AdvancedAgreed-Mod - Kampf den Bot-Registrierungen.

Mr.M · Beitrag von **Mr.M** » 08.09.2007 16:13

Hallo zusammen,

nachdem Spam in meinem Board überhand nahm, habe ich ein wenig am Code geschraubt, dass nur noch User mit mindestens 10 Beiträgen,Links posten dürfen. FUNKTIONIERT FANTASTISCH.

Problem:
Bots registrieren sich weiterhin und schreiben nun ihren Dreck in ihr Linkfeld... und das trotz einem nahezu unmöglich lesbaren Captcha (anzusehen unter manga-zone.com) - da haben Menschen bald mehr Probleme als diese Bots wie mir scheint.

Nun habe ich aber gelesen, dass immer "mode=register&agreed=true" aufgerufen wird. Nun könnte man natürlich "agreeed" schreiben, doch die werden auch das irgendwann herausfinden bzw. wenn viele diese Variante benutzen mit in deren Protokol aufnehmen.

Meine Idee:
es wird per md5 oder crypt mit einem versteckten Schlüssel (irgendwo in der Config anzugeben) ZWEI Werte erst an die Agree-Seite übergeben:

Beispiel:
keyA=md5(ZEIT+SecretKey)
keyB=ZEIT

auf der Registerseite wird dann der keyB wieder mit dem SecretKey wie zuvor keyA zurückgerechnet und mit keyA verglichen...

Beispiel wieder hier:
manga-zone.com

Ich hab es "AdvancedAgreed-Mod" genannt - wer möchte kann ihn von mir haben bzw. bei (regem) Interesse werd ich ihn veröffentlichen.
Das hat früher schon bei von mir geschriebenen Boards funktioniert, warum sollte es jetzt nicht mehr funktionieren

Gruß
MrM

PS: ich hab ihn noch nicht veröffentlicht, da ich immernoch daran rumfeile.

Balint · Beitrag von **Balint** » 08.09.2007 17:30

Hallo!

Laßt doch dieses doofe Captcha weg und nehmt den Checkbox Challenge...

Viele Grüße,
Bálint

Seimon · Beitrag von **Seimon** » 10.09.2007 17:31

Balint hat geschrieben:Laßt doch dieses doofe Captcha weg

Hast du das Posting überhaupt gelesen?

Ron_Berlin · Beitrag von **Ron_Berlin** » 12.09.2007 02:55

Kann den Erfolg nur bestätigen. Habe das vor einiger
Zeit schon ganz genauso gelöst. Keine Links bei
weniger als 10 Postings und mit geheimen Schlüssel
bei Registrierungen. Einziger Wermuthstropfen:
man darf sich nicht genau über Mitternacht registrieren,
weil sonst der Schlüssel seine Gültigkeit verliert.

Seit dem werde ich auch von Spamern verschont.
Allerdings habe ich noch ein Protokoll eingebaut.
Der Versuch einen Link zu setzen wird nicht nur
zurückgewiesen sondern auch ein Protokoll erstellt,
das ich mir per eMail zuschicken lasse. Mit Hilfe der IP
habe ich schon einige Hoster angeschrieben und in
einem Fall sogar erreicht, daß ein Spamer vom
Netz genommen wurde.

Gruß Ron

fanrpg · Beitrag von **fanrpg** » 12.09.2007 04:48

Was bei mir Erfolg erbrachte ohne irgendwelche komischen Berechnungen oder sonstigen Capchtas. Ist die Registrierung per JavaScript abzusichern. Es wird einfach ein hidden input angelegt mit dem Namen checkkey und einem beliebigen Wert. In der usercp_register.php wird geprüft ob der Wert exakt ist. Das an sich wäre ja noch einfach aber beim Absenden des Formulars wird der Key getauscht, per JS (onsubmit).

Code: Alles auswählen

blockbots = {	
	formmailer: function()
	{
		var code = document.getElementById("checkkey");
		code.value = 'cd31714672702b277948d4adbac04c29';
	}
}

Und anstatt des Werts das im Formular angegeben wird, muss natürlich das was per JS gesetzt geprüft werden. Falls der andere Key gesendet wird, wird der Zugriff geloggt.

Is zwar relativ simpel aber hat bisher überall die Bots abgehalten.