SlideShare uma empresa Scribd logo

Spamschutzverfahren für Drupal

drubb
drubb

Vortrag beim Drupal Meetup Stuttgart, 9.3.2013

1 de 17
Baixar para ler offline
Spamschutz- verfahren (nicht nur) für Drupal Drupal Meetup Stuttgart 9.3.2013 - drubb
Was ist hier mit Spam gemeint? Ähnlich den Robots oder Crawlern der Suchmaschinen gibt es böswillige Robots, sogenannte Spambots. Sie scannen Webseiten auf Schwachstellen, um Daten zu sammeln, Linkbuilding zu betreiben oder Werbung bzw. Malware zu verbreiten. E-Mail-Harvesting Spambots suchen auf Webseiten nach lesbaren E-Mail-Adressen und sammeln diese, um später Massen-Mailings mit Werbung, Malware o.ä. zu versenden Formular-Spam Spambots versuchen auf Webseiten zu posten, um auf ihre Seiten zu verlinken, Werbung zu platzieren oder Malware-Links anzubringen. Dazu versuchen sie ggf. auch, sich auf der Seite zu registrieren oder einzuloggen. Warum das Ganze? Ganz einfach: es geht um Geld! Spamming ist ein Milliardenmarkt!
Schwachstellen von Spambots Spambots erkennen i.a. JavaScript oder CSS nicht Diese Technologien sind verwendbar, um Spambots in die Irre zu führen. Spambots haben's eilig! Kein langes Ausprobieren, Suchen oder Warten bei Verzögerungen. Spambots können kein Deutsch! Wirkungsvolle Methoden z.B. im Zusammenhang mit Captchas möglich. Aber: Spambots sind lernfähig! Abwehrtechniken müssen laufend überprüft und angepasst werden.
Wo sitzen die Spammer? Quelle: trustwave.com, Stand März 2013
Maßnahmen gegen E-Mail-Harvesting E-Mail-Adressen einfach nicht anzeigen Sehr wirksam, aber nicht immer praktikabel E-Mail-Adressen als Bild platzieren Problem: Barrierefreiheit E-Mail-Adressen verschleiern - manuell, z.B. "info [at] muster [dot] de" - automatisch, z.B. mit Hilfe von JavaScript: ohne JS: <span class="spamspan"><span class="u">m.muster</span> [at] <span class="d">t-online [dot] de</span></span> mit JS: <a href="mailto:m.muster@t-online.de" class="spamspan mailto">m.muster@t-online.de</a> Geeignete Drupal Module: http://drupal.org/project/spamspan http://drupal.org/project/invisimail
Allgemeine Maßnahmen gegen Formular- Spam Anonyme Benutzer nichts posten lassen Wirksam, aber nicht immer gewünscht (Barriere) E-Mail-Verifizierung Neue Benutzer, oder ggf. Posts, müssen per Mail bestätigt werden. Moderation Beiträge, Kommentare oder neue Benutzer vor Freischaltung kontrollieren. Nicht immer praktikabel. Postings für Spammer unattraktiv machen Kommentare auf gesonderter Seite platzieren, ausgehende Links mit REL="NOFOLLOW" versehen. Abfrage einschlägiger Blacklists IP-Adressen bekannter Spammer werden gesperrt. Beispiele dazu: http://drupal.org/node/599512
Spam-Erkennung durch Captchas (kleine Aufgaben) Grundidee: Zusätzlich zu den eigentlichen Formulareingaben muss der Benutzer eine kleine Aufgabe lösen, z.B. ein Bilderrätsel, eine Matheaufgabe, eine Frage beantworten, und Ähnliches. Spamrobots können das im Idealfall nicht. Verfahren: Bild-Captcha, Mathe-Captcha, Riddle, Spiele,... Problem: - Usability / Accessibility, vor allem bei Bilderrätseln. Alternativen ermöglichen! - Spambots nutzen z.T. OCR Geeignete Drupal Module: http://drupal.org/project/captcha http://drupal.org/project/recaptcha (externer Service)
Beispiele für Captchas Ungeeignet (kaum lesbar, nicht barierrefrei): Besser (barrierefreier, Reload): Textalternative (sehr wirksam):
Honeypot: die falsche Fährte Grundidee: Man bietet Spambots ein Formularfeld an, das normale Benutzer nicht sehen können. Wird das Feld ausgefüllt, besteht Spamverdacht! Verfahren: Das spezielle Formularfeld wird per CSS oder Javascript ausgeblendet. Beides können Spambots normalerweise nicht erkennen. Problem: Barrierefreiheit, bei JavaScript nicht gegeben. Besser bei CSS! Geeignete Drupal Module: http://drupal.org/project/honeypot http://drupal.org/project/spamicide
Textanalyse der Formulareingaben Grundidee: Eingegebene Texte werden auf verdächtige Inhalte geprüft, z.B. einschlägige Begriffe (viagra, porn, swarovski, money...), um Spam zu erkennen. Verfahren: Früher wurde das über Listen mit Stoppworten gemacht, heute werden i.a. externe Services dafür genutzt, z.B. Akismet, Defensio oder Mollom Problem: Datenschutz! Die Formulareingaben werden an einen externen Server geschickt, i.a. in den USA. Dieser unterliegt nicht dem BDSG. Deshalb ist ein entsprechender Datenschutzhinweis zwingend erforderlich! Und: was tun, wenn der Serviceprovider nicht erreichbar ist? Geeignete Drupal Module: http://drupal.org/project/antispam http://drupal.org/project/mollom
Beispiel ( hier für Drupal 6): Modul "Mollom"
Analyse des Formular-Timings Grundidee: Formulare die zu schnell ausgefüllt und abgeschickt wurden, wurden wahrscheinlich automatisiert bearbeitet -> Spamverdacht! Verfahren: Es wird eine Mindestdauer zum Ausfüllen des Formulars verlangt. Schnellere Eingaben werden abgewiesen, und das Formular ggf. für einige Zeit gesperrt. Problem: Bei kurzen Formularen ist die Zeitspanne u.U. zu hoch -> Fehlalarm Ausfüllhilfen (Autofill durch Browser oder spezielle Tools) -> Fehlalarm Geeignete Drupal Module: http://drupal.org/project/honeypot http://drupal.org/project/botcha
Beispiel für Drupal 7: Modul "Honeypot"
Verstecken von CMS-typischen URLs Grundidee: Die Adressen der Standardformulare von großen CMS sind bekannt und werden gezielt angelaufen. Beispiel: /user/register, /contact, /guestbook, /forum, usw. Also schreibt man diese um. Verfahren: Aus Drupals "user/register" wird z.B. "registrieren" gemacht, die ursprüngliche URL erzeugt einen Fehler oder führt auf ein irrelevantes Formular (s. Honeypot) Problem: Sollte nicht als einziges Verfahren eingesetzt werden. Wird das Formular vom Spamrobot entdeckt, ist es nicht weiter geschützt. Geeignete Drupal Module: http://drupal.org/project/rename_admin_paths
Beispiel für Drupal 7: Modul "Rename Admin Paths"
Schlussfolgerungen Verfahren kombinieren! Mehrere Verfahren einsetzen, sortiert nach Aufdringlichkeit (unobstrusive -> obstrusive). Also nicht erst die IP sperren und dann ein Captcha anzeigen! Beispiele: Mollom, Honeypot Fallbacks bereitstellen! - wenn eine Technologie nicht zur Verfügung steht (z.B. JS) - wenn ein externer Service nicht erreichbar ist - wenn eine Fähigkeit nicht zur Verfügung steht (z.B. Lesen) Usability berücksichtigen! Captchas können sehr schnell nerven, Zeitsperren auch! Accessibility beachten! Barrierefreiheit, z.B. für fehlsichtige, blinde oder taube Benutzer Datenschutz berücksichtigen!
Fragen / Diskussion Zum Weiterlesen: http://de.wikipedia.org/wiki/Spam http://www.lifeisaprayer.com/articles/web-design/2011/preventing-form-spam https://www.trustwave.com/support/labs/spam_statistics.asp Diese Folien als PDF: http://www.slideshare.net/drubb

Recomendados

Drupal 7 Einblick und Ausblick
Drupal 7 Einblick und AusblickDrupal 7 Einblick und Ausblick
Drupal 7 Einblick und AusblickAmazee Labs
 
Smartwatch para invidentes dot
Smartwatch para invidentes dotSmartwatch para invidentes dot
Smartwatch para invidentes dotLiboo19
 
Dot of music
Dot of musicDot of music
Dot of musicWillian Oliveira
 
Relooking stratégique
Relooking stratégiqueRelooking stratégique
Relooking stratégiqueLes Brigades du Marketing - www.lesbrigadesdumarketing.com
 
Cartao 03
Cartao 03Cartao 03
Cartao 03Professor Fagundes
 
Com funciona Dot sub?
Com funciona Dot sub?Com funciona Dot sub?
Com funciona Dot sub?Daniel
 
Apresentação sem título (1)
Apresentação sem título (1)Apresentação sem título (1)
Apresentação sem título (1)Milena Santos
 
DOT digital group
DOT digital groupDOT digital group
DOT digital groupDOT digital group
 

Recomendados

Drupal 7 Einblick und Ausblick
Drupal 7 Einblick und AusblickDrupal 7 Einblick und Ausblick
Drupal 7 Einblick und AusblickAmazee Labs
 
Smartwatch para invidentes dot
Smartwatch para invidentes dotSmartwatch para invidentes dot
Smartwatch para invidentes dotLiboo19
 
Dot of music
Dot of musicDot of music
Dot of musicWillian Oliveira
 
Relooking stratégique
Relooking stratégiqueRelooking stratégique
Relooking stratégiqueLes Brigades du Marketing - www.lesbrigadesdumarketing.com
 
Cartao 03
Cartao 03Cartao 03
Cartao 03Professor Fagundes
 
Com funciona Dot sub?
Com funciona Dot sub?Com funciona Dot sub?
Com funciona Dot sub?Daniel
 
Apresentação sem título (1)
Apresentação sem título (1)Apresentação sem título (1)
Apresentação sem título (1)Milena Santos
 
DOT digital group
DOT digital groupDOT digital group
DOT digital groupDOT digital group
 
Expo Limahack
Expo LimahackExpo Limahack
Expo LimahackCamilo Galdos
 
EBERLE - MUNDIAL TIJERAS
EBERLE - MUNDIAL TIJERASEBERLE - MUNDIAL TIJERAS
EBERLE - MUNDIAL TIJERASDUZA IMPORTACIONES
 
Presentan un nuevo reloj para ciegos
Presentan un nuevo reloj para ciegosPresentan un nuevo reloj para ciegos
Presentan un nuevo reloj para ciegosNicool1608
 
Fairmas Hotel-Report Januar 2016 – Hamburg
Fairmas Hotel-Report Januar 2016 – HamburgFairmas Hotel-Report Januar 2016 – Hamburg
Fairmas Hotel-Report Januar 2016 – HamburgFairmas Gesellschaft für Marktanalysen mbH
 
More fun in the philippines - Thomas JOUANNES
More fun in the philippines - Thomas JOUANNESMore fun in the philippines - Thomas JOUANNES
More fun in the philippines - Thomas JOUANNESMédias Sociaux & Communication Mobile
 
Tag der offenen Tür - zeit.areal
Tag der offenen Tür - zeit.arealTag der offenen Tür - zeit.areal
Tag der offenen Tür - zeit.arealzeit.areal (Areal Industriehof GmbH & Co. KG)
 
"How to track people using social media sites" por Thiago Bordini
"How to track people using social media sites" por Thiago Bordini"How to track people using social media sites" por Thiago Bordini
"How to track people using social media sites" por Thiago BordiniSegInfo
 
K†ppersbusch obtiene tres premios red dot awards por el diseño de sus productos
K†ppersbusch obtiene tres premios red dot awards por el diseño de sus productosK†ppersbusch obtiene tres premios red dot awards por el diseño de sus productos
K†ppersbusch obtiene tres premios red dot awards por el diseño de sus productosTekaGroup
 
Point supply
Point supplyPoint supply
Point supplyMehdi Lahlou
 
4 verde dot
4 verde dot4 verde dot
4 verde dotGabriel Jiménez Hidalgo
 
Modos De OperaçãO Snort Campusparty2010
Modos De OperaçãO Snort Campusparty2010Modos De OperaçãO Snort Campusparty2010
Modos De OperaçãO Snort Campusparty2010clebeer brandao
 
Vorstellung Schulfirma
Vorstellung SchulfirmaVorstellung Schulfirma
Vorstellung SchulfirmaGerhard Henne
 
DOT digital group - Portfólio de Cases
DOT digital group - Portfólio de CasesDOT digital group - Portfólio de Cases
DOT digital group - Portfólio de CasesDOT digital group
 
(PDI) Tópico 00 - Apresentação da Disciplina
(PDI) Tópico 00 - Apresentação da Disciplina(PDI) Tópico 00 - Apresentação da Disciplina
(PDI) Tópico 00 - Apresentação da DisciplinaFabricio Narcizo
 
24hr DOT
24hr DOT24hr DOT
24hr DOTBrock Ueda
 
Apresentação1
Apresentação1Apresentação1
Apresentação1prothays
 
Nevada dot doc
Nevada dot docNevada dot doc
Nevada dot docLifting & Fixing Connection Systems Ltd
 
Joomlaplatform deutsch
Joomlaplatform deutschJoomlaplatform deutsch
Joomlaplatform deutschRobert Deutz
 
Data-driven Technical SEO: Logfile Auditing - SEOkomm 2018
Data-driven Technical SEO: Logfile Auditing - SEOkomm 2018Data-driven Technical SEO: Logfile Auditing - SEOkomm 2018
Data-driven Technical SEO: Logfile Auditing - SEOkomm 2018Bastian Grimm
 
Digitallotse
DigitallotseDigitallotse
DigitallotseFelix Escribano
 
RSS Feeds und Blogs aus Sicht des Suchmaschinenmarketings
RSS Feeds und Blogs aus Sicht des SuchmaschinenmarketingsRSS Feeds und Blogs aus Sicht des Suchmaschinenmarketings
RSS Feeds und Blogs aus Sicht des Suchmaschinenmarketingsflyingpotato
 
Den eigenen Blog fürs Selbstmarketing nutzen
Den eigenen Blog fürs Selbstmarketing nutzen Den eigenen Blog fürs Selbstmarketing nutzen
Den eigenen Blog fürs Selbstmarketing nutzen Timo Stoppacher
 

Mais conteúdo relacionado

Destaque

Presentan un nuevo reloj para ciegos
Presentan un nuevo reloj para ciegosPresentan un nuevo reloj para ciegos
Presentan un nuevo reloj para ciegosNicool1608
 
"How to track people using social media sites" por Thiago Bordini
"How to track people using social media sites" por Thiago Bordini"How to track people using social media sites" por Thiago Bordini
"How to track people using social media sites" por Thiago BordiniSegInfo
 
K†ppersbusch obtiene tres premios red dot awards por el diseño de sus productos
K†ppersbusch obtiene tres premios red dot awards por el diseño de sus productosK†ppersbusch obtiene tres premios red dot awards por el diseño de sus productos
K†ppersbusch obtiene tres premios red dot awards por el diseño de sus productosTekaGroup
 
Modos De OperaçãO Snort Campusparty2010
Modos De OperaçãO Snort Campusparty2010Modos De OperaçãO Snort Campusparty2010
Modos De OperaçãO Snort Campusparty2010clebeer brandao
 
Vorstellung Schulfirma
Vorstellung SchulfirmaVorstellung Schulfirma
Vorstellung SchulfirmaGerhard Henne
 
DOT digital group - Portfólio de Cases
DOT digital group - Portfólio de CasesDOT digital group - Portfólio de Cases
DOT digital group - Portfólio de CasesDOT digital group
 
(PDI) Tópico 00 - Apresentação da Disciplina
(PDI) Tópico 00 - Apresentação da Disciplina(PDI) Tópico 00 - Apresentação da Disciplina
(PDI) Tópico 00 - Apresentação da DisciplinaFabricio Narcizo
 
Apresentação1
Apresentação1Apresentação1
Apresentação1prothays
 

Destaque (17)

Expo Limahack
Expo LimahackExpo Limahack
Expo Limahack
 
EBERLE - MUNDIAL TIJERAS
EBERLE - MUNDIAL TIJERASEBERLE - MUNDIAL TIJERAS
EBERLE - MUNDIAL TIJERAS
 
Presentan un nuevo reloj para ciegos
Presentan un nuevo reloj para ciegosPresentan un nuevo reloj para ciegos
Presentan un nuevo reloj para ciegos
 
Fairmas Hotel-Report Januar 2016 – Hamburg
Fairmas Hotel-Report Januar 2016 – HamburgFairmas Hotel-Report Januar 2016 – Hamburg
Fairmas Hotel-Report Januar 2016 – Hamburg
 
More fun in the philippines - Thomas JOUANNES
More fun in the philippines - Thomas JOUANNESMore fun in the philippines - Thomas JOUANNES
More fun in the philippines - Thomas JOUANNES
 
Tag der offenen Tür - zeit.areal
Tag der offenen Tür - zeit.arealTag der offenen Tür - zeit.areal
Tag der offenen Tür - zeit.areal
 
"How to track people using social media sites" por Thiago Bordini
"How to track people using social media sites" por Thiago Bordini"How to track people using social media sites" por Thiago Bordini
"How to track people using social media sites" por Thiago Bordini
 
K†ppersbusch obtiene tres premios red dot awards por el diseño de sus productos
K†ppersbusch obtiene tres premios red dot awards por el diseño de sus productosK†ppersbusch obtiene tres premios red dot awards por el diseño de sus productos
K†ppersbusch obtiene tres premios red dot awards por el diseño de sus productos
 
Point supply
Point supplyPoint supply
Point supply
 
4 verde dot
4 verde dot4 verde dot
4 verde dot
 
Modos De OperaçãO Snort Campusparty2010
Modos De OperaçãO Snort Campusparty2010Modos De OperaçãO Snort Campusparty2010
Modos De OperaçãO Snort Campusparty2010
 
Vorstellung Schulfirma
Vorstellung SchulfirmaVorstellung Schulfirma
Vorstellung Schulfirma
 
DOT digital group - Portfólio de Cases
DOT digital group - Portfólio de CasesDOT digital group - Portfólio de Cases
DOT digital group - Portfólio de Cases
 
(PDI) Tópico 00 - Apresentação da Disciplina
(PDI) Tópico 00 - Apresentação da Disciplina(PDI) Tópico 00 - Apresentação da Disciplina
(PDI) Tópico 00 - Apresentação da Disciplina
 
24hr DOT
24hr DOT24hr DOT
24hr DOT
 
Apresentação1
Apresentação1Apresentação1
Apresentação1
 
Nevada dot doc
Nevada dot docNevada dot doc
Nevada dot doc
 

Semelhante a Spamschutzverfahren für Drupal

Joomlaplatform deutsch
Joomlaplatform deutschJoomlaplatform deutsch
Joomlaplatform deutschRobert Deutz
 
Data-driven Technical SEO: Logfile Auditing - SEOkomm 2018
Data-driven Technical SEO: Logfile Auditing - SEOkomm 2018Data-driven Technical SEO: Logfile Auditing - SEOkomm 2018
Data-driven Technical SEO: Logfile Auditing - SEOkomm 2018Bastian Grimm
 
RSS Feeds und Blogs aus Sicht des Suchmaschinenmarketings
RSS Feeds und Blogs aus Sicht des SuchmaschinenmarketingsRSS Feeds und Blogs aus Sicht des Suchmaschinenmarketings
RSS Feeds und Blogs aus Sicht des Suchmaschinenmarketingsflyingpotato
 
Den eigenen Blog fürs Selbstmarketing nutzen
Den eigenen Blog fürs Selbstmarketing nutzen Den eigenen Blog fürs Selbstmarketing nutzen
Den eigenen Blog fürs Selbstmarketing nutzen Timo Stoppacher
 
Roger basler meetup_21082018_work-smarter-not-harder_handout
Roger basler meetup_21082018_work-smarter-not-harder_handoutRoger basler meetup_21082018_work-smarter-not-harder_handout
Roger basler meetup_21082018_work-smarter-not-harder_handoutDigicomp Academy AG
 
magnolia mit thymeleaf - ein agiler prozess-beschleuniger
magnolia mit thymeleaf - ein agiler prozess-beschleunigermagnolia mit thymeleaf - ein agiler prozess-beschleuniger
magnolia mit thymeleaf - ein agiler prozess-beschleunigerThomas Kratz
 

Semelhante a Spamschutzverfahren für Drupal (10)

Joomlaplatform deutsch
Joomlaplatform deutschJoomlaplatform deutsch
Joomlaplatform deutsch
 
Data-driven Technical SEO: Logfile Auditing - SEOkomm 2018
Data-driven Technical SEO: Logfile Auditing - SEOkomm 2018Data-driven Technical SEO: Logfile Auditing - SEOkomm 2018
Data-driven Technical SEO: Logfile Auditing - SEOkomm 2018
 
Digitallotse
DigitallotseDigitallotse
Digitallotse
 
RSS Feeds und Blogs aus Sicht des Suchmaschinenmarketings
RSS Feeds und Blogs aus Sicht des SuchmaschinenmarketingsRSS Feeds und Blogs aus Sicht des Suchmaschinenmarketings
RSS Feeds und Blogs aus Sicht des Suchmaschinenmarketings
 
Den eigenen Blog fürs Selbstmarketing nutzen
Den eigenen Blog fürs Selbstmarketing nutzen Den eigenen Blog fürs Selbstmarketing nutzen
Den eigenen Blog fürs Selbstmarketing nutzen
 
Joomla
JoomlaJoomla
Joomla
 
Work smarter not harder - mit ZAPIER
Work smarter not harder - mit ZAPIERWork smarter not harder - mit ZAPIER
Work smarter not harder - mit ZAPIER
 
Roger basler meetup_21082018_work-smarter-not-harder_handout
Roger basler meetup_21082018_work-smarter-not-harder_handoutRoger basler meetup_21082018_work-smarter-not-harder_handout
Roger basler meetup_21082018_work-smarter-not-harder_handout
 
Social Media für Einzelpersonenunternehmen
Social Media für EinzelpersonenunternehmenSocial Media für Einzelpersonenunternehmen
Social Media für Einzelpersonenunternehmen
 
magnolia mit thymeleaf - ein agiler prozess-beschleuniger
magnolia mit thymeleaf - ein agiler prozess-beschleunigermagnolia mit thymeleaf - ein agiler prozess-beschleuniger
magnolia mit thymeleaf - ein agiler prozess-beschleuniger
 

Mais de drubb

Barrierefreie Webseiten
Barrierefreie WebseitenBarrierefreie Webseiten
Barrierefreie Webseitendrubb
 
Drupal 9 Entity Bundle Classes
Drupal 9 Entity Bundle ClassesDrupal 9 Entity Bundle Classes
Drupal 9 Entity Bundle Classesdrubb
 
Drupal 8 Dependency Injection Using Traits
Drupal 8 Dependency Injection Using TraitsDrupal 8 Dependency Injection Using Traits
Drupal 8 Dependency Injection Using Traitsdrubb
 
Closing the Drupal Hosting Gap - A Review of Wodby
Closing the Drupal Hosting Gap - A Review of WodbyClosing the Drupal Hosting Gap - A Review of Wodby
Closing the Drupal Hosting Gap - A Review of Wodbydrubb
 
Composer & Drupal
Composer & DrupalComposer & Drupal
Composer & Drupaldrubb
 
Drupal 8: Theming
Drupal 8: ThemingDrupal 8: Theming
Drupal 8: Themingdrubb
 
Drupal 8: Entities
Drupal 8: EntitiesDrupal 8: Entities
Drupal 8: Entitiesdrubb
 
Drupal 8: Forms
Drupal 8: FormsDrupal 8: Forms
Drupal 8: Formsdrubb
 
Drupal 8: Routing & More
Drupal 8: Routing & MoreDrupal 8: Routing & More
Drupal 8: Routing & Moredrubb
 
Drupal 8 Sample Module
Drupal 8 Sample ModuleDrupal 8 Sample Module
Drupal 8 Sample Moduledrubb
 
Headless Drupal
Headless DrupalHeadless Drupal
Headless Drupaldrubb
 
Drupal 8: TWIG Template Engine
Drupal 8: TWIG Template EngineDrupal 8: TWIG Template Engine
Drupal 8: TWIG Template Enginedrubb
 
Drupal 8: Neuerungen im Überblick
Drupal 8: Neuerungen im ÜberblickDrupal 8: Neuerungen im Überblick
Drupal 8: Neuerungen im Überblickdrubb
 
Drupal Entities
Drupal EntitiesDrupal Entities
Drupal Entitiesdrubb
 

Mais de drubb (14)

Barrierefreie Webseiten
Barrierefreie WebseitenBarrierefreie Webseiten
Barrierefreie Webseiten
 
Drupal 9 Entity Bundle Classes
Drupal 9 Entity Bundle ClassesDrupal 9 Entity Bundle Classes
Drupal 9 Entity Bundle Classes
 
Drupal 8 Dependency Injection Using Traits
Drupal 8 Dependency Injection Using TraitsDrupal 8 Dependency Injection Using Traits
Drupal 8 Dependency Injection Using Traits
 
Closing the Drupal Hosting Gap - A Review of Wodby
Closing the Drupal Hosting Gap - A Review of WodbyClosing the Drupal Hosting Gap - A Review of Wodby
Closing the Drupal Hosting Gap - A Review of Wodby
 
Composer & Drupal
Composer & DrupalComposer & Drupal
Composer & Drupal
 
Drupal 8: Theming
Drupal 8: ThemingDrupal 8: Theming
Drupal 8: Theming
 
Drupal 8: Entities
Drupal 8: EntitiesDrupal 8: Entities
Drupal 8: Entities
 
Drupal 8: Forms
Drupal 8: FormsDrupal 8: Forms
Drupal 8: Forms
 
Drupal 8: Routing & More
Drupal 8: Routing & MoreDrupal 8: Routing & More
Drupal 8: Routing & More
 
Drupal 8 Sample Module
Drupal 8 Sample ModuleDrupal 8 Sample Module
Drupal 8 Sample Module
 
Headless Drupal
Headless DrupalHeadless Drupal
Headless Drupal
 
Drupal 8: TWIG Template Engine
Drupal 8: TWIG Template EngineDrupal 8: TWIG Template Engine
Drupal 8: TWIG Template Engine
 
Drupal 8: Neuerungen im Überblick
Drupal 8: Neuerungen im ÜberblickDrupal 8: Neuerungen im Überblick
Drupal 8: Neuerungen im Überblick
 
Drupal Entities
Drupal EntitiesDrupal Entities
Drupal Entities
 

Spamschutzverfahren für Drupal

  • 1. Spamschutz- verfahren (nicht nur) für Drupal Drupal Meetup Stuttgart 9.3.2013 - drubb
  • 2. Was ist hier mit Spam gemeint? Ähnlich den Robots oder Crawlern der Suchmaschinen gibt es böswillige Robots, sogenannte Spambots. Sie scannen Webseiten auf Schwachstellen, um Daten zu sammeln, Linkbuilding zu betreiben oder Werbung bzw. Malware zu verbreiten. E-Mail-Harvesting Spambots suchen auf Webseiten nach lesbaren E-Mail-Adressen und sammeln diese, um später Massen-Mailings mit Werbung, Malware o.ä. zu versenden Formular-Spam Spambots versuchen auf Webseiten zu posten, um auf ihre Seiten zu verlinken, Werbung zu platzieren oder Malware-Links anzubringen. Dazu versuchen sie ggf. auch, sich auf der Seite zu registrieren oder einzuloggen. Warum das Ganze? Ganz einfach: es geht um Geld! Spamming ist ein Milliardenmarkt!
  • 3. Schwachstellen von Spambots Spambots erkennen i.a. JavaScript oder CSS nicht Diese Technologien sind verwendbar, um Spambots in die Irre zu führen. Spambots haben's eilig! Kein langes Ausprobieren, Suchen oder Warten bei Verzögerungen. Spambots können kein Deutsch! Wirkungsvolle Methoden z.B. im Zusammenhang mit Captchas möglich. Aber: Spambots sind lernfähig! Abwehrtechniken müssen laufend überprüft und angepasst werden.
  • 4. Wo sitzen die Spammer? Quelle: trustwave.com, Stand März 2013
  • 5. Maßnahmen gegen E-Mail-Harvesting E-Mail-Adressen einfach nicht anzeigen Sehr wirksam, aber nicht immer praktikabel E-Mail-Adressen als Bild platzieren Problem: Barrierefreiheit E-Mail-Adressen verschleiern - manuell, z.B. "info [at] muster [dot] de" - automatisch, z.B. mit Hilfe von JavaScript: ohne JS: <span class="spamspan"><span class="u">m.muster</span> [at] <span class="d">t-online [dot] de</span></span> mit JS: <a href="mailto:m.muster@t-online.de" class="spamspan mailto">m.muster@t-online.de</a> Geeignete Drupal Module: http://drupal.org/project/spamspan http://drupal.org/project/invisimail
  • 6. Allgemeine Maßnahmen gegen Formular- Spam Anonyme Benutzer nichts posten lassen Wirksam, aber nicht immer gewünscht (Barriere) E-Mail-Verifizierung Neue Benutzer, oder ggf. Posts, müssen per Mail bestätigt werden. Moderation Beiträge, Kommentare oder neue Benutzer vor Freischaltung kontrollieren. Nicht immer praktikabel. Postings für Spammer unattraktiv machen Kommentare auf gesonderter Seite platzieren, ausgehende Links mit REL="NOFOLLOW" versehen. Abfrage einschlägiger Blacklists IP-Adressen bekannter Spammer werden gesperrt. Beispiele dazu: http://drupal.org/node/599512
  • 7. Spam-Erkennung durch Captchas (kleine Aufgaben) Grundidee: Zusätzlich zu den eigentlichen Formulareingaben muss der Benutzer eine kleine Aufgabe lösen, z.B. ein Bilderrätsel, eine Matheaufgabe, eine Frage beantworten, und Ähnliches. Spamrobots können das im Idealfall nicht. Verfahren: Bild-Captcha, Mathe-Captcha, Riddle, Spiele,... Problem: - Usability / Accessibility, vor allem bei Bilderrätseln. Alternativen ermöglichen! - Spambots nutzen z.T. OCR Geeignete Drupal Module: http://drupal.org/project/captcha http://drupal.org/project/recaptcha (externer Service)
  • 8. Beispiele für Captchas Ungeeignet (kaum lesbar, nicht barierrefrei): Besser (barrierefreier, Reload): Textalternative (sehr wirksam):
  • 9. Honeypot: die falsche Fährte Grundidee: Man bietet Spambots ein Formularfeld an, das normale Benutzer nicht sehen können. Wird das Feld ausgefüllt, besteht Spamverdacht! Verfahren: Das spezielle Formularfeld wird per CSS oder Javascript ausgeblendet. Beides können Spambots normalerweise nicht erkennen. Problem: Barrierefreiheit, bei JavaScript nicht gegeben. Besser bei CSS! Geeignete Drupal Module: http://drupal.org/project/honeypot http://drupal.org/project/spamicide
  • 10. Textanalyse der Formulareingaben Grundidee: Eingegebene Texte werden auf verdächtige Inhalte geprüft, z.B. einschlägige Begriffe (viagra, porn, swarovski, money...), um Spam zu erkennen. Verfahren: Früher wurde das über Listen mit Stoppworten gemacht, heute werden i.a. externe Services dafür genutzt, z.B. Akismet, Defensio oder Mollom Problem: Datenschutz! Die Formulareingaben werden an einen externen Server geschickt, i.a. in den USA. Dieser unterliegt nicht dem BDSG. Deshalb ist ein entsprechender Datenschutzhinweis zwingend erforderlich! Und: was tun, wenn der Serviceprovider nicht erreichbar ist? Geeignete Drupal Module: http://drupal.org/project/antispam http://drupal.org/project/mollom
  • 11. Beispiel ( hier für Drupal 6): Modul "Mollom"
  • 12. Analyse des Formular-Timings Grundidee: Formulare die zu schnell ausgefüllt und abgeschickt wurden, wurden wahrscheinlich automatisiert bearbeitet -> Spamverdacht! Verfahren: Es wird eine Mindestdauer zum Ausfüllen des Formulars verlangt. Schnellere Eingaben werden abgewiesen, und das Formular ggf. für einige Zeit gesperrt. Problem: Bei kurzen Formularen ist die Zeitspanne u.U. zu hoch -> Fehlalarm Ausfüllhilfen (Autofill durch Browser oder spezielle Tools) -> Fehlalarm Geeignete Drupal Module: http://drupal.org/project/honeypot http://drupal.org/project/botcha
  • 13. Beispiel für Drupal 7: Modul "Honeypot"
  • 14. Verstecken von CMS-typischen URLs Grundidee: Die Adressen der Standardformulare von großen CMS sind bekannt und werden gezielt angelaufen. Beispiel: /user/register, /contact, /guestbook, /forum, usw. Also schreibt man diese um. Verfahren: Aus Drupals "user/register" wird z.B. "registrieren" gemacht, die ursprüngliche URL erzeugt einen Fehler oder führt auf ein irrelevantes Formular (s. Honeypot) Problem: Sollte nicht als einziges Verfahren eingesetzt werden. Wird das Formular vom Spamrobot entdeckt, ist es nicht weiter geschützt. Geeignete Drupal Module: http://drupal.org/project/rename_admin_paths
  • 15. Beispiel für Drupal 7: Modul "Rename Admin Paths"
  • 16. Schlussfolgerungen Verfahren kombinieren! Mehrere Verfahren einsetzen, sortiert nach Aufdringlichkeit (unobstrusive -> obstrusive). Also nicht erst die IP sperren und dann ein Captcha anzeigen! Beispiele: Mollom, Honeypot Fallbacks bereitstellen! - wenn eine Technologie nicht zur Verfügung steht (z.B. JS) - wenn ein externer Service nicht erreichbar ist - wenn eine Fähigkeit nicht zur Verfügung steht (z.B. Lesen) Usability berücksichtigen! Captchas können sehr schnell nerven, Zeitsperren auch! Accessibility beachten! Barrierefreiheit, z.B. für fehlsichtige, blinde oder taube Benutzer Datenschutz berücksichtigen!
  • 17. Fragen / Diskussion Zum Weiterlesen: http://de.wikipedia.org/wiki/Spam http://www.lifeisaprayer.com/articles/web-design/2011/preventing-form-spam https://www.trustwave.com/support/labs/spam_statistics.asp Diese Folien als PDF: http://www.slideshare.net/drubb