Diskussion zu phpBB 2.0.22 erschienen

[cYbercOsmOnauT]

Mein größter Wunsch ist es, dass das phpBB etwas sicherer gegenüber Spam-Bots wird. Wie ich sehe, sind auch hier im deutschen Supportforum Spammer registriert.

Der Kampf gegen Spammer ist immer ein Kampf gegen Windmühlen. Mit jeder neuen Technik gegen Spammer, entwickeln die wiederum etwas um diese Technik auszuhebeln.

Als Beispiel dient die CAPTCHA (visuelle Bestätigung). Erst wurden Programme entwickelt, die diesen traotzdem auslesen konnten. Nun da die CAPTCHA's doch ziemlich hart wurden, setzen die Spammer auf reale Menschen, die Accounts erstellen, welche dann später zum Spammen verwendet werden.

Was könnte man zum Beispiel noch machen? User erst ab einer bestimmten Anzahl von Tagen Rechte geben URL's zu posten. Die Gegenmaßnahme wird dann sein, dass Accounts erstellt und auf Eis gelegt werden. Ich könnt noch weitere Schutzmaßnahmen und Möglichkeiten nennen, diese auszuhebeln, aber das würde zu weit gehen.

Einen 100%igen Schutz gibt es nunmal nicht und wird es nie geben. Es sei denn, Du hast ein Board das mit "Admin Activation" Registrierungen annimmt und wo in allen Foren nur registrierte posten dürfen. Und selbst dann kann ein harmlos erscheinender User, den Du freischaltest, sich plötzlich als Spammer entpuppen.

Grüße,
Tekin

[CatZe]

hoi,

Mein größter Wunsch ist es, dass das phpBB etwas sicherer gegenüber Spam-Bots wird. Wie ich sehe, sind auch hier im deutschen Supportforum Spammer registriert.

sry, aber der Weihnachtsmann kommt erst naechstes Jahr wieder

Wird Zeit, dass phpBB eine Lösung angebietet, die alle Forenbetreiber ohne Probleme anwenden können. Ich möchte nicht gerne im Code herumwwrtscheln, da ich nicht weiß, wie sich das bei updates auswirken kann.

wirkt sich aehnlich aus, wie bei allen eingebauten MODs .. und die Ultimative Antispam Methode gibt es nicht. In meinem Forum haben sich seit Wochen keine Bots mehr angemeldet (Massnahme scheint gut zu funktionieren), dafuer hab ich noch Probleme mit manuellem SPAM .. das ist wie mit Antivirensoftware, einen 100%igen Schutz gibt es nicht

Was meint ihr?
Schöne Weihnachten
Heinz

siehe oben .. aber auch Dir schoene Weihnachten

[Würzi]

Moin

Kann mir das noch jemand ein bisschen übersetzen, damit ich wenigstens weiss was ich eingebaut habe?

Code: Alles auswählen

[Fix] Check for user's existence prior to showing email form 
[Fix] New members of moderator groups should always become moderators (Bug #382) 
[Fix] Proper message when replying to non-existant topics (Bug #459) 
[Fix] Changed column type of search_array to store more ids (Bug #4058) 
[Fix] Fixed annoyance with font-size selector (Bug #4612) 
[Fix] Fix optimize line in database updater (Bug #6186) 
[Sec] Check for the avatar upload directory reinforced 
[Sec] Changes to the criteria for "bad" redirection targets - kellanved 
[Sec] Fixed a non-persistent XSS issue in private messaging 
[Sec] Fixing possible negative start parameter - SpiderZ. 
[Sec] Added session checks to various forms - kellanved

Das Update hätte auch gut bei mir geklappt
Der Glühwein war schuld, daß ich eine Zeile ersetzt habe, statt darunter eingefügt.

Aber sonst....
Trotz eingebauter Mods kein Problem.

[renet]

Oh, ein ganz frisches Update. Dann ändert mal schnell den Forum-Titel "Diskussion zu phpBB 2.0.22 erschienen :: phpBB.de - Aktuelle Version: phpBB2.0.21"

Eine Frage hätte ich da noch, ich hätte gerne nur die Dateien, die verändert wurden downgeloadet, wohlgemerkt aber für die deutsche Version. (Damit ich weiß, welche Dateien ich erneut bearbeiten muss -> installierte Mods) Laut den Beschreibungen in den Dateien gibt es aber eine solche Version nicht, es gibt bloß eine Version, die die veränderten Dateien der Deutschen 2.0.22 im Vergleich zur Englischen 2.0.22 enthält...?

[Gumfuzi]

doch, "Code Changes" habe ich auch eben runtergeladen, dauerte aber eine Weile, da wohl große Nachfrage besteht.

[pharao]

Der Kampf gegen Spammer ist immer ein Kampf gegen Windmühlen. Mit jeder neuen Technik gegen Spammer, entwickeln die wiederum etwas um diese Technik auszuhebeln......

Sicher hast Du recht, aber mit aktuell verfügbaren Mitteln kann man schon eine ganze Menge machen. Ich hatte bis vor 3 Wochen ein wirklich spambelastendes Forum am Laufen (bis zu 30 pro Tag), hab dann intensiv was gegen unternommen und seitdem _keine_ einzige Spamanmeldung mehr. Klar, 100% sicher ist auch das nicht, aber wenns nur ein paar sind, kann man die auch per Hand aussortieren ;o)

Ich hab erstmal alle eindeutig asiatischen und lateinamerikanischen IP-Adressen komplett ausgesperrt, dann den proxy-mod und einen selbstgestrickten reverse-lookup-mod installiert. Wer also von anon-proxies kommt oder dessen ip nicht zu einem host auflöst; bleibt sowieso gleich ganz draußen. Dann noch den agreeed-hack, den humanizer-mod, einen mod, der das feld 'website' während der registrierung verschwinden lässt sowie einen, der den mx-record der angegebenen email-adresse überprüft. Mit diesen Maßnahmen habe ich den Spammern nen Haufen Arbeit gemacht und auch Sinn genommen, ihren Müll zurückzulassen. Sollte es doch einer schaffen sich anzumelden und er versucht es in Beiträgen - Nun, die meisten bekannten Spambegriffe (etwa 200) werden vom Wortfilter durch das Wort ~SPAM~ ersetzt. Viel Spaß kann ich da nur sagen.

Wenn spammen nix mehr bringt, weil sie nicht mehr das erreichen, worum es ihnen eigentlich geht (Links/Rating/Pagerank), geben die Spammer irgendwann ganz von alleine auf und dann _ist_ der Schutz 100%'ig.

Ich denke, in einigen Monaten reicht der Schutz per Wortfilter wieder völlig aus, weil schon jetzt der Aufwand der Spammer den Nutzen ihres Tuns übersteigen dürfte.

pharao

[miccom]

Aber warum habt ihr die Ankündigung nicht schon früher gemacht?

Weil wir an Weihnachten auch noch andere Dinge machen und nicht nur hier im Forum rumhängen.

Eben, und daher hatte ich nach der phpBB.com Patchveröffentlichung das geschrieben:

Da hat uns die phpBB Group aber ein nettes Weihnachtsgeschenk gemacht - ich habe ja nichts gegen das Update, es ging schnell und fehlerfrei, aber ausgerechnet den 23./24.12. auszusuchen finde ich ja schon etwas schräg... gerade jetzt sind die meisten eben NICHT am Rechner. Da wäre ne Woche vorher deutlich besser gewesen.

Oder meint die Group, den Admins damit einen Gefallen zu machen - anstatt feiern mit der Familie, lieber Boards absichern (kk, es ging diesmal flott, aber trotzdem).

just my 2 cents

[kellanved]

Da hat uns die phpBB Group aber ein nettes Weihnachtsgeschenk gemacht - ich habe ja nichts gegen das Update, es ging schnell und fehlerfrei, aber ausgerechnet den 23./24.12. auszusuchen finde ich ja schon etwas schräg... gerade jetzt sind die meisten eben NICHT am Rechner. Da wäre ne Woche vorher deutlich besser gewesen.

Oder meint die Group, den Admins damit einen Gefallen zu machen - anstatt feiern mit der Familie, lieber Boards absichern (kk, es ging diesmal flott, aber trotzdem).

just my 2 cents

Die Termine werden ja nicht ausgesucht, um die Nutzer zu verärgern. Leider hat ein Schmerzkeks vor ein paar Tagen eine (an sich eher harmlose) Sicherheitslücke über Bugtraq gepostet - von daher war das Release erzwungen. Und dass die Entwickler solche Aufgaben lieber noch vor Weihnachten durchziehen ist auch verständlich.
Sonst halt einfach erst nach Weihnachten updaten - die Gefährdung ist ja durch das Update nicht gestiegen

[miccom]

Naja, wenn sich die phpBB Group dazu gezwungen sah, dann tun sie mir genauso leid wie die ganzen Admins.

[langeweile]

if (ich == klugscheißer)
{


ganz oben im browser fenster steht noch:
Aktuelle Version:phpBB2.0.21


}