Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

Drupal User Group Nürnberg - Oktober 2013 #nueww

Spamabwehr mit (negative) CAPTCHAs
by

Jan Teriete

on 25 October 2013

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Drupal User Group Nürnberg - Oktober 2013 #nueww

Bekannte Abwehrmethoden
Verhaltensbasiert
Bad Behavior versucht Spammer zu blocken, bevor sie überhaupt die Möglichkeit haben das System zu nutzen!

http://bad-behavior.ioerror.us/about/
https://drupal.org/project/badbehavior

Zwei wichtige Auswahlkriterien:
die verwendete Software (Browser)
die Methode, wie diese die Daten an den Webserver schickt
CAPTCHAs
"CAPTCHAs verlangen vom Nutzer eine Eingabe, die idealerweise nicht von Computern ausgeführt werden kann."

https://drupal.org/project/captcha
https://drupal.org/project/captcha_pack
https://drupal.org/project/recaptcha
Negative CAPTCHAs
Anstatt einen Beweis vom Benutzer zu fordern, sollte man Fallen für Bots aufstellen.

So beweisen diese dann selbst, daß sie Bots sind!
Externe Dienste
Akismet (Matt Mullenweg, WordPress)
http://akismet.com/how/

Mollom (Dries Buytaert, Drupal)
http://mollom.com/how-mollom-works
Logo CC by matt.farina http://www.flickr.com/photos/mattfarina/2121449017/
Spamabwehr mit Drupal
Ein Wald mit vielen
Bäumen & Fallstricken

Das Problem
Erfolgt eine Datenverarbeitung personenbezogener Daten in den USA?
http://playground.ebiene.de/akismet-nutzung-rechtens/
https://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Datenschutzrecht/Inhalt/InternationalerDatenverkehr/Inhalt2/Schutz_der_Persoenlichkeitsrechte/Schutz_der_Persoenlichkeitsrechte.php

Akismet in Deutschland/EU derzeit ohne explizite Einwilligung des Benutzers nicht datenschutzkonform einsetzbar.
http://rechtsanwalt-schwenke.de/usability-vs-datenschutz-datenschutzrechtliche-einwilligung-ohne-opt-in/

Persönlich sehe ich Akismet rechtlich als mindestens riskant an, so lange der Diensteanbieter (Automattic) in den USA nicht nach dem Safe Harbour-Abkommen zertifiziert ist.

Mollom (Acquia) ist scheinbar bereits zertifiziert, sollte aber auf jeden Fall in der Datenschutzerklärung auftauchen.
http://www.acquia.com/about-us/legal/privacy-policy
https://www.edacentrum.de/content/sind-die-web-dienstleistungen-von-mollom-datenschutzkonform
http://www.coworking-wuerzburg.de/impressum

Man ist abhängig von einem Dienstleister, der diesen Dienst jederzeit einstellen oder der überlastet sein kann.
Formulare in Drupal
Registrierung und Passwort-Reset

Kommentare

Kontaktformulare (auch mit Webform)
https://drupal.org/project/webform
CAPTCHA-Beispiele
Das Problem
Jedes schwierige Problem der Künstlichen Intelligenz ist für ein CAPTCHA geeignet.

Die technische Eskalation bewirkt jedoch, daß diese auch für Menschen immer schwieriger zu lösen werden.

Persönlich brauche ich beispielsweise meist drei Anläufe für ein reCAPTCHA.

Der normale Benutzer wird bestraft und abgeschreckt.

Es gibt spezialisierte Dienstleister, die Menschen zur Lösung der CAPTCHAs benutzen (z.B. ImageToText und KolotiBablo).
Das Problem
Oftmals legen nicht nur Spam Robots ein schlechtes Benehmen an den Tag.

False Positives beispielsweise denkbar bei:
Trackbacks/Pingbacks
Website-Monitoring-Tools
Website-Analyse durch (gute) Bots

z.B. Ruby-on-Rails basierte Anwendung zur Website-Analyse (Drupal 6 Blog)
Ein Beispiel
Zwei zusätzliche Formularfelder:
1. Feld email2 mit der Beschreibung 'bleibt leer' (per CSS versteckt, Honeypot-Methode)
2. Ein hidden input-Feld, das den aktuellen Timestamp enthält (Timegate-Methode)

Die Auswertung geht dann beispielsweise so:
1. email2 gesetzt = Spam
2. das hidden input-Feld fehlt komplett = Spam
3. Timestamp weniger als 2 bis 5 Sekunden alt = Spam, so schnell ist keiner
4. Timestamp älter als 5 Stunden = Vermutlich auch Spam, so lahm ist fast keiner

Quelle: http://t3n.de/news/negative-captchas-spambots-mal-499223/#comment-121850
Welche Module?
Ist eine solche oder ähnliche Lösung mit Drupal 7 umsetzbar?
Allg. Modulübersicht: http://raisedbyturtles.org/stopping-spam-comments-in-drupal-7/

Spamicide (nur Honeypot) - CSS
https://drupal.org/project/spamicide

Honeypot (Honeypot und Timegate) - CSS
https://drupal.org/project/honeypot

BOTCHA (Honeypot und Timegate) - JavaScript/CSS
https://drupal.org/project/botcha
https://drupal.org/node/991434#comment-3798632
Eine Lösung?
Benutzer werden nicht mit einer weiteren Pflichtfeld-Eingabe (CAPTCHA) genervt.

Angepasste Spambots könnten diesen Schutz umgehen (Security through Obscurity).

Als alleiniger Schutz nur für kleine Websites mit automatisiertem SPAM sinnvoll.

JavaScript-basierte Rezepte sind in der Regel nicht mit Ajax nutzbar.

Nur BOTCHA schützt gegen Replay-Attacken (http://nedbatchelder.com/text/stopbots.html).

Derzeitige Empfehlung für Drupal 7: Botcha Version 3.x

Fragen? @jteriete
User Group Nürnberg
Full transcript