angemeldet haben und hier massenhaft Müll gestreut, haben zweifle ich arg an den Sichervorkehrungen.

Adrian

Hallo Berstl,

Kannst konkrete Zweoifel benennen?

Wir tun alles was uns zur Verfügung steht, um das Forum so sicher wie möglich zu halten:

* Software aktualisieren
* Zur Registrierung ein Captcha abfragen
* Neue Nutzer müssen einen Bestätigungslink in einer E-Mail klicken
* Daneben haben wir ein Modul installiert, welches neue Nutzer gegen eine entfernte Datenbank prüft, dieses blockt am Tag gefühlte über 100 Botregistrierungen
* Die E-Mailadresse von Nutzern wird standardmäßig versteckt

Leider kommt es halt hin  und wieder  trotzdem vor, dass ein Bot durchkommt. Wenn du weitere Maßnahmen kennst, immer her damit.

Captain

Das passiert ständig. Und wir räumens dann auf.
Der Witz ist, ganz egal wie gut Sicherheitsmechanismen sind: über kurz oder lang findet ein Bot drüber hinweg und spamt. Stärkere Sicherheitsvorkehrungen sind aber oft (wenn auch keinesfalls immer) mit zusätzlichen Einschränkungen oder Erschwernissen für reguläre Benutzer verbunden.
Ein cooles Captcha kann es Spambots schwerer machen und für ne Weile für Ruhe sorgen. Aber eben nicht für ewig und während dessen kämpfen reguläre User sich die Augen wund um den Sinn aus dem Kauderwelsch zu erkennen, um ihre Anmeldung durchzubekommen. Im Extremfall läßt man gar keine Anmeldungen zu und schließt die Bots damit aus, aber eben auch alle regulären Benutzer. Das kanns aber irgendwie auch nicht sein. Schließlich wollen wir ja eigentlich neue Leute in unserer Community.

Ums zusammenzufassen: MIR ist es deutlich lieber, immer mal wieder Dreck wegzukehren, als daß ich interessierte Rollenspieler wegen technischer Probleme ausgeschlossen sehen möchte.
Spielertyp nach Robin D. Laws: Storyteller 100%, Method Actor 92%, Tactician 75%, Specialist 50%, Butt-Kicker 50%, Casual Gamer 12%, Power Gamer 0%
NSC-Code: LE+MP-ST-FF0KO+!AG+IN0RR-!AT/PA+!EP0GP0PSI-MTF0PAIN-HdR-I

Gawain

In einem anderen Forum (phpbb) habe ich noch ein Modul installiert, welches den Namen der Login-Eingabefelder
im HTML auf zufällige Werte ändert. Die heissen also nicht mehr input[password] sondern input[346gsg8346363]
und interessanterweise hatten wir seit dem keinen einzigen Bot mehr im Forum. Vllt gibt es sowas auch für das SMF.

stuvar

Was dann aber auch den Nachteil bringt, dass man Passwörter nicht mehr im Browser speichern kann. Aber damit kann ich gut leben, zumal man ja auch eingeloggt bleiben kann.

Sandol

Zitat von: stuvar in April 14, 2012, 10:00:52 VORMITTAG
Was dann aber auch den Nachteil bringt, dass man Passwörter nicht mehr im Browser speichern kann. Aber damit kann ich gut leben, zumal man ja auch eingeloggt bleiben kann.
Also ich könnte damit nicht leben - ich will nicht dauerhaft angemeldet bleiben in gefühlten 30 Foren, sondern nutze eben genau diese Möglichkeit... Sehe ich persönlich nicht als Lösung an.
Regelst du noch oder LARPst du schon?

Captain

Na aber, wenn man nicht angemeldet bleiben will (zu deutsch keinen Anmeldecookie im Browser speichern möchte) warum sollte man dann ausgerechnet sein Passwort im Browser speichern wollen? Das erscheint mir wiedersinnig.
Letztlich ist das aber ein weiteres Beispiel, daß das Erschweren von Zugängen für Spambots auch immer Einschränkungen für reguläre Nutzer mitbringt.

@Gawein: kannst du den Namen des Moduls nennen oder hast du sogar nen Link dazu? Das wird das Suchen nach etwas vergleichbaren fürs SMF vermutlich deutlich leichter machen.
Spielertyp nach Robin D. Laws: Storyteller 100%, Method Actor 92%, Tactician 75%, Specialist 50%, Butt-Kicker 50%, Casual Gamer 12%, Power Gamer 0%
NSC-Code: LE+MP-ST-FF0KO+!AG+IN0RR-!AT/PA+!EP0GP0PSI-MTF0PAIN-HdR-I

Adrian

Die Idee eines solchen Mods finde ich gut, konnte aber leider auf Anhieb keins in die Richtung finden.

Gawain

Ah, ich habe da was  verwechselt: es ändert den Namen des Captcha-Feldes und dessen Länge. Es wird den Bots also erschwert, die Anmeldung auszufüllen. Passwort-Speicherung funktioniert also weiterhin. Das Modul für phpbb3 heisst daroPL_AntiSpam (daroPL_AntiSpam_1_4_1.zip).

das Berstl

Gut, was ich hier lese beruhigt mich dann doch, irgendwie...

Also zumindest das, was ich verstehe.

Captain

Wenns Dinge gibt, die unverständlich erscheinen, dann frag nach.
Spielertyp nach Robin D. Laws: Storyteller 100%, Method Actor 92%, Tactician 75%, Specialist 50%, Butt-Kicker 50%, Casual Gamer 12%, Power Gamer 0%
NSC-Code: LE+MP-ST-FF0KO+!AG+IN0RR-!AT/PA+!EP0GP0PSI-MTF0PAIN-HdR-I

Fragment

Du kannst auch beruhigt sein: Spambots im Forum haben mit der Sicherheit deiner Daten relativ wenig zu tun, solange du z. B. deine Mailadresse unsichtbar stellst.
Mitmachprojekt: RPG Bash (mit Blog)