Fake Anmeldungen bei phpBB3

[Amlor]

Gut, da geb ich Dir recht.. die anderen (ungepatchten) Foren 'abzufarmen' ist sicherlich der einfachere Weg.. ein erfahrenerer Programmierer wird da aber ganz sicher rel schnell was coden können. Wenn alle Felder halt zufällige Namen und Werte bekommen würden, könnte man es überhaupt nicht mehr zuweisen.. da wüsste ich noch nicht einmal vom Ansatz eine möglichkeit das zu Automatisieren (bis auf Brute-Force natürlich).
Aber wie gesagt.. der Ansatz ist klasse und ich setze jetz auch auf Ruhe, bis in .5 im Core mehr geändert wird.. bin mal gespannt, was da kommen wird.. evt findet ja sogar dieser Ansatz einzug.. schlecht finde ich ihn bei weiten nicht.

[JuSc<l]

@nickv.:
Bei phpBB2 gibt es doch so ein Mod, das du Fragen und die passende Antwort geben musst. Das wäre eine Idee als Cap!

[kellanved]

Wenn alle Felder halt zufällige Namen und Werte bekommen würden, könnte man es überhaupt nicht mehr zuweisen.. da wüsste ich noch nicht einmal vom Ansatz eine möglichkeit das zu Automatisieren (bis auf Brute-Force natürlich).

Leider ist es für Bots sehr leicht so etwas zu durchschauen; es ist für einen Bot nicht weiter schwer das HTML zu parsen um zu "sehen", neben welchem Feldern "Nutzername", "email" etc stehen. Sehr viel leichter als z.B. ein CAPTCHA zu lösen. Die populären Botscripte können dies; es hift als MOD nur da phpBB diesen Trick nicht versucht; würde 3.0.5 so etwas ergänzen, würde die MOD sofort aufhören zu funktionieren.

[Amlor]

So man proSilver einsetzt, geb ich Dir recht.. bzw so lang ein Design bekannt ist.. ansonsten kann man nicht genau sagen, ob 'Username' da drüber oder da drunter steht. Auch hier müsste man aber natürlich eine gewisse Variation einbringen... aber klar.. läuft letztendlich auf ein Wettrüsten hinaus und ein entsprechendes Anpassen der regulären Ausdrücke bzw des Dom-Parsers... will ich nichts gegen sagen, daher kann es Schlussendlich auch nur helfen, wenn das Captcha ansich noch weiter angepasst werden kann (eigene Fonts, überlagerung von sin/cos wellen oder so ein Spaß).. wobei auch dort letztendlich 'nur' ein Wettrüsten stattfindet. Was der Mensch und das menschliche Auge erkennen kann, kann ein Rechner auch immer erkennen.. somit wären wir bei Assoziationen, mit denen nur der Mensch etwas anfangen kann, da Rechenaufgaben bekanntlich auch von Rechnern berechnet werden können *g* (hab zumindest mal das Gerücht gehört, die sollen dass können ). Aber selbst Assoziationen kann man einem Rechner beibringen.. hier aber (noch) schwieriger, als dem Menschen.. nunja.. ich glaub, es wird klar, auf was es leider immer hinaus laufen wird.

[nickvergessen]

es hift als MOD nur da phpBB diesen Trick nicht versucht; würde 3.0.5 so etwas ergänzen, würde die MOD sofort aufhören zu funktionieren.

Das ist wohl der einzige Hacken an der ganzen Sache. Wenn solche MODs zu weit verbreitet werden, werden sich die Bot-Autoren damit auch irgendwann befassen.

[gsxfan]

Ist es eigentlich möglich/aufwendig, sich Einträge ins Fehlerprotokoll schreiben zu lassen, wenn ein Registrierungsversuch durch diesen Mod gescheitert ist?
Ich hab immer ganz gerne Infos über solche Dinge.....Berufskrankheit halt.

[BaerchenHH]

Ich will hier keine Gerüchte verbreiten oder so also schlagt mich bitte nicht, aber ich denke das liegt irgendwie an der Version 3.0.4.
Von so vielen habe ich gehört, dass sie seit kurzer Zeit erst diese Probleme haben und die haben alle 3.0.4.
Ich bin noch bei 3.0.2 und habe gar keine Probleme.

Da muß ich dir leider auch wiedersprechen... Ich betreibe 2 Foren.
Eins auf 3.0.4 und ein anderes auf 3.0.2 (kam noch nicht zum update)... Die Spam-Anmeldung ist bei beiden ungefähr gleich.

[Petra_FL]

Moin Moin

wir betreiben drei Foren, welche auf/mit der aktuellen phpBB Version laufen, auf verschiedenen Servern u. Domains.
In zwei Foren habe ich das SFS Anti-Spam Registration v1.0.1, phpBB3 eingebaut, und muß sagen es kunktioniert klasse.
Bis heute. Der erste hat es gschafft, durchzukommen. Trotzdem ich benutzerdefinierte Profilfelder bei Registration zusätzlich aktiviert habe.
Achja, ich hatte es erst vor einer Woche eingebaut.
Jetzt schau ich mir mal das von nickvergessen gepostete an

[gsxfan]

In zwei Foren habe ich das SFS Anti-Spam Registration v1.0.1, phpBB3 eingebaut, und muß sagen es kunktioniert klasse.

Nunja, sowas ist immer nur so gut wie die Sammlung, gegen die verglichen wird. Und ich bin mir nicht so sicher, ob diese Blacklisten wirklich ein taugliches Mittel gegen Spammerregistrierungen sind. Bei Emails mag das gut funktionieren.

Bis heute. Der erste hat es gschafft, durchzukommen. Trotzdem ich benutzerdefinierte Profilfelder bei Registration zusätzlich aktiviert habe.
Achja, ich hatte es erst vor einer Woche eingebaut.

War es tatsächlich ein Bot oder eine manuelle Registrierung?

Jetzt schau ich mir mal das von nickvergessen gepostete an

Trotz Betastadium scheint mir das ein ziemlich guter Ansatz zu sein. Mal schauen, wie sich das entwickelt, ich hab den vorhin auch eingebaut.

[nickvergessen]

Ist es eigentlich möglich/aufwendig, sich Einträge ins Fehlerprotokoll schreiben zu lassen, wenn ein Registrierungsversuch durch diesen Mod gescheitert ist?
Ich hab immer ganz gerne Infos über solche Dinge.....Berufskrankheit halt.

Nun, sollte möglich sien, einfach an die Stelle mit dem trigger_error( die man einfügt noch ein add_log( einbringen, ich weiß aber gerade nciht mit welchen parametern.