vpGuestbook - Gästebuchmodul für die 4.6.x

idea-tec
Beiträge: 1242
Registriert: Do 19. Sep 2002, 14:41
Wohnort: Dichtelbach
Kontaktdaten:

Re: vpGuestbook - Gästebuchmodul für die 4.6.x

Beitrag von idea-tec » Do 30. Sep 2010, 15:22

ich amüsiere mich doch wieder ... Andreas, deine Diskutiererei ist der Knaller ... danke hierfür...

Als EINZIGES alleinstehendes Schutzmittel eingesetzt => absolut richtig
MfG, Karsten
Nicht Können bedeutet nicht, dass man etwas nicht beherrscht, sondern lediglich, dass man sich nicht traut es zu tun ;-)
| Internet | Ihr Logo deutschlandweit auf T-Shirts |
Diplomatie: Jemanden so in die Hölle zu schicken, dass er sich auf die Reise freut!!! ;-)

kummer
Beiträge: 2423
Registriert: Do 6. Mai 2004, 09:17
Wohnort: Bern, Schweiz
Kontaktdaten:

Re: vpGuestbook - Gästebuchmodul für die 4.6.x

Beitrag von kummer » Do 30. Sep 2010, 15:39

idea-tec hat geschrieben:ich amüsiere mich doch wieder ... Andreas, deine Diskutiererei ist der Knaller ... danke hierfür...

Als alleinstehend als EINZIGES Schutzmittel eingesetzt => absolut richtig
alleine eingesetzt ist die wirkung null. zusammen mit anderen mechanismen ist die wirkung 0. mit noch weiteren schutzmechanismen ist die wirkung dann zweimal null. sollte man tatsächlich weniger emails aus diesem kanal erhalten, dann ist das darauf zurück zu führen, dass (a) jemand nicht wusste damit umzugehen oder (b) weil er javascript ausgeschaltet hatte und deshalb den versand nicht hat vornehmen können. obwohl man darauf eigentlich von alleine kommen könnte - ausreichend sachverstand vorausgesetzt - machen die entwickler dann auch noch gleich selber darauf aufmerksam, dass es nicht wirksam sei. ganz offensichtlich vertrauen einige nicht einmal denen, die das entwickelt haben.

wer das ziel hat, den einen oder anderen menschen vom versand abzuhalten, dem sei diese lösung empfohlen. karsten wird dann bei der implementierung sicher behilflich sein. allen anderen würde ich empfehlen, eine etablierte variante einzusetzen oder dann wenigstens nicht genau diejenigen auszufiltern, deren anfragen man ja gerne zugestellt erhalten möchte.
aitsu.org :: schnell - flexibel - komfortabel :: Version 2.2.0 (since June 22, 2011) (jetzt mit dual license GPL/kommerziell)

Oldperl
Beiträge: 4055
Registriert: Do 30. Jun 2005, 22:56
Wohnort: Eltmann, Unterfranken, Bayern
Kontaktdaten:

Re: vpGuestbook - Gästebuchmodul für die 4.6.x

Beitrag von Oldperl » Do 30. Sep 2010, 15:48

:!: Bitte die Forenregeln beachten :arrow: http://forum.contenido.org/viewtopic.ph ... 73&start=0
Im Besonderen die Punkte 2-4.
Danke.

Gruß aus Franken

Ortwin
CONTENIDO 4.9 Entwickler-Handbuch - Publikation auf medium.com zu meinem angedachten Entwickler-Buch zu CONTENIDO 4.9
ConLite 2.0, alternatives und stabiles Update von Contenido 4.8.x
phpBO Search Advanced - das neue Suchwort-Plugin für CONTENIDO 4.9
Mein Entwickler-Blog

kummer
Beiträge: 2423
Registriert: Do 6. Mai 2004, 09:17
Wohnort: Bern, Schweiz
Kontaktdaten:

Re: vpGuestbook - Gästebuchmodul für die 4.6.x

Beitrag von kummer » Do 30. Sep 2010, 16:07

Oldperl hat geschrieben::!: Bitte die Forenregeln beachten :arrow: http://forum.contenido.org/viewtopic.ph ... 73&start=0
Im Besonderen die Punkte 2-4.
Danke.

Gruß aus Franken

Ortwin
mich kannst du da wohl ja nicht gemeint haben, oder? wenn das herabwürdigend oder beleidigend eingeschätzt wird, dann könnte es sein, dass ich die regeln wirklich mal verletze... ;-)
aitsu.org :: schnell - flexibel - komfortabel :: Version 2.2.0 (since June 22, 2011) (jetzt mit dual license GPL/kommerziell)

idea-tec
Beiträge: 1242
Registriert: Do 19. Sep 2002, 14:41
Wohnort: Dichtelbach
Kontaktdaten:

Re: vpGuestbook - Gästebuchmodul für die 4.6.x

Beitrag von idea-tec » Do 30. Sep 2010, 16:08

jaja ... wieder der frei interpretiere kram, der es jedem Mod ermöglicht jeden aus eigenen befindlichkeiten heraus aus einem forum zu werfen...

@Andreas
wen du recht hättest, hätte ich ein haufen gespammter shops, gästebücher .. doch MEINE bleiben witzigerweise leer
ABER: ich benutze ja nicht nur ein Captcha (egal welcher art), sondern auch entsprechende weitere notwendige schutzmechanismen

und fakt ist und bleibt: ein form-field, das per html-eintrag disabled ist, ist und bleibt disabled. da führt kein bot dran vorbei
die idee ist und bleibt in kombination mit verschiedenen mitteln einfach und genial ;-)

aber jeder wie er will
MfG, Karsten
Nicht Können bedeutet nicht, dass man etwas nicht beherrscht, sondern lediglich, dass man sich nicht traut es zu tun ;-)
| Internet | Ihr Logo deutschlandweit auf T-Shirts |
Diplomatie: Jemanden so in die Hölle zu schicken, dass er sich auf die Reise freut!!! ;-)

kummer
Beiträge: 2423
Registriert: Do 6. Mai 2004, 09:17
Wohnort: Bern, Schweiz
Kontaktdaten:

Re: vpGuestbook - Gästebuchmodul für die 4.6.x

Beitrag von kummer » Do 30. Sep 2010, 16:40

idea-tec hat geschrieben:und fakt ist und bleibt: ein form-field, das per html-eintrag disabled ist, ist und bleibt disabled. da führt kein bot dran vorbei
du meinst also - ich will das bloss richtig verstehen und auf nummer sicher gehen - du bist also der meinung, wenn ein button disabled ist, dann könne ein bot das formular nicht versenden? richtig?
aitsu.org :: schnell - flexibel - komfortabel :: Version 2.2.0 (since June 22, 2011) (jetzt mit dual license GPL/kommerziell)

idea-tec
Beiträge: 1242
Registriert: Do 19. Sep 2002, 14:41
Wohnort: Dichtelbach
Kontaktdaten:

Re: vpGuestbook - Gästebuchmodul für die 4.6.x

Beitrag von idea-tec » Do 30. Sep 2010, 16:49

du verstehst es nicht, ignorierst in vorherigen posts geschriebenes, und drehst es dir hin wie es passt, lieber andreas, das ist doch nichts neues bei dir ...

könnten wir a. zurück zum thema? und b. mal das feedback desjenigen abwarten der das ding testen wollte, weil er mit dem vorhandenen ein problem hatte?
MfG, Karsten
Nicht Können bedeutet nicht, dass man etwas nicht beherrscht, sondern lediglich, dass man sich nicht traut es zu tun ;-)
| Internet | Ihr Logo deutschlandweit auf T-Shirts |
Diplomatie: Jemanden so in die Hölle zu schicken, dass er sich auf die Reise freut!!! ;-)

kummer
Beiträge: 2423
Registriert: Do 6. Mai 2004, 09:17
Wohnort: Bern, Schweiz
Kontaktdaten:

Re: vpGuestbook - Gästebuchmodul für die 4.6.x

Beitrag von kummer » Do 30. Sep 2010, 17:53

das war ja bloss eine frage. ich versuchte lediglich zu ermessen, ob du einen scherz gemacht hast oder tatsächlich keine ahnung hast, wie die client-server-kommunikation funktioniert. zweiteres würde immerhin erklären, wie du zum schluss kommen kannst, dass ein solches vorgehen irgendwelche wirkung erzielen kann. tatsächlich verwendet ein spam-bot keinen browser und es kann ihm vollkommen egal sein, ob ein button disabled ist oder nicht. er braucht den knopf nicht - auch dann nicht, wenn er funktionieren würde. er geht lediglich hin und zieht informationen aus dem quellcode über die url, an welche der request zu senden ist, über die methode, die anzuwenden ist sowie über die felder, die mutmasslich vom server erwartet werden. dann strickt sich der bot einen request zusammen und sendet ihn an die in der form-action bezeichnete url. zu keinem zeitpunkt muss er dazu irgendwelchen javascript-code ausführen oder einen button klicken. und weil dem so ist, ist es dem bot auch vollkommen egal, ob da ein knopf ist, ob er disabled ist oder nicht. auch die farbe des buttons ist ihm egal. er wird deshalb einen gültigen request vornehmen können, auch wenn er den regler nie bedient hat.

einen minimalen schutz würdest du erzielen - wie bereits ausgeführt -, wenn die action ebenfalls vom server zu beziehen wäre, da der bot dazu dem code evaluieren müsste. dazu braucht man indessen den slider nicht. das kannst du einfach machen, sobald das dom-objekt ready ist.
idea-tec hat geschrieben:du verstehst es nicht, ignorierst in vorherigen posts geschriebenes, und drehst es dir hin wie es passt, lieber andreas, das ist doch nichts neues bei dir ...
das, was hier zu sagen wäre, würde wohl einige forenregeln mehr als nur einfach verletzen und ordnungshüter ortwin auf den plan rufen. darf ich annehmen, dass wir uns verstehen?
aitsu.org :: schnell - flexibel - komfortabel :: Version 2.2.0 (since June 22, 2011) (jetzt mit dual license GPL/kommerziell)

idea-tec
Beiträge: 1242
Registriert: Do 19. Sep 2002, 14:41
Wohnort: Dichtelbach
Kontaktdaten:

Re: vpGuestbook - Gästebuchmodul für die 4.6.x

Beitrag von idea-tec » Do 30. Sep 2010, 17:58

dann wäre das Thema ja durch .... Captcha sind für den Bobbes ;-)
MfG, Karsten
Nicht Können bedeutet nicht, dass man etwas nicht beherrscht, sondern lediglich, dass man sich nicht traut es zu tun ;-)
| Internet | Ihr Logo deutschlandweit auf T-Shirts |
Diplomatie: Jemanden so in die Hölle zu schicken, dass er sich auf die Reise freut!!! ;-)

kummer
Beiträge: 2423
Registriert: Do 6. Mai 2004, 09:17
Wohnort: Bern, Schweiz
Kontaktdaten:

Re: vpGuestbook - Gästebuchmodul für die 4.6.x

Beitrag von kummer » Do 30. Sep 2010, 18:01

idea-tec hat geschrieben:dann wäre das Thema ja durch .... Captcha sind für den Bobbes ;-)
captchas sind per definitionem wirksam. das sagt ja schon der name: Completely Automated Public Turing test to tell Computers and Humans Apart. wenn jedoch ein instrument nicht wirksam ist, ist es auch kein captcha.
aitsu.org :: schnell - flexibel - komfortabel :: Version 2.2.0 (since June 22, 2011) (jetzt mit dual license GPL/kommerziell)

i-fekt
Beiträge: 1520
Registriert: Mo 3. Jan 2005, 02:15
Wohnort: Chemnitz
Kontaktdaten:

Re: vpGuestbook - Gästebuchmodul für die 4.6.x

Beitrag von i-fekt » Do 30. Sep 2010, 22:24

kummer hat geschrieben:ich versuchte lediglich zu ermessen, ob du einen scherz gemacht hast oder tatsächlich keine ahnung hast, wie die client-server-kommunikation funktioniert.
Wie kannst du das in Frage stellen. Er hat das voll krasse Profi-Freunde-Netzwerk mit Serveradministratoren bei voll krassen Providern die täglich gegen Spambots kämpfen und die in und auswendig kennen. :D
Gruss,
Michael

"Keep on riding this Bike!" (Jackson Mulham)

OliverL
Beiträge: 870
Registriert: Do 28. Jun 2007, 09:28
Kontaktdaten:

Re: vpGuestbook - Gästebuchmodul für die 4.6.x

Beitrag von OliverL » Fr 1. Okt 2010, 08:06

Guten Tag,

1. Da einige User es immer wieder darauf anlegen andere Forenuser zu provozieren, ist es gerechtfertigt diese entsprechend auf Forenregeln aufmerksam zumachen. Nur weil Ortwin sich bereiterklärt hat dies zutun bedeutet das nicht das er diese Meinung alleine vertritt. Ortwin hat in absprache diesen Post erstellt. (Wenn sich ein Mod in einen Post emldet meint er alle Beteiligten.)
:arrow: http://forum.contenido.org/viewtopic.ph ... 73&start=0

2. Captcha: Hier muss ich nach den letzten Posts Kummer rechtgeben. Ein Button der disabled ist reicht nicht aus. Wenn der Slider ein Hidden füllt (via Ajax, ...) das auf dem Server abgefragt und verglichen wird währe das was anderes. Jedoch könnte ich mir auch vorstellen das idea-tec vielleicht einpaar Dinge unterschlagen hat ;) da er auch entsprechende weitere notwendige schutzmechanismen nutzt.

Gruß
OliverL

kummer
Beiträge: 2423
Registriert: Do 6. Mai 2004, 09:17
Wohnort: Bern, Schweiz
Kontaktdaten:

Re: vpGuestbook - Gästebuchmodul für die 4.6.x

Beitrag von kummer » Fr 1. Okt 2010, 08:44

OliverL hat geschrieben:Da einige User es immer wieder darauf anlegen andere Forenuser zu provozieren, ist es gerechtfertigt diese entsprechend auf Forenregeln aufmerksam zumachen. Nur weil Ortwin sich bereiterklärt hat dies zutun bedeutet das nicht das er diese Meinung alleine vertritt. Ortwin hat in absprache diesen Post erstellt. (Wenn sich ein Mod in einen Post emldet meint er alle Beteiligten.)
niemand hat ortwin einen vorwurf gemacht; ein kleines lachen auf den stockzähnen wird doch noch erlaubt sein. oder gibt es da auch schon eine forenregel? und mindestens von meiner seite kamen durchaus rein sachliche argumente. wer von der technologie eine ahnung hat, kann sich ja ein eigenes bild machen.
OliverL hat geschrieben:Jedoch könnte ich mir auch vorstellen das idea-tec vielleicht einpaar Dinge unterschlagen hat ;) da er auch entsprechende weitere notwendige schutzmechanismen nutzt.
die nutzung weiterer hürden gegen spammer wird die wirksamkeit eines einzelnen filters nicht erhöhen. ob nun also der slider in der seite eingebaut ist oder nicht, verändert sich sachlage in bezug auf die spam-vermeidung gar nicht. insofern ist ja nur die frage, ob ein slider bei der erkennung, resp. unterscheidung von menschen und maschinen was bringt. dass das disablen von buttons nicht bringt, scheint fast allen klar. das nachziehen von informationen via ajax wird einige spammer abhalten. allerdings ist die ausführung von code natürlich auch maschinen möglich. das macht ja auch der browser und nicht der mensch, der vor dem gerät sitzt. und die aussage, dass ein bot den slider nicht bewegen könne, ist in doppelter hinsicht falsch. (a) kann er das mit leichtigkeit. er muss nur den entsprechenden event triggern. und (b) muss er das eben gar nicht erst tun. die maschine muss eben nicht in gleicher weise mit einer maschine interagieren, wie das ein mensch tun muss.

die grundidee herkömmlicher captchas ist die übertragung einer information vom server zum client im moment, in dem das formular erstmals aufgerufen wird. diese information soll für einen menschen leicht und für eine maschine nach möglichkeit gar nicht zu ermessen sein. der klassische fall ist ein verfremdeter text. nicht die einzige möglichkeit, aber eine weit verbreite. diese information ist mit den formulardaten wieder an den server zu übertragen. sind die beiden informationen identisch, kann daraus zunächst abgeleitet werden, dass die information richtig hat verarbeitet werden können. was zur annahme führt, dass es sich um einen menschen handeln muss, weil man davon ausgeht, dass ein computer das zurzeit noch nicht kann. eigen muss jedem captcha sein, dass es (a) eine herausforderung für den computer darstellt und gleichzeitig vergleichweise einfach für einen menschen ist. und (b) die auswertung zwingend und ausschliesslich auf dem server erfolgt, der den request entgegen nimmt. beim slider besteht keine herausforderung und serverseitig keine prüfmöglichkeit. eine auch nur kleine wirksamkeit ist ausgeschlossen. die kombination mit weiteren schutzmechanismen (stop-words, ip-blacklists usw.) wird zwar dann etwas spam-schutz bringen, welcher jedoch vom slider nicht günstig beeinflusst wird.
i-fekt hat geschrieben:
kummer hat geschrieben:ich versuchte lediglich zu ermessen, ob du einen scherz gemacht hast oder tatsächlich keine ahnung hast, wie die client-server-kommunikation funktioniert.
Wie kannst du das in Frage stellen. Er hat das voll krasse Profi-Freunde-Netzwerk mit Serveradministratoren bei voll krassen Providern die täglich gegen Spambots kämpfen und die in und auswendig kennen. :D
zum glück bin ich nicht ganz alleine... ;-) vielen dank i-fekt
aitsu.org :: schnell - flexibel - komfortabel :: Version 2.2.0 (since June 22, 2011) (jetzt mit dual license GPL/kommerziell)

idea-tec
Beiträge: 1242
Registriert: Do 19. Sep 2002, 14:41
Wohnort: Dichtelbach
Kontaktdaten:

Re: vpGuestbook - Gästebuchmodul für die 4.6.x

Beitrag von idea-tec » Fr 1. Okt 2010, 09:06

Ihr rafft es tatsächlich nicht ... WAS man mit dem Slider wie macht, ist jedem selbst überlassen.
Zudem habt IHR und nicht ICH davon angefangen: Der Slider ist nicht sicher!!! Und ich gebe euch Recht, denn ich habe NIE behauptet, dass der Slider alleine ein Schutzmechanismus darstellt.

Wie schon erwähnt: Kopp schräge legen, nachdenken, Klinke drücken VOR dem durch die Türe gehen ;-)
So viel Betriebsblindheit und vogelwilden Kindergarten-Aktionismus wie hier habe ich schon lange nicht erlebt und erlebe ich (zum Glück) auch nur hier in diesem Forum :-)

Für diejenigen unter den mitlesenden Personen, die fähig sind über den Tellerrand zu blicken, ein paar Tipps wie man das machen "könnte!!!":
1.) Wenn man den Schritt geht und jQuery also JS dazu einsetzt kann man zum "absenden" auch direkt auf ein Form-Tag verzichten
=> Kein Form-Tag = Kein auslesbares Verweisziel ;-)
2.) Ist der Button kein "submit" dann kann auch kein Formular abgesendet werden ;-)
Damit hat man den Bots bereits 2 Angriffspunkte genommen, die man selbst jedoch ohne weiteres "in der Hand" hat ;-)

Und über alles andere und was man alles tun könnte, kann und sollte und was obligatorisch ist muss hier nicht diskutiert werden.
Benutzt also das was diese Schlaumeier hier vorschlagen (Huch! von denen kommt ja *nichts* ;-) ) oder denkt einfach mal ein bisschen weiter, darüber nach was so ein Bot tut und wie man das verhindern kann. Es gibt da eine Unmenge an Möglichkeiten.

Tatsache ist, wenn man den VORherigen Verlauf und auch andere Beiträge ansieht, dass die derzeit in den Modulen und hier geposteten Captcha nutzlos sind. Dann, so denke ich, sollte man Alternativen auftun.
MfG, Karsten
Nicht Können bedeutet nicht, dass man etwas nicht beherrscht, sondern lediglich, dass man sich nicht traut es zu tun ;-)
| Internet | Ihr Logo deutschlandweit auf T-Shirts |
Diplomatie: Jemanden so in die Hölle zu schicken, dass er sich auf die Reise freut!!! ;-)

kummer
Beiträge: 2423
Registriert: Do 6. Mai 2004, 09:17
Wohnort: Bern, Schweiz
Kontaktdaten:

Re: vpGuestbook - Gästebuchmodul für die 4.6.x

Beitrag von kummer » Fr 1. Okt 2010, 09:57

idea-tec hat geschrieben:Zudem habt IHR und nicht ICH davon angefangen: Der Slider ist nicht sicher!!! Und ich gebe euch Recht, denn ich habe NIE behauptet, dass der Slider alleine ein Schutzmechanismus darstellt.
interessant. so so... hmm. kurze nachlese...
idea-tec hat geschrieben:dann stelle mer uns ma jaaanz dumm: wenn man das submit auf disabled setzt und NUR mittels jQuery/JavaScript auf enabled gesetzt werden kann dann kann auch nur dann das Formular abgesendet werden, wenn ALLES passend ist.
ich hoffe, das wissen auch die spam-bot-entwickler. falls nicht, werden sie das einfach ignorieren und trotzdem senden. man müsste sie vielleicht darüber aufklären, dass sie nicht tun dürfen.
idea-tec hat geschrieben:Was diese jedoch NICHT können, ist das automatische GREIFEN und HALTEN eines Buttons und diesen dann um einen unbestimmten variablen Weg in eine vorher nicht definierte Richtung verschieben!!! Das kann nur ein Mensch, der vor dem Ding sitzt. Das bedeutet aber auch, dass es nur eine gewisse Zeit dauern dürfte, bis die Bots sowas auch können. Aber bis dahin sind die Formulare ziemlich sicher.
was jetzt? sicher? oder doch nicht? und die gewisse zeit ist vor einer gewissen zeit verstrichen. wenn das überhaupt einmal eine rolle gespielt hätte.
idea-tec hat geschrieben:Sprich: es geht hier doch gar nicht um die Prüfung nach dem Request sondern beim Captcha darum, dass ein "unbefugter" das erst gar nicht absenden kann...
hmm, ok. das tönt zunächst erstaunlicherweise total vernünftig. ist zwar kompletter unsinn; das erschliesst sich aber nur durch gewisse technologiekenntnisse.
idea-tec hat geschrieben:und fakt ist und bleibt: ein form-field, das per html-eintrag disabled ist, ist und bleibt disabled. da führt kein bot dran vorbei
klar. logisch. ohne link kann man eine seite nicht aufrufen und ohne button keinen request an eine url senden. und ohne browser geht schon mal gar nichts. deshalb sind bots ja so konstruktionen, die eine maus und eine tastatur mit hilfe eines roboterarms bedienen und mit hilfe eine gängigen browsers die formulare öffnen und versuchen, die listigen tricks, die karsten fieserweise in die seite eingebaut hat, zu überlisten und dann scheitern sie am ende, da sie offenbar eingaben machen können, aber einen slider nicht bewegen können. willkommen im schrägen paralleluniversum.

den besten und zugleich neusten möchte ich natürlich niemandem vorenthalten:
idea-tec hat geschrieben:Ist der Button kein "submit" dann kann auch kein Formular abgesendet werden.
besser kann man es nicht auf den punkt bringen. stimmt zwar wieder mal überhaupt nicht (enter drücken alleine reicht ja schon aus), ist in der kürze aber eine gewaltige aussage.
aitsu.org :: schnell - flexibel - komfortabel :: Version 2.2.0 (since June 22, 2011) (jetzt mit dual license GPL/kommerziell)

Gesperrt