http://matthias-hielscher.de/blog/314/Der_unsinnige_Spamschutz_eines_Gaestebuchs.html
Sep
29

Der unsinnige Spamschutz eines Gästebuchs

Soeben wurde ich per ICQ folgendes gefragt:

hö wie kann dass sein?! is mein spamschutz zu schlecht? [...] sagmal, sind diese spambots sehr schlau?

Der Code seiner Webseite, der zum Spamschutz gehört, ist folgender:

html:
Was ergibt Vier plus Vier?

<input type="text" name="antwort" size="80" />
<input type="submit" value="Eintragen" class="sender" />
<input type="hidden" name="antwort-richtig" value="8" />

Für die, die nicht verstehen, was der Code bedeutet bzw. was damit gemacht wird:
Es gibt dort 3 Eingabefelder: Eines, in dem man die Antwort (Was ergibt Vier plus Vier?) beantworten muss, eine Schaltfläche, um einen Eintrag abzusenden und ein verstecktes Eingabefeld, das die richtige Antwort enthält und bei der Überprüfung ausgewertet wird. Da die richtige Antwort jedoch fest im HTML-Code verankert ist und dann ausgewertet wird, muss diese Überprüfung immer erfolgreich sein und somit kommt jeder Spambot/Eintrag durch diesen Test. Das, was im Antwortfeld steht, ist irrelevant.

Das nenne ich mal einen effektiven Samschutz. \:thumb\: \:mrgreen\:

Bleibe auf dem Laufenden!

Wenn du den RSS-Feed abonnierst, wirst du über neue Blogeinträge benachrichtigt.

Kommentare

  • Daniel
    29.09.2007, 19:03
  • Eher wird doch geprüft, ob "antwort-richtig = antwort", und in diesem Fall der Kommentar/Eintrag zugelassen? Das wäre die sinnvollere Implementierung, mit den Infos die du hier bietest. Wobei mitschicken der richtigen Antwort immer eine Gefahr darstellt -- schließlich kann sie ausgelesen werden, und einfach im "antwort"-Feld eingetragen.
  • Matze
    (registriert)
    29.09.2007, 19:09
  • Stimmt du hast recht. Anhand vom Code kann man wirklich nicht genau aussagen, was intern abläuft und deine Möglichkeit wäre auch möglich und sogar teils ein wirksamer Schutz, sofern der Bot die Antwort nicht ausliest.

    Jedenfalls hat sich der Programmierer den Eintrag durchgelesen und nichts dran auszusetzen gehabt. Wenn ich ihn richtig verstanden habe, hat er das ausgewertet, wie ich geschrieben habe, doch vom Code her ist das nicht zu erkennen. Vollkommen richtig.

Einen Kommentar schreiben

 
 
  • : *
  • :
  • : *
* Pflichtfelder