Wird der gefühlte oder auch befürchtete Leidensdruck größer, lassen sich die Soldaten einfacher für eine Sache rekrutieren. So sprießen nun auch im deutschsprachigen Raum diverse Ideen, wie man dem Gegner begegnet.
Erste Verluste gibt es leider auch schon/bald. Hier eine kleine Auflistung einiger Taktiken:
Dabei haben alle Methoden ihre Vor- und Nachteile, wie man aus den Kommentaren der jeweiligen Beiträge entnehmen kann. In der theoretischen Betrachtung scheinen alle Methoden prinzipiell knackbar zu sein. Wie's in der Praxis aussieht, wird die Zeit und die Rüstungsgeschwindigkeit beider Seiten zeigen.
Festzuhalten bleiben dabei folgende, für mich wertvolle Aussagen aus obiger Liste:
- Grafische Captchas sind nicht barrierefrei
- Text-Captchas zum Teil auch nicht
- Für die Spammer zählt Quantität vor Qualität
- Die Verbeitung einer Methode, wird die Entwicklungsgeschwindigkeit entsprechender Gegenmaßnahmen seitens der Spammer erhöhen (was alleine schon durch den vorherigen Punkt bedingt wäre)
Wir brauchen also Methoden, die Spammerskripte rein technisch nicht so leicht knacken können, die die Barrierefreiheit (nicht nur aus Sicht der Accessibility, sondern auch der allgemeinen Usability) unserer Seiten nicht mindern und die auf der Gegnerseite möglichst keinen Anpassungsdruck durch weite Verbreitung erzeugen. Knifflige Aufgabenstellung.
Mögen wir interessante Zeiten erleben.
1
Boris: Denke auch, dass nur eine Kombination von Methoden und besagte Vielfalt wirkungsvoll sein können. Hierbei auch noch die Referer-Spammer zu bedenken, kann auch nicht verkehrt sein. Ich setze inzwischen auf diverse WP-Plugins, die auf Blacklists u.ä. basieren, gleichzeitig schaue ich mir an, ob der Spam aus eindeutig identifizierbaren Quellen kommt (z.B. IP-Adressen bzw. -blöcke). Da bieten sich dann .htaccess oder gar iptables-Regeln an (wenn man an die Serverkonfig ran kann..).
Aber auch auf WP-Skriptebene (Dateien, die die Kommentare annehmen, verarbeiten etc. müsste sich doch was machen lassen, neben problematischen Captchas? Hmmm.... nachdenk....
2
Sascha Carlin: Zwei 'Tipps', die sich am Ende des Textes über Secret Tags verstecken und allgemein gültig sein:
Benenne Skriptnamen um. Aus mt-comments.cgi mache zum Beispiel _mt-comments.cgi oder auch sdfgtr.cgi.
Benenne Feldnamen um. Aus comment mache _comment oder fgntjzjt.
3
Pepino: Mir geht's in 1. Linie mal darum, daß ich diese automatisierten Spam-Skripte in's Nirvana schicken kann und dennoch nicht den Kommentarwilligen dadurch zu sehr bestrafe.
Leider scheinen auch die Spammer inzwischen über P2P-Netzwerke zu kommunizieren und sich auszutauschen, so daß IP-Sperren nutzlos sind, weil es viele verschiedene Zugriffe rund um den Globus verteilt gibt.
4
C-blog - Bock auf Blog » Vergleich von Spam-Filter: [...] e in Weblogs berhand nehmen, hat Alp die verschiedenen Abwehrstrategien fr Kommentarspam verglichen. 15:08 Uhr | Christoph H�l | [...]
5
alp: Ja, Skriptnamen umändern und Captchas werden vorläufig als Schutz gegen automatisierte Spammerskripte wirken. Aber, wie gesagt, wenn diese Methoden in die weitverbreiteten Tools implementiert werden, ist es damit bestimmt bald vorbei. Dann beginnt das Spielchen von Neuem.
6
Pepino: Immer schön flexibel bleiben...
7
alp: Jo, bleibt wohl nichts anderes übrig und "belebt" die Branche
8
fwolf: Tipp: das mit den 'geheimen Tags' interessiert die meisten Spambots wenig. Seitdem ich meine QuickMsg-Funktion eingebaut habe, bekomme ich auch dort regelmäßig Comment Spam, obwohl das ausgerechnet dort überhaupt keinen Sinn macht! Da wäre normaler Spam noch weitaus sinniger (wobei der bei mir eh nie durchkommt - dank SpamAssassin
).
.
Anscheinend scannen einige Spambots einfach nach form-Tags, uninteressant, ob Kommentarform oder was gänzlich anderes. Andererseits könnte man sich dieses Verhalten z.B. per Sessionübergabe an der URL, Cookies, usw. zunutze machen: gibt's keine Session, fehlt das Cookie, oder wurde die Session innerhalb von 3 Sekunden weitergereicht bei einer Wagenladung Text, so isses höchstwahrscheinlich Comment Spam - ergo auf 'Awaiting Moderation' zu setzen. Punkt.
Zwecks deiner neuen Vorschaufunktion (siehe Mail): meine momentane Kiste fährt mit sowas wie nem übertakteten WinChip 233 und (stellenweise) Windoof 98 SE, also völlig überaltet. Aber solange ich noch vernünftig mit Homesite/Photoshop/Dreamweaver/Fireworks/OOo arbeiten kann, ist mir das relativ egal. Irgendwann, vor langer langer Zeit (4 Monate oder so), hatte ich auch noch ein Notebook mit sagenhaften 533 Mhz und 196 MB RAM, aber da hat sich zuerst die Festplatte und dann irgendwie das CD-ROM verabschiedet, ergo liegt selbiges momentan nur bei meinem Da rum und setzt Spinnweben an.
Diesen Text hab ich jetzt übrigens aus Mangel an Geduld im EditPad getippt - das geht erheblich schneller und Vorschau brauch ich auch ned wirklich (HTML-Kodieren tun wir nun ja auch schon etwas länger)
cu, w0lf.
9
fwolf: @ sascha: das Umbenennen von Feldern interessiert Spambots nicht die Bohne. Zumindest m.E. nach.
Siehe dazu meinen Eintrag eins weiter oben.
cu, w0lf.
10
jnew.de - jetzt noch ein weblog » Kampf dem Kommentar-Spam: [...] ch nicht schlecht, oder? Noch mehr Taktiken, sowie deren Vor- und Nachteile gibt es bei Alp Uçkan. Am besten gefällt mir der ASP = Automatic Spam Protecto [...]
11
Marc: Hier habe ich auch nochmal einige Methoden zur SPAM Abwehr vorgestellt, vielleicht interessiert es den ein oder anderen ...
12
Steffen: Ich denke, hidden fields sind eine sehr gute Lösung, wenn der Feldname per JavaScript berechnet wird. Auf dem Server wird dann gecheckt, ob dieses Feld existiert.
Mehr zu dieser Lösung gibt's unter http://elliottback.com/wp/archives/2004/11/29/spam-stopgap-extreme/
Captchas sind in meinen Augen eine eher schlechte Lösung.