Autor Thema: Datensicherheit im Forum  (Gelesen 9598 mal)

das Berstl

  • Werwolf
  • ***
  • Beiträge: 293
Datensicherheit im Forum
« am: April 13, 2012, 00:40:08 Vormittag »
Nachdem heute und vor einigen Tagen automatische Spamverteiler Accounts im Forum angemeldet haben und hier massenhaft Müll gestreut, haben zweifle ich arg an den Sichervorkehrungen.

Adrian

  • Webmagier
  • Riese
  • *****
  • Beiträge: 593
  • Bloß nicht den Haselhof reiten!
    • scrobble.me
Re:AW: Datensicherheit im Forum
« Antwort #1 am: April 13, 2012, 07:17:43 Vormittag »
Hallo Berstl,

Kannst konkrete Zweoifel benennen?

Wir tun alles was uns zur Verfügung steht, um das Forum so sicher wie möglich zu halten:

* Software aktualisieren
* Zur Registrierung ein Captcha abfragen
* Neue Nutzer müssen einen Bestätigungslink in einer E-Mail klicken
* Daneben haben wir ein Modul installiert, welches neue Nutzer gegen eine entfernte Datenbank prüft, dieses blockt am Tag gefühlte über 100 Botregistrierungen
* Die E-Mailadresse von Nutzern wird standardmäßig versteckt

Leider kommt es halt hin  und wieder  trotzdem vor, dass ein Bot durchkommt. Wenn du weitere Maßnahmen kennst, immer her damit.

Captain

  • Global Moderator
  • Evil Overlord
  • *****
  • Beiträge: 6.741
  • 2 Minuten Ei
    • Captains Rollenspiel Blog
Re:Datensicherheit im Forum
« Antwort #2 am: April 13, 2012, 07:23:02 Vormittag »
Das passiert ständig. Und wir räumens dann auf.
Der Witz ist, ganz egal wie gut Sicherheitsmechanismen sind: über kurz oder lang findet ein Bot drüber hinweg und spamt. Stärkere Sicherheitsvorkehrungen sind aber oft (wenn auch keinesfalls immer) mit zusätzlichen Einschränkungen oder Erschwernissen für reguläre Benutzer verbunden.
Ein cooles Captcha kann es Spambots schwerer machen und für ne Weile für Ruhe sorgen. Aber eben nicht für ewig und während dessen kämpfen reguläre User sich die Augen wund um den Sinn aus dem Kauderwelsch zu erkennen, um ihre Anmeldung durchzubekommen. Im Extremfall läßt man gar keine Anmeldungen zu und schließt die Bots damit aus, aber eben auch alle regulären Benutzer. Das kanns aber irgendwie auch nicht sein. Schließlich wollen wir ja eigentlich neue Leute in unserer Community.

Ums zusammenzufassen: MIR ist es deutlich lieber, immer mal wieder Dreck wegzukehren, als daß ich interessierte Rollenspieler wegen technischer Probleme ausgeschlossen sehen möchte.
Spielertyp nach Robin D. Laws: Storyteller 100%, Method Actor 92%, Tactician 75%, Specialist 50%, Butt-Kicker 50%, Casual Gamer 12%, Power Gamer 0%
NSC-Code: LE+MP-ST-FF0KO+!AG+IN0RR-!AT/PA+!EP0GP0PSI-MTF0PAIN-HdR-I

Gawain

  • Ork
  • *
  • Beiträge: 39
Re:Datensicherheit im Forum
« Antwort #3 am: April 13, 2012, 08:11:32 Vormittag »
In einem anderen Forum (phpbb) habe ich noch ein Modul installiert, welches den Namen der Login-Eingabefelder
im HTML auf zufällige Werte ändert. Die heissen also nicht mehr input[password] sondern input[346gsg8346363]
und interessanterweise hatten wir seit dem keinen einzigen Bot mehr im Forum. Vllt gibt es sowas auch für das SMF.

stuvar

  • Troll
  • **
  • Beiträge: 149
Re:Datensicherheit im Forum
« Antwort #4 am: April 14, 2012, 10:00:52 Vormittag »
Was dann aber auch den Nachteil bringt, dass man Passwörter nicht mehr im Browser speichern kann. Aber damit kann ich gut leben, zumal man ja auch eingeloggt bleiben kann.

Sandol

  • Einhorn
  • ***
  • Beiträge: 378
Re:Datensicherheit im Forum
« Antwort #5 am: April 17, 2012, 14:32:25 Nachmittag »
Was dann aber auch den Nachteil bringt, dass man Passwörter nicht mehr im Browser speichern kann. Aber damit kann ich gut leben, zumal man ja auch eingeloggt bleiben kann.
Also ich könnte damit nicht leben - ich will nicht dauerhaft angemeldet bleiben in gefühlten 30 Foren, sondern nutze eben genau diese Möglichkeit... Sehe ich persönlich nicht als Lösung an.
Regelst du noch oder LARPst du schon?

Captain

  • Global Moderator
  • Evil Overlord
  • *****
  • Beiträge: 6.741
  • 2 Minuten Ei
    • Captains Rollenspiel Blog
Re:Datensicherheit im Forum
« Antwort #6 am: April 17, 2012, 14:48:16 Nachmittag »
Na aber, wenn man nicht angemeldet bleiben will (zu deutsch keinen Anmeldecookie im Browser speichern möchte) warum sollte man dann ausgerechnet sein Passwort im Browser speichern wollen? Das erscheint mir wiedersinnig.
Letztlich ist das aber ein weiteres Beispiel, daß das Erschweren von Zugängen für Spambots auch immer Einschränkungen für reguläre Nutzer mitbringt.

@Gawein: kannst du den Namen des Moduls nennen oder hast du sogar nen Link dazu? Das wird das Suchen nach etwas vergleichbaren fürs SMF vermutlich deutlich leichter machen.
Spielertyp nach Robin D. Laws: Storyteller 100%, Method Actor 92%, Tactician 75%, Specialist 50%, Butt-Kicker 50%, Casual Gamer 12%, Power Gamer 0%
NSC-Code: LE+MP-ST-FF0KO+!AG+IN0RR-!AT/PA+!EP0GP0PSI-MTF0PAIN-HdR-I

Adrian

  • Webmagier
  • Riese
  • *****
  • Beiträge: 593
  • Bloß nicht den Haselhof reiten!
    • scrobble.me
Re:Datensicherheit im Forum
« Antwort #7 am: April 17, 2012, 19:24:32 Nachmittag »
Die Idee eines solchen Mods finde ich gut, konnte aber leider auf Anhieb keins in die Richtung finden.

Gawain

  • Ork
  • *
  • Beiträge: 39
Re:Datensicherheit im Forum
« Antwort #8 am: April 17, 2012, 21:09:16 Nachmittag »
Ah, ich habe da was  verwechselt: es ändert den Namen des Captcha-Feldes und dessen Länge. Es wird den Bots also erschwert, die Anmeldung auszufüllen. Passwort-Speicherung funktioniert also weiterhin. Das Modul für phpbb3 heisst daroPL_AntiSpam (daroPL_AntiSpam_1_4_1.zip).

das Berstl

  • Werwolf
  • ***
  • Beiträge: 293
Re:Datensicherheit im Forum
« Antwort #9 am: April 17, 2012, 22:22:35 Nachmittag »
Gut, was ich hier lese beruhigt mich dann doch, irgendwie...

Also zumindest das, was ich verstehe.

Captain

  • Global Moderator
  • Evil Overlord
  • *****
  • Beiträge: 6.741
  • 2 Minuten Ei
    • Captains Rollenspiel Blog
Re:Datensicherheit im Forum
« Antwort #10 am: April 18, 2012, 07:28:08 Vormittag »
Wenns Dinge gibt, die unverständlich erscheinen, dann frag nach.
Spielertyp nach Robin D. Laws: Storyteller 100%, Method Actor 92%, Tactician 75%, Specialist 50%, Butt-Kicker 50%, Casual Gamer 12%, Power Gamer 0%
NSC-Code: LE+MP-ST-FF0KO+!AG+IN0RR-!AT/PA+!EP0GP0PSI-MTF0PAIN-HdR-I

Fragment

  • Werwolf
  • ***
  • Beiträge: 278
  • Systemwechsler
    • RPG Bash
Re:Datensicherheit im Forum
« Antwort #11 am: April 18, 2012, 15:36:01 Nachmittag »
Du kannst auch beruhigt sein: Spambots im Forum haben mit der Sicherheit deiner Daten relativ wenig zu tun, solange du z. B. deine Mailadresse unsichtbar stellst.
Mitmachprojekt: RPG Bash (mit Blog)