Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Spamschutzverfahren für Drupal

64,912 views

Published on

Vortrag beim Drupal Meetup Stuttgart, 9.3.2013

  • DOWNLOAD THAT BOOKS INTO AVAILABLE FORMAT (2019 Update) ......................................................................................................................... ......................................................................................................................... Download Full PDF EBOOK here { http://bit.ly/2m77EgH } ......................................................................................................................... Download Full EPUB Ebook here { http://bit.ly/2m77EgH } ......................................................................................................................... Download Full doc Ebook here { http://bit.ly/2m77EgH } ......................................................................................................................... Download PDF EBOOK here { http://bit.ly/2m77EgH } ......................................................................................................................... Download EPUB Ebook here { http://bit.ly/2m77EgH } ......................................................................................................................... Download doc Ebook here { http://bit.ly/2m77EgH } ......................................................................................................................... ......................................................................................................................... ................................................................................................................................... eBook is an electronic version of a traditional print book that can be read by using a personal computer or by using an eBook reader. (An eBook reader can be a software application for use on a computer such as Microsoft's free Reader application, or a book-sized computer that is used solely as a reading device such as Nuvomedia's Rocket eBook.) Users can purchase an eBook on diskette or CD, but the most popular method of getting an eBook is to purchase a downloadable file of the eBook (or other reading material) from a Web site (such as Barnes and Noble) to be read from the user's computer or reading device. Generally, an eBook can be downloaded in five minutes or less ......................................................................................................................... .............. Browse by Genre Available eBooks .............................................................................................................................. Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, ......................................................................................................................... ......................................................................................................................... .....BEST SELLER FOR EBOOK RECOMMEND............................................................. ......................................................................................................................... Blowout: Corrupted Democracy, Rogue State Russia, and the Richest, Most Destructive Industry on Earth,-- The Ride of a Lifetime: Lessons Learned from 15 Years as CEO of the Walt Disney Company,-- Call Sign Chaos: Learning to Lead,-- StrengthsFinder 2.0,-- Stillness Is the Key,-- She Said: Breaking the Sexual Harassment Story That Helped Ignite a Movement,-- Atomic Habits: An Easy & Proven Way to Build Good Habits & Break Bad Ones,-- Everything Is Figureoutable,-- What It Takes: Lessons in the Pursuit of Excellence,-- Rich Dad Poor Dad: What the Rich Teach Their Kids About Money That the Poor and Middle Class Do Not!,-- The Total Money Makeover: Classic Edition: A Proven Plan for Financial Fitness,-- Shut Up and Listen!: Hard Business Truths that Will Help You Succeed, ......................................................................................................................... .........................................................................................................................
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • DOWNLOAD THAT BOOKS INTO AVAILABLE FORMAT (2019 Update) ......................................................................................................................... ......................................................................................................................... Download Full PDF EBOOK here { http://bit.ly/2m6jJ5M } ......................................................................................................................... Download Full EPUB Ebook here { http://bit.ly/2m6jJ5M } ......................................................................................................................... Download Full doc Ebook here { http://bit.ly/2m6jJ5M } ......................................................................................................................... Download PDF EBOOK here { http://bit.ly/2m6jJ5M } ......................................................................................................................... Download EPUB Ebook here { http://bit.ly/2m6jJ5M } ......................................................................................................................... Download doc Ebook here { http://bit.ly/2m6jJ5M } ......................................................................................................................... ......................................................................................................................... ................................................................................................................................... eBook is an electronic version of a traditional print book that can be read by using a personal computer or by using an eBook reader. (An eBook reader can be a software application for use on a computer such as Microsoft's free Reader application, or a book-sized computer that is used solely as a reading device such as Nuvomedia's Rocket eBook.) Users can purchase an eBook on diskette or CD, but the most popular method of getting an eBook is to purchase a downloadable file of the eBook (or other reading material) from a Web site (such as Barnes and Noble) to be read from the user's computer or reading device. Generally, an eBook can be downloaded in five minutes or less ......................................................................................................................... .............. Browse by Genre Available eBooks .............................................................................................................................. Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, ......................................................................................................................... ......................................................................................................................... .....BEST SELLER FOR EBOOK RECOMMEND............................................................. ......................................................................................................................... Blowout: Corrupted Democracy, Rogue State Russia, and the Richest, Most Destructive Industry on Earth,-- The Ride of a Lifetime: Lessons Learned from 15 Years as CEO of the Walt Disney Company,-- Call Sign Chaos: Learning to Lead,-- StrengthsFinder 2.0,-- Stillness Is the Key,-- She Said: Breaking the Sexual Harassment Story That Helped Ignite a Movement,-- Atomic Habits: An Easy & Proven Way to Build Good Habits & Break Bad Ones,-- Everything Is Figureoutable,-- What It Takes: Lessons in the Pursuit of Excellence,-- Rich Dad Poor Dad: What the Rich Teach Their Kids About Money That the Poor and Middle Class Do Not!,-- The Total Money Makeover: Classic Edition: A Proven Plan for Financial Fitness,-- Shut Up and Listen!: Hard Business Truths that Will Help You Succeed, ......................................................................................................................... .........................................................................................................................
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • DOWNLOAD THIS BOOKS INTO AVAILABLE FORMAT (Unlimited) ......................................................................................................................... ......................................................................................................................... Download Full PDF EBOOK here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... Download Full EPUB Ebook here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... ACCESS WEBSITE for All Ebooks ......................................................................................................................... Download Full PDF EBOOK here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... Download EPUB Ebook here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... Download doc Ebook here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... ......................................................................................................................... ......................................................................................................................... .............. Browse by Genre Available eBooks ......................................................................................................................... Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult,
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • Be the first to like this

Spamschutzverfahren für Drupal

  1. 1. Spamschutz-verfahren (nichtnur) für DrupalDrupal Meetup Stuttgart 9.3.2013 - drubb
  2. 2. Was ist hier mit Spam gemeint?Ähnlich den Robots oder Crawlern der Suchmaschinen gibt es böswillige Robots, sogenannteSpambots. Sie scannen Webseiten auf Schwachstellen, um Daten zu sammeln, Linkbuilding zubetreiben oder Werbung bzw. Malware zu verbreiten.E-Mail-HarvestingSpambots suchen auf Webseiten nach lesbaren E-Mail-Adressen und sammeln diese, um späterMassen-Mailings mit Werbung, Malware o.ä. zu versendenFormular-SpamSpambots versuchen auf Webseiten zu posten, um auf ihre Seiten zu verlinken, Werbung zuplatzieren oder Malware-Links anzubringen. Dazu versuchen sie ggf. auch, sich auf der Seite zuregistrieren oder einzuloggen.Warum das Ganze?Ganz einfach: es geht um Geld! Spamming ist ein Milliardenmarkt!
  3. 3. Schwachstellen von SpambotsSpambots erkennen i.a. JavaScript oder CSS nichtDiese Technologien sind verwendbar, um Spambots in die Irre zu führen.Spambots habens eilig!Kein langes Ausprobieren, Suchen oder Warten bei Verzögerungen.Spambots können kein Deutsch!Wirkungsvolle Methoden z.B. im Zusammenhang mit Captchas möglich.Aber: Spambots sind lernfähig!Abwehrtechniken müssen laufend überprüft und angepasst werden.
  4. 4. Wo sitzen die Spammer? Quelle: trustwave.com, Stand März 2013
  5. 5. Maßnahmen gegen E-Mail-HarvestingE-Mail-Adressen einfach nicht anzeigenSehr wirksam, aber nicht immer praktikabelE-Mail-Adressen als Bild platzierenProblem: BarrierefreiheitE-Mail-Adressen verschleiern- manuell, z.B. "info [at] muster [dot] de"- automatisch, z.B. mit Hilfe von JavaScript: ohne JS: <span class="spamspan"><span class="u">m.muster</span> [at] <span class="d">t-online [dot] de</span></span> mit JS: <a href="mailto:m.muster@t-online.de" class="spamspan mailto">m.muster@t-online.de</a>Geeignete Drupal Module:http://drupal.org/project/spamspanhttp://drupal.org/project/invisimail
  6. 6. Allgemeine Maßnahmen gegen Formular-SpamAnonyme Benutzer nichts posten lassenWirksam, aber nicht immer gewünscht (Barriere)E-Mail-VerifizierungNeue Benutzer, oder ggf. Posts, müssen per Mail bestätigt werden.ModerationBeiträge, Kommentare oder neue Benutzer vor Freischaltung kontrollieren. Nicht immer praktikabel.Postings für Spammer unattraktiv machenKommentare auf gesonderter Seite platzieren, ausgehende Links mit REL="NOFOLLOW" versehen.Abfrage einschlägiger BlacklistsIP-Adressen bekannter Spammer werden gesperrt.Beispiele dazu: http://drupal.org/node/599512
  7. 7. Spam-Erkennung durch Captchas(kleine Aufgaben)Grundidee:Zusätzlich zu den eigentlichen Formulareingaben muss der Benutzer eine kleine Aufgabe lösen, z.B.ein Bilderrätsel, eine Matheaufgabe, eine Frage beantworten, und Ähnliches. Spamrobots können dasim Idealfall nicht.Verfahren:Bild-Captcha, Mathe-Captcha, Riddle, Spiele,...Problem:- Usability / Accessibility, vor allem bei Bilderrätseln. Alternativen ermöglichen!- Spambots nutzen z.T. OCRGeeignete Drupal Module:http://drupal.org/project/captchahttp://drupal.org/project/recaptcha (externer Service)
  8. 8. Beispiele für CaptchasUngeeignet (kaum lesbar, nicht barierrefrei): Besser (barrierefreier, Reload): Textalternative (sehr wirksam):
  9. 9. Honeypot: die falsche FährteGrundidee:Man bietet Spambots ein Formularfeld an, das normale Benutzer nicht sehen können. Wird das Feldausgefüllt, besteht Spamverdacht!Verfahren:Das spezielle Formularfeld wird per CSS oder Javascript ausgeblendet. Beides können Spambotsnormalerweise nicht erkennen.Problem:Barrierefreiheit, bei JavaScript nicht gegeben. Besser bei CSS!Geeignete Drupal Module:http://drupal.org/project/honeypothttp://drupal.org/project/spamicide
  10. 10. Textanalyse der FormulareingabenGrundidee:Eingegebene Texte werden auf verdächtige Inhalte geprüft, z.B. einschlägige Begriffe (viagra, porn,swarovski, money...), um Spam zu erkennen.Verfahren:Früher wurde das über Listen mit Stoppworten gemacht, heute werden i.a. externe Services dafürgenutzt, z.B. Akismet, Defensio oder MollomProblem:Datenschutz! Die Formulareingaben werden an einen externen Server geschickt, i.a. in den USA.Dieser unterliegt nicht dem BDSG. Deshalb ist ein entsprechender Datenschutzhinweis zwingenderforderlich! Und: was tun, wenn der Serviceprovider nicht erreichbar ist?Geeignete Drupal Module:http://drupal.org/project/antispamhttp://drupal.org/project/mollom
  11. 11. Beispiel ( hier für Drupal 6):Modul "Mollom"
  12. 12. Analyse des Formular-TimingsGrundidee:Formulare die zu schnell ausgefüllt und abgeschickt wurden, wurden wahrscheinlich automatisiertbearbeitet -> Spamverdacht!Verfahren:Es wird eine Mindestdauer zum Ausfüllen des Formulars verlangt. Schnellere Eingaben werdenabgewiesen, und das Formular ggf. für einige Zeit gesperrt.Problem:Bei kurzen Formularen ist die Zeitspanne u.U. zu hoch -> FehlalarmAusfüllhilfen (Autofill durch Browser oder spezielle Tools) -> FehlalarmGeeignete Drupal Module:http://drupal.org/project/honeypothttp://drupal.org/project/botcha
  13. 13. Beispiel für Drupal 7:Modul "Honeypot"
  14. 14. Verstecken von CMS-typischen URLsGrundidee:Die Adressen der Standardformulare von großen CMS sind bekannt und werden gezielt angelaufen.Beispiel: /user/register, /contact, /guestbook, /forum, usw. Also schreibt man diese um.Verfahren:Aus Drupals "user/register" wird z.B. "registrieren" gemacht, die ursprüngliche URL erzeugt einenFehler oder führt auf ein irrelevantes Formular (s. Honeypot)Problem:Sollte nicht als einziges Verfahren eingesetzt werden. Wird das Formular vom Spamrobot entdeckt, istes nicht weiter geschützt.Geeignete Drupal Module:http://drupal.org/project/rename_admin_paths
  15. 15. Beispiel für Drupal 7:Modul "Rename Admin Paths"
  16. 16. SchlussfolgerungenVerfahren kombinieren!Mehrere Verfahren einsetzen, sortiert nach Aufdringlichkeit (unobstrusive -> obstrusive). Also nichterst die IP sperren und dann ein Captcha anzeigen! Beispiele: Mollom, HoneypotFallbacks bereitstellen!- wenn eine Technologie nicht zur Verfügung steht (z.B. JS)- wenn ein externer Service nicht erreichbar ist- wenn eine Fähigkeit nicht zur Verfügung steht (z.B. Lesen)Usability berücksichtigen!Captchas können sehr schnell nerven, Zeitsperren auch!Accessibility beachten!Barrierefreiheit, z.B. für fehlsichtige, blinde oder taube BenutzerDatenschutz berücksichtigen!
  17. 17. Fragen / DiskussionZum Weiterlesen:http://de.wikipedia.org/wiki/Spamhttp://www.lifeisaprayer.com/articles/web-design/2011/preventing-form-spamhttps://www.trustwave.com/support/labs/spam_statistics.aspDiese Folien als PDF:http://www.slideshare.net/drubb

×