Home

Spamschutz - Captcha Grafik, IP-Bindung, Flood-Protection, Texteingabe

13. July 2008 - 20:45 — Christian Kerl

Captcha's, grafische Zahlen

Die Captcha Abfrage kann unter Einstellungen aktiviert werden.

Es werden mehrere True Type Fonts (Schrift) verwendet. Sie befinden sich im folgenden Verzeichnis können problemlos ersetzt oder erweitert werden:

/scarbook/admin/lib/font/

Hinweis
Es werden nur Schriften mit folgendem Dateierweiterung verarbeitet *.ttf

Freie Schriften finden Sie zum Beispiel auf folgenden Seiten:
- www.1001freefonts.com
- www.urbanfonts.com
- www.fontasy.de
- www.dafont.com
- ...

siehe auch: Felddefintion -> Captcha-Code / Code-Grafik / Spam-Schutz

Spamschutz durch Texteingabe (barrierefreie Eingabe)

Wenn man bei einem Feld die Fehlerkontrolle verwendet, kann man damit auch bestimmte Zeichenfolgen auf Gleichheit prüfen lassen. Auf diesen Weg kann ein Spam-Schutz integriert werden ohne grafische Hilfsmittel wie Captcha's zu verwenden. Gleichzeitig ist dadurch auch die Eingabe über Text-basierte Browser wie Lynx möglich.

Flood - Protection

Die Floodprotection kann unter Einstellungen durch einen Wert höher 0 aktiviert werden. Der Wert wird in Sekunden angegeben.

Die Flood-Protection arbeitet auf IP Basis. Bei neuen Einträgen wird geprüft ob die selbe IP in den angegebenen Zeitraum bereits etwas eingetragen hat. Wenn ja, wird eine Fehlermeldung ausgegeben und der Eintrag wird nicht gespeichert.

Sollte der Besucher seinen Eintrag über die Besucher-Löschfunktion selbstständig löschen, kann er natürlich sofort einen neuen Eintrag schreiben.

Hinweis
Wenn man mit vielen Einträgen von der selben IP rechnet, sollte diese Funktion nicht genutzt werden. Gerade Firmen, private LANs, usw.. gehen häufig über die selbe IP in das Internet.

Captcha Grafik - Sicherheits Code

Seit Version 1.4 ist die Captcha Grafik durch verschiedene Einstellungen veränderbar. Das bietet jedem Gästebuchnutzer Möglichkeiten seine Captcha Grafik zu individualisieren.

  • Verschiedene Schriften (Fonts)
    Die gewünschten Schriften werden im Verzeichnis /sgb/admin/lib/font abgelegt.

    Beachten Sie bitte die Anzahl der verwendeten Schriften nicht zu groß sein sollte. Technisch existiert zwar kein Limit, es werden aber aus Performancegründen nicht mehr als 10 unterschiedliche Schriften empfohlen.

    Bei einigen Servern kam es zu Probleme wenn mehr als eine Schrift gleichzeitig genutzt wurde. Reduzieren sie daher bei Fehlern testweise die Anzahl der Schriften. Grundsätzlich deutet das auf einen Fehler in der GDLib hin, eine System-Komponente zur Generierung von Grafiken. Fehler können an dieser Stelle nur vom Server-Administrator behoben werden.

    Unterschützt werden Truetype-Fonts (*.ttf).

  • Verschiedene Farben
    Die Farbe von Schrift unter Hintergrund kann flexibel anhand der RGB Farbtabelle hinterlegt werden.
  • Wellen-Darstellung der Captcha-Schrift
    Die Ausgabe kann zusätzlich wellenförmig verzerrt werden.
  • Captcha-Teilung (Leerräume im Bild)
    Die Captcha Grafik wird in mehrere Verticale Blöcke geteilt und mit unterschiedlichem Versatz als ein Bild zusammengesetzt. Die entsprechenden Leerräume sind dynamisch und können sowohl die Code-Zeichen weiter von einander entfernen, wie auch selbst trennen.
  • Einfügen von Splitter-Artefakten
    Dynamisches einfügen von kleinen farbigen Splitter-Artefakten. Die Menge ist frei einstellbar, gute Werte liegen zw. 10 - 20.
  • Dynamische Hintergrundgenerierung
    Generierung von dynamischen farbigen Hintergrund.
  • IP Bindung
    Um die interne Captcha-Prüfung zu bestehen, muss die Captcha-Grafik mit der selben IP abgerufen werden, wie anschließend der Eintrag erfolgt.
  • Unterschiedliche Zeichenanzahl
    Freie Anzahl von Zeichen.
  • Verwendete Zeichen einschränkbar
    Freie Wahl der verwendeten Zeichen.

Das ScarBook hat sich in den letzten Jahren leider, vermutlich wegen der vielen Installationen, als interessantes Ziel für Spam-Angriffe qualifiziert. Aus diesem Grund gibt es diese diversen Einstellungsmöglichkeiten der Captcha-Grafik. Nutzen Sie die Individualisierungsmöglichkeiten und sorgen Sie im Falle von unerwünschten Angriffen für eine zusätzliche Hürde.

Halbautomatische Spam-Angriffe
Während der letzten Untersuchung von Angriffen hatte sich herrausgestellt, das die Captcha-Grafik immer von einer unterschiedlichen IP aufgerufen wurde, als letztlich der Eintrag erfolgte. Das stützt die Vermutung, dass die Grafik bis heute noch nie automatisiert ausgelesen, sondern vermutlich manuell vom Mensch "übersetzt" wurde. Speziell für diesen Angriff wurde die IP-Bindung als Abwehrmaßnahme aufgenommen.

Manuelle Freischaltung

Trotz der vielen Varianten zum Spamschutz, sind unerwünschte Einträge nie komplett ausschließbar. In einigen Fällen durch gezielte Halb-Automatisierte Spamangriffe in anderen Fällen durch schlicht unmotivierte Besucher.

In diesen Fällen ist die "manuelle Freischaltung" die beste Wahl. Jeder Eintrag wird erst durch die Freischaltung von einem Administrator für andere Besucher sichtbar. Der Eintragende sieht seinen Eintrag zwar sofort, für alle anderen Besucher ist dieser Eintrag bis zur Freischaltung nicht existent.

Um die Benutzung zu erleichtern, enthält die Email an den Administrator einen Link zur Gästebuch-Administration und direkten Freischaltung oder Löschung.

  • Misterwong
  • Linksilo
  • Delicious
  • Digg
  • StumbleUpon
  • Propeller
  • Reddit
  • Magnoliacom
  • Newsvine
  • Furl
  • Facebook
  • Google
  • Yahoo
  • Technorati
  • Icerocket