Beiträge von EV21 im Thema „Sicherheitsproblem ?“

  • Sicherheitsproblem ?

    Zitat von nicoletta


    Die Mail-Authentifizierung ist eigentlich ausreichend.


    Nein, valide Mailserver können in wenigen Sekunden aufgesetzt werden und genau so können auch gültige DNS-Records (MX) und Domains registriert werden. Außerdem werden dafür auch genügend gehackte (echte) Mail-Accounts verwendet, die (Datenbanken) kann man sich für wenig Geld einfach kaufen und entsprechend durchprobieren. - Die Bots sind in der Lage den Aktivierungslink aus der E-Mail entsprechend zu erkennen und aufzurufen, dafür ist keine Zauberei nötig.

    Zitat von nicoletta


    es müssen Bereiche des Forums für bots in der robots.txt gesperrt werden


    Wieso? An die robots.txt halten sich nur die "guten" Bots wie Google und Co.. - Spam-bots sind per Definition nicht gut und identifizieren sich selbst oft im User-Agent als normaler Browser-User, jedenfalls würde ich es so machen.

    Zitat von nicoletta


    über eine .htaccess Datei lassen sich bots sprerren, bzw laufen die ins Leere.


    Hast Du das auch schon selbst umgesetzt? - Wie bereits erwähnt, eine Umleitung in Abhängigkeit der User-Agents ist den Aufwand nicht wert und in vielen Fällen nicht ohne Kollateralschäden umsetzbar.

    Außerdem geht es doch viel einfacher, indem man einfach Q&A benutzt.

    Zitat von nicoletta


    Aber ich glaube das habe ich schon mal geschrieben.


    genau

    Zitat von phpBB Administrations-Bereich > Server-Konfiguration > Sicherheit

    IP gegen Schwarze DNS-Liste prüfen:
    Wenn aktiviert, wird die IP-Adresse des Benutzers bei der Registrierung und bei der Beitragserstellung gegen folgende DNSBL-Dienste geprüft: spamcop.net und http://www.spamhaus.org. Diese Prüfung kann, abhängig von der Serverkonfiguration, etwas Zeit in Anspruch nehmen. Wenn Verzögerungen oder zu viele falsche Ablehnungen beobachtet werden, sollte diese Prüfung deaktiviert werden.


    Wenn man schon sperren einrichten möchte, dann wäre auch das eine Möglichkeit. Das dürfte standardmäßig nicht aktiviert sein. - Das Feature gibt es auch schon seit vielen Jahren in phpBB, damals nach Einführung hatte ich es jedoch nur kurz genutzt und dann wieder abschalten müssen, da der Anbieter auch immer wieder die dynamisch vergebenen Adressen von Endkunden-Anschlüssen in der Liste hatte. - Austragungen aus der Liste sind (waren?) schwierig und langwierig - Hier wäre ich auch vorsichtig, da müsste man schauen ob das inzwischen besser läuft.

  • Sicherheitsproblem ?

    Boris hat ja scheinbar noch nichts am System geändert bzw hat vielleicht vergessen das andere System zu aktivieren (Q&A), also ich sehe immer noch das Standard-Captcha im Registrierungs-Dialog.

  • Sicherheitsproblem ?

    Das ist ein ganz "normaler" Spam bot. - Das Standard-CAPTCHA ist einfach ungenügend, da kommt mit den einfachen Standard-Parametern jeder Bot vorbei. Jedoch bin ich persönlich auch kein Fan von diesem Captcha, da er vor allem Menschen vor der Registrierung abhält. Ich hatte früher ganz gerne das Q&A-Plugin verwendet und damit 100% Bots abgehalten. - Ich hatte da zum Beispiel Fragen drin wie: Was ist das Produkt der Zahlen Fünf und Fünf? - Antwort: 25 oder fünfundzwanzig. - Man könnte natürlich auch mit den anderen Plugins testen was so funktioniert.

    Die Bots sind in der Regel nicht auf bestimmte Seiten zugeschnitten und auch nicht besonders intelligent, daher hilft schon eine kleine Abweichung von der Standard-Prozedur. Es muss jedoch in jedem Fall ein leichter Denkprozess nötig sein, denn einfache Rechenaufgaben mit Standardschreibweise lösen auch viele Bots. Sowas wie "Was ist 1 + 1?" ist nicht besonders intelligent.