Hallo Foris,
weiß jemand, wie diese Autoanmeldungen funktionieren? Woran machen die fest, welcher Inhalt in die Felder auf der Registrationsseite kommt?
Ich würde ja vermuten, dass das anhand des Namens des input-Feld gemacht wird. Soll heißen, dass Programm schreibt in das Input-Feld "eMail" eben die eMailadresse.
Weiß jemand ob das so geht?
Gruß Paulaner
Autoanmeldungen
Forumsregeln
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
-
cYbercOsmOnauT
- Ehemaliges Teammitglied
- Beiträge: 3820
- Registriert: 18.02.2004 23:02
- Wohnort: Göttingen
- Kontaktdaten:
Ich stell mir zwar gerade die Frage wozu Du das wissen willst, aber okay.
Es ist ganz einfach. Die Felder haben bei 99.999% der installierten phpBBoards denselben name=. Somit muss ein Spambot gar nicht erst auf die Seite schauen um herauszufinden, was wohin gehört. Er ballert einfach die POST-Daten Richtung Board und weiß, dass er bei 9999 von 10000 damit durchkommt.
Grüße,
Tekin
Es ist ganz einfach. Die Felder haben bei 99.999% der installierten phpBBoards denselben name=. Somit muss ein Spambot gar nicht erst auf die Seite schauen um herauszufinden, was wohin gehört. Er ballert einfach die POST-Daten Richtung Board und weiß, dass er bei 9999 von 10000 damit durchkommt.
Grüße,
Tekin
• prof. phpbb-Installation, Reparatur, Rettung nach Hackattacken, sowie PHP/JS Programmierung aller Art
• Zend Certified Engineer, Linux Administrator und die Sicherheit von 34 Jahren Programmiererfahrung
• Interesse? Kontakt unter t.birduezen@web-coding.eu
• Zend Certified Engineer, Linux Administrator und die Sicherheit von 34 Jahren Programmiererfahrung
• Interesse? Kontakt unter t.birduezen@web-coding.eu
ich möchte das wissen, weil ich auch ein spambot bauen will 
ne quatsch... ich werde mein forum nun aber so umprogrammieren, diese spamtbots keine chance mehr haben. ich habe mir das so vorgestellt:
das feld "name" erhält z.b. fest die zahl 10.
das feld "password" erhält die zahl 11.
wenn nun der name des feldes gebraucht wird, generiere ich den wie folgt:
name = registierungsdatum erster user * date() / 10;
password = registierungsdatum erster user * date('Ymd', time()) / 11;
wenn ich nun im nächsten script auf das feld zugreifen will, muss ich den namen auch erst wieder errechnen... was passiert, der name des feldes wechselt pro aufruf und kann von spamern nicht mehr verwendet werden.
wenn die natürlich nach der reihenfolge der felder gehen.
also so.
1. Name
2. Passwort
dann bringt das nix, dann muss man die reihenfolge der felder per zufall ausgeben...
was meint ihr zu der idee? bringt das was?
ne quatsch... ich werde mein forum nun aber so umprogrammieren, diese spamtbots keine chance mehr haben. ich habe mir das so vorgestellt:
das feld "name" erhält z.b. fest die zahl 10.
das feld "password" erhält die zahl 11.
wenn nun der name des feldes gebraucht wird, generiere ich den wie folgt:
name = registierungsdatum erster user * date() / 10;
password = registierungsdatum erster user * date('Ymd', time()) / 11;
wenn ich nun im nächsten script auf das feld zugreifen will, muss ich den namen auch erst wieder errechnen... was passiert, der name des feldes wechselt pro aufruf und kann von spamern nicht mehr verwendet werden.
wenn die natürlich nach der reihenfolge der felder gehen.
also so.
1. Name
2. Passwort
dann bringt das nix, dann muss man die reihenfolge der felder per zufall ausgeben...
was meint ihr zu der idee? bringt das was?
Zuletzt geändert von Paulaner am 19.02.2007 12:43, insgesamt 1-mal geändert.
Hi,
diese kleine Veränderung schütz Dich weitaus mehr:
http://www.phpbb.de/viewtopic.php?t=120649
Der Bot versucht ja direkt über einen Link sich zu registrieren ( GET Methode ).
Wenn man die GET Methode wegnimmt ( also nur POST zulässt ) haben 99 % der Bots keine Chance mehr.
diese kleine Veränderung schütz Dich weitaus mehr:
http://www.phpbb.de/viewtopic.php?t=120649
Der Bot versucht ja direkt über einen Link sich zu registrieren ( GET Methode ).
Wenn man die GET Methode wegnimmt ( also nur POST zulässt ) haben 99 % der Bots keine Chance mehr.
-
cYbercOsmOnauT
- Ehemaliges Teammitglied
- Beiträge: 3820
- Registriert: 18.02.2004 23:02
- Wohnort: Göttingen
- Kontaktdaten:
Eine 100%ige Lösung gibt es nicht.. man kann es nur den Spamusern so schwer wie möglich machen. Wie schon mehrfach hier berichtet, gehen die Spammer nun sogar dazu, die Anmeldungen wirklich manuell von Menschen durchführen zu lassen. Da bringt der beste POST- und CAPTCHA-Schutz auch nichts mehr.
Wege denen das Leben zu erschweren gibt es trotzdem. Nur sollten diese nicht öffentlich ausgesprochen werden (sorry), damit der eigene Schutz wenigstens sehr lange effektiv bleibt. So wie ich zum Beispiel einiges bei englisch-hilfen.de eingebaut habe, was ich nicht veröffentlichen würde. Bei denen ist zu 99.9% Ruhe.
Grüße,
Tekin
Wege denen das Leben zu erschweren gibt es trotzdem. Nur sollten diese nicht öffentlich ausgesprochen werden (sorry), damit der eigene Schutz wenigstens sehr lange effektiv bleibt. So wie ich zum Beispiel einiges bei englisch-hilfen.de eingebaut habe, was ich nicht veröffentlichen würde. Bei denen ist zu 99.9% Ruhe.
Grüße,
Tekin
• prof. phpbb-Installation, Reparatur, Rettung nach Hackattacken, sowie PHP/JS Programmierung aller Art
• Zend Certified Engineer, Linux Administrator und die Sicherheit von 34 Jahren Programmiererfahrung
• Interesse? Kontakt unter t.birduezen@web-coding.eu
• Zend Certified Engineer, Linux Administrator und die Sicherheit von 34 Jahren Programmiererfahrung
• Interesse? Kontakt unter t.birduezen@web-coding.eu
