php, nicht phpBB 
Spam Filter gegen automatisierte Registrierungen *Liste*
Forumsregeln
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
php, nicht phpBB meine Foren: http://www.maxrev.de/communities.htm
Ich kaufe Dein Forum! Angebote bitte an marc at gutt punkt it
Ich kaufe Dein Forum! Angebote bitte an marc at gutt punkt it
-
cYbercOsmOnauT
- Ehemaliges Teammitglied
- Beiträge: 3820
- Registriert: 18.02.2004 23:02
- Wohnort: Göttingen
- Kontaktdaten:
Du hast mein großes Argument überlesen, dass die interne Banned-Emails-Datenbank einfach ignoriert wird bei Dir und somit die Admins gar nicht mehr eigene böse User via Email bannen können. Wieso mergest Du denn nicht beide arrays? Ist anstrengender zu coden, macht aber mehr Sinn.
Laggende Foren hab ich schon zuhauf gesehen. Es muss nur ein Problem mit dem Datenbankserver existieren und schon läd sich die Seite tot ohne das nen HTTP 404 oder halt 500 kommt. Solange die Seite noch läd, wartet Dein file-Befehl auf die Daten und somit wartet der Registrant bei der Anmeldung.
Laggende Foren hab ich schon zuhauf gesehen. Es muss nur ein Problem mit dem Datenbankserver existieren und schon läd sich die Seite tot ohne das nen HTTP 404 oder halt 500 kommt. Solange die Seite noch läd, wartet Dein file-Befehl auf die Daten und somit wartet der Registrant bei der Anmeldung.
• prof. phpbb-Installation, Reparatur, Rettung nach Hackattacken, sowie PHP/JS Programmierung aller Art
• Zend Certified Engineer, Linux Administrator und die Sicherheit von 34 Jahren Programmiererfahrung
• Interesse? Kontakt unter t.birduezen@web-coding.eu
• Zend Certified Engineer, Linux Administrator und die Sicherheit von 34 Jahren Programmiererfahrung
• Interesse? Kontakt unter t.birduezen@web-coding.eu
-
killerhorse
- Mitglied
- Beiträge: 31
- Registriert: 09.03.2004 15:15
- Wohnort: Wien
- Kontaktdaten:
-
Highjacker
- Mitglied
- Beiträge: 36
- Registriert: 23.04.2006 21:31
Wie kommst Du darauf? Das stimmt nicht. Beide Banlisten laufen unabhängig voneinander. Erst prüft er die interne und wenn dort keine Übereinstimmung erfolgte, dann prüft er den Spamfilter. Schau Dir den Code genauer an.cYbercOsmOnauT hat geschrieben:Du hast mein großes Argument überlesen, dass die interne Banned-Emails-Datenbank einfach ignoriert wird bei Dir und somit die Admins gar nicht mehr eigene böse User via Email bannen können. Wieso mergest Du denn nicht beide arrays? Ist anstrengender zu coden, macht aber mehr Sinn.
meine Foren: http://www.maxrev.de/communities.htm
Ich kaufe Dein Forum! Angebote bitte an marc at gutt punkt it
Ich kaufe Dein Forum! Angebote bitte an marc at gutt punkt it
-
cYbercOsmOnauT
- Ehemaliges Teammitglied
- Beiträge: 3820
- Registriert: 18.02.2004 23:02
- Wohnort: Göttingen
- Kontaktdaten:
Ist das ein Befehl, oder ist da jemand leicht erbost, weil er Kontra zu lesen bekommt? 
Ich lebe nunmal immer nach dem Motto "Wenn schon, dann richtig".
Aber Du hast recht, Deine Abfrage kommt nach der internen. Walte Gnade mit mir.
Trotz allem wäre die Version wie ich sie nannte wo der Admin selber manuell updaten kann erheblich sicherer und besser. Sicherheit ist, wenn man etwas nicht komplett aus der Hand gibt, sondern die Kontrolle behält. Das haben mich die Jahre gelehrt. Aber okay, wenn Du meinst, das Argument ist nicht stichhaltig und genug Menschen findest, die Dir blind vertrauen, kann ich Dir und denen nur viel Glück wünschen. Das meine ich Ernst und nicht sarkastisch.
Ich lebe nunmal immer nach dem Motto "Wenn schon, dann richtig".Aber Du hast recht, Deine Abfrage kommt nach der internen. Walte Gnade mit mir.
Trotz allem wäre die Version wie ich sie nannte wo der Admin selber manuell updaten kann erheblich sicherer und besser. Sicherheit ist, wenn man etwas nicht komplett aus der Hand gibt, sondern die Kontrolle behält. Das haben mich die Jahre gelehrt. Aber okay, wenn Du meinst, das Argument ist nicht stichhaltig und genug Menschen findest, die Dir blind vertrauen, kann ich Dir und denen nur viel Glück wünschen. Das meine ich Ernst und nicht sarkastisch.
• prof. phpbb-Installation, Reparatur, Rettung nach Hackattacken, sowie PHP/JS Programmierung aller Art
• Zend Certified Engineer, Linux Administrator und die Sicherheit von 34 Jahren Programmiererfahrung
• Interesse? Kontakt unter t.birduezen@web-coding.eu
• Zend Certified Engineer, Linux Administrator und die Sicherheit von 34 Jahren Programmiererfahrung
• Interesse? Kontakt unter t.birduezen@web-coding.eu
War nur eine Feststellung. Es bringt ja nichts irgendetwas zu behaupten was nicht stimmt. Wie gesagt, Dein Argument habe ich gelesen, nur tangiert mich das im Moment nur perifer, da ich das Add-On erstmal so testen möchte.
Mein Mod ist eigentlich nicht für die anderen, sondern für mich. Ich greife von meinen Foren aus selbst auf diese Datenbank zu, um mir die andauernden Updates zu ersparen. Und tatsächlich möchte ich nichtmal eine Liste abgleichen oder sowas (das ist ja dann wieder das gleiche Problem: In allen Foren seperat einloggen und Liste per Hand updaten), aber selbst das könnte man später nochmal automatisch oder manuell machen lassen. Nur derzeit erfüllt der Mod (hoffentlich) den Zweck, damit möglichst wenig Arbeit für mich entsteht.
Und wegen dem Vertrauen sagte ich bereits, dass man mir dieses auch schon schenkt, in dem ich selbst nach eigens gestalteten Kriterien entscheide, wann ein Spammer ein Spammer ist und alle diese Hosts übernehmen. Ob händisch oder automatisch bleibt.
Jedem steht es wie gehabt frei, den Mod einzubauen oder die Banliste händisch zu pflegen. Das ist ja auch der Grund warum ich die Liste "lesbar" ausgeben lasse über den Link:
http://www.phpbb-de.com/filter.php?spammers=display
Also wer das Vertrauen nicht hat, der kann wie gehabt per Hand weiter machen. Keiner wird zu seinem Glück gezwungen
Mein Mod ist eigentlich nicht für die anderen, sondern für mich. Ich greife von meinen Foren aus selbst auf diese Datenbank zu, um mir die andauernden Updates zu ersparen. Und tatsächlich möchte ich nichtmal eine Liste abgleichen oder sowas (das ist ja dann wieder das gleiche Problem: In allen Foren seperat einloggen und Liste per Hand updaten), aber selbst das könnte man später nochmal automatisch oder manuell machen lassen. Nur derzeit erfüllt der Mod (hoffentlich) den Zweck, damit möglichst wenig Arbeit für mich entsteht.
Und wegen dem Vertrauen sagte ich bereits, dass man mir dieses auch schon schenkt, in dem ich selbst nach eigens gestalteten Kriterien entscheide, wann ein Spammer ein Spammer ist und alle diese Hosts übernehmen. Ob händisch oder automatisch bleibt.
Jedem steht es wie gehabt frei, den Mod einzubauen oder die Banliste händisch zu pflegen. Das ist ja auch der Grund warum ich die Liste "lesbar" ausgeben lasse über den Link:
http://www.phpbb-de.com/filter.php?spammers=display
Also wer das Vertrauen nicht hat, der kann wie gehabt per Hand weiter machen. Keiner wird zu seinem Glück gezwungen
meine Foren: http://www.maxrev.de/communities.htm
Ich kaufe Dein Forum! Angebote bitte an marc at gutt punkt it
Ich kaufe Dein Forum! Angebote bitte an marc at gutt punkt it
Poste mal bitte Deine gemoddete Datei (mit meinen Änderungen) als .txt.killerhorse hat geschrieben:Ups... Tja wer lesen kann... usw...
PHP ist die Version 4.4.2
MfG
Christian
Gruß
EDIT:
*@mail15.com
hinzugefügt
meine Foren: http://www.maxrev.de/communities.htm
Ich kaufe Dein Forum! Angebote bitte an marc at gutt punkt it
Ich kaufe Dein Forum! Angebote bitte an marc at gutt punkt it
-
cYbercOsmOnauT
- Ehemaliges Teammitglied
- Beiträge: 3820
- Registriert: 18.02.2004 23:02
- Wohnort: Göttingen
- Kontaktdaten:
Will heissen, dass Mod ist so geschrieben, wie es für Dich am leichtesten ist. Das ist verständlich. Dann würde ich aber so etwas nicht veröffentlichen solange es nicht auch "für andere" okay ist.mgutt hat geschrieben:Mein Mod ist eigentlich nicht für die anderen, sondern für mich.
Ich achte Deinen Einsatz, aber solch ein totaler Kontrollverlust entspricht genau dem Gegenteil dessen, was ich (und wohl auch andere) unter Sicherheit verstehe.
Tekin
• prof. phpbb-Installation, Reparatur, Rettung nach Hackattacken, sowie PHP/JS Programmierung aller Art
• Zend Certified Engineer, Linux Administrator und die Sicherheit von 34 Jahren Programmiererfahrung
• Interesse? Kontakt unter t.birduezen@web-coding.eu
• Zend Certified Engineer, Linux Administrator und die Sicherheit von 34 Jahren Programmiererfahrung
• Interesse? Kontakt unter t.birduezen@web-coding.eu
Wie gesagt. Es steht jedem frei den Mod einzubauen oder nicht. Es ist ja nicht umsonst ein Add-On. Und irgendjemanden braucht man ja zum Testen. Sonst kommt der Mod auch nicht weiter.
Ich denke, wenn ich dieses Vertrauen missbrauche, dann wird das ganz schnell öffentlich und Du bist der 1. der es wahrscheinlich mitbekommst. Also ruhig Blut.
Gruß
EDIT:
Mir geht da gerade noch so eine Idee durch den Kopf. Was wenn man folgendes modded:
- Schritt 1: Allererster Aufruf der Registrierung: Die Datei wird von meinem Server abgerufen und lokal im Cacheverzeichnis mit Angabe eines Zeitstempels gespeichert
- Schritt 2: Der Mod untersucht, ob im Cacheverzeichnis die Datei vorhanden ist, wenn nein, dann wieder zu Schritt 1. Wenn ja, dann erfolgt kein Zugriff auf meinen Server (das erspart auch mir Serverleistung)
- Schritt 3: Nach Ablauf einer bestimmten Frist (Intervall) wird die Cachedatei aktualisiert und ein neuer Zeitstempel vergeben
Im ACP kann der User folgendes einstellen:
--> Updates: Automatisch | Manuell (Standard)
--> Intervall: 14 Tage | 30 Tage (Standard) | 90 Tage
Automatisch und Manuell unterscheiden hierbei, ob der Admin ohne eigenes Zutun die Updates zulässt oder die Spammer zeilenweise seiner eigenen Datenbank hinzufügt. Bei Manuell hat die Einstellung des Intervalls keine Wirkung.
Hier möchte ich bewusst folgendes verbieten / zulassen:
- Bei Automatisch werden keine Daten, der eigenen Datenbank hinzugefügt um zu vermeiden, dass es jemand schafft, diese Daten zu manipulieren und nachher noch gefährliche Daten in die Datenbank kommen
- Bei Manuell dagegen, ist die Cachedatei nutzlos. D.h. so lange Manuell aktiv ist, greift die Registrierung auch nicht auf meinen Server zu, sondern nur per ACP kann man sich diese Liste ziehen und bei Bedarf nach Cybernaut'S Vorschlag markieren und in die eigene Datenbank übernehmen
Wer sieht dabei noch ein Sicherheitsmanko oder hat noch Verbesserungsvorschläge?
Ich denke, wenn ich dieses Vertrauen missbrauche, dann wird das ganz schnell öffentlich und Du bist der 1. der es wahrscheinlich mitbekommst. Also ruhig Blut.
Wurde der Account per Email aktiviert?cyberdyne hat geschrieben:@ mgutt
Super, vielen Dank!
Hab auch noch einen Kandidaten
@mail.ru
Gruß
EDIT:
Mir geht da gerade noch so eine Idee durch den Kopf. Was wenn man folgendes modded:
- Schritt 1: Allererster Aufruf der Registrierung: Die Datei wird von meinem Server abgerufen und lokal im Cacheverzeichnis mit Angabe eines Zeitstempels gespeichert
- Schritt 2: Der Mod untersucht, ob im Cacheverzeichnis die Datei vorhanden ist, wenn nein, dann wieder zu Schritt 1. Wenn ja, dann erfolgt kein Zugriff auf meinen Server (das erspart auch mir Serverleistung)
- Schritt 3: Nach Ablauf einer bestimmten Frist (Intervall) wird die Cachedatei aktualisiert und ein neuer Zeitstempel vergeben
Im ACP kann der User folgendes einstellen:
--> Updates: Automatisch | Manuell (Standard)
--> Intervall: 14 Tage | 30 Tage (Standard) | 90 Tage
Automatisch und Manuell unterscheiden hierbei, ob der Admin ohne eigenes Zutun die Updates zulässt oder die Spammer zeilenweise seiner eigenen Datenbank hinzufügt. Bei Manuell hat die Einstellung des Intervalls keine Wirkung.
Hier möchte ich bewusst folgendes verbieten / zulassen:
- Bei Automatisch werden keine Daten, der eigenen Datenbank hinzugefügt um zu vermeiden, dass es jemand schafft, diese Daten zu manipulieren und nachher noch gefährliche Daten in die Datenbank kommen
- Bei Manuell dagegen, ist die Cachedatei nutzlos. D.h. so lange Manuell aktiv ist, greift die Registrierung auch nicht auf meinen Server zu, sondern nur per ACP kann man sich diese Liste ziehen und bei Bedarf nach Cybernaut'S Vorschlag markieren und in die eigene Datenbank übernehmen
Wer sieht dabei noch ein Sicherheitsmanko oder hat noch Verbesserungsvorschläge?
meine Foren: http://www.maxrev.de/communities.htm
Ich kaufe Dein Forum! Angebote bitte an marc at gutt punkt it
Ich kaufe Dein Forum! Angebote bitte an marc at gutt punkt it
