Kommentar-Spam in Blogs ist EVIL. FOCKIN AVIL!
Wer mal die Anker neben den Kommentaren in meinen Blogs näher anschaut, der weiß dass ich bei knapp 700 Artikel sicher noch keine 20.000 Kommentare hatte. Der Grund warum ich beim Kommentar-Count von 20k bin, ist Kommentar-Spam. FOCKIN AVIL Kommentar-Spam.
Zum Schutz vor Spam habe ich mir zunächst ein Captcha eingebaut, dass gut lesbar war. Der Code bestand aus fünf Zahlen. Ich dachte mir, bei einer Wahrscheinlichkeit von 1:9999 ist es schon ziemlich unwahrscheinlich, dass ein Spammer mit durchprobieren aller möglichen Kombination zum Ziel kommt. Hat wunderbar geklappt.
Als ich dann von Movable Type auf WordPress umgesattelt bin, habe ich ein Math-Comment-Spam-Plugin verwendet, dass viele verwenden. Das ist genau das Ding, dass da unten die hübschen Rechenaufgaben ausmacht. Allerdings war das Plugin am Anfang so programmiert, dass es gerade mal zwei einstellige Zahlen als Challenge summiert haben wollte. WTF? 9+9 = 1:17?
Also ziemlich wenig um einem Flodding eines Spammers zu bestehen. Deswegen gibt es bei mir nun auch schon mal höhere Zahlen zu berechnen.
Manche haben noch andere Plugins, bei denen sie nur verlangen den richtigen Button zu drücken (von insg. vier Buttons 1:3).
Alles in allem ist wohl jeder davor gefeit automatisch Kommentar-Spam zu erhalten, der überhaupt eine Vorrichtung hat. Gerrit z. B. hat nur eine Preview vorgeschaltet und nach eigenem Bekunden hilft das allein um Kommentar-Spam zu vermeiden. Die wenige Anpassungsfähigkeit von Spammern liegt evtl. daran, dass es noch genug Blogs da draussen gibt, die keine Anti-Spam-Mechanismen haben. Oder Spammer sind schlicht schlecht ausgebildete Menschen, weil alle anderen, die was können, die Programmiererjobs bekommen.
11 Kommentare
Du gutt kauffen lecker viagra, mache liebe laaaaaang.
Ich habe mal, zugegebenermaßen lange her, Experimente damit gemacht, die Roboter einfach zu verwirren durch randomisierte Feldnamen. Dies kombiniert mit Honeypet-Feldern die dafür dann die erwarteten Namen wie “email”, “comment” etc. haben, für den normalen Benutzer per CSS ausgeblendet werden (alternativ/zusätzlich ein Texthinweis, das Feld leerzulassen) sollte auch heute noch irgendwelchen Unfug mit Captchas, Rechenaufgaben oder anderem unnötig machen.
Effektiv wäre auch die Verwendung von Javascript um z.B. die Eingabefelder erst einzublenden, allerdings setzt man damit die Zugänglichkeit herab.
Honeypot natürlich, nicht Honeypet
Captcha durch Javascript ist eine super Idee. Dank Ajaxifizierung von vielen Seiten sollte die Abdeckung von Javascript-Aktivierten-Browsern heute auch nicht mehr das Problem sein.
Google setzt bei Ihrer AdWords-Keyword-Suchseite-Dings auch auf Javascript, damit man es nicht auf fremde Seiten gerippt wird.
lol @ honeypet. süß.
Ich benutze einfach Akismet. Das ist enorm zuverlässig, ziemlich wartungsfrei, und verlangt dem Kommentierenden überhaupt keine Eigenleistung ab.
Nutze doch YAWASP
http://www.svenkubiak.de/yawasp
Bei mir kam noch nie Spam durch
Hmm, verstehe ich das richtig, das YAWASP nur HIDDEN-INPUTs bereithält und diese mit einer Checksum gegenprüft?
Müsste man als Spambot dann nicht einfach vorher die Kommentar-Form parsen?
Btw. Spam. Kann mir jemand sagen warum zu meinem Artikel “Fleisch ist mein Gemüse” (http://lemming.name/?p=696) ständig amerikanische Blogkommentatoren aufschlagen und von Hand Kommentarspam (wohl gemerkt auf deutsch) eingeben?
Bin ich mit der URL in irgend eine “dump iditos with no-nofollow comments list” gerutscht?
Das verstehst du falsch. Einmal wird ein hidden-input Feld eingesetzt. Die 90% der Spambots parsen erst gar nicht deine Seite, sondern ballern die Kommentare direkt über die wp-comments.php rein.
Weiter bekommen die Input-Felder keinen sprechenden Namen mehr, wie vorher, sondern ein Hash-Wert, der sich regelmäßig ändert.
Aso! “name” heißt dann nicht mehr “name” sondern “KJHKLJHSDKJ43434jhkjh”? Na das ist clever, aber die Chance das man mit bloßen massenhaften probieren doch mal die richtige Kombination der Hidden-Unput-Felder trifft, ist doch auch sehr gering, oder?
Btw. allerschärfstes Willkommen im Blog.
Ob clever oder nicht, es hält den Spam fern. Und bis der Bot alle Kombinationen durch hat, wurden schon längst wieder neue generiert
Probiere es doch mal endlich aus…