Spamschutz-verfahren (nichtnur) für DrupalDrupal Meetup Stuttgart 9.3.2013 - drubb
Was ist hier mit Spam gemeint?Ähnlich den Robots oder Crawlern der Suchmaschinen gibt es böswillige Robots, sogenannteSpam...
Schwachstellen von SpambotsSpambots erkennen i.a. JavaScript oder CSS nichtDiese Technologien sind verwendbar, um Spambots...
Wo sitzen die Spammer?           Quelle: trustwave.com, Stand März 2013
Maßnahmen gegen E-Mail-HarvestingE-Mail-Adressen einfach nicht anzeigenSehr wirksam, aber nicht immer praktikabelE-Mail-Ad...
Allgemeine Maßnahmen gegen Formular-SpamAnonyme Benutzer nichts posten lassenWirksam, aber nicht immer gewünscht (Barriere...
Spam-Erkennung durch Captchas(kleine Aufgaben)Grundidee:Zusätzlich zu den eigentlichen Formulareingaben muss der Benutzer ...
Beispiele für CaptchasUngeeignet (kaum lesbar, nicht barierrefrei):   Besser (barrierefreier, Reload): Textalternative (se...
Honeypot: die falsche FährteGrundidee:Man bietet Spambots ein Formularfeld an, das normale Benutzer nicht sehen können. Wi...
Textanalyse der FormulareingabenGrundidee:Eingegebene Texte werden auf verdächtige Inhalte geprüft, z.B. einschlägige Begr...
Beispiel ( hier für Drupal 6):Modul "Mollom"
Analyse des Formular-TimingsGrundidee:Formulare die zu schnell ausgefüllt und abgeschickt wurden, wurden wahrscheinlich au...
Beispiel für Drupal 7:Modul "Honeypot"
Verstecken von CMS-typischen URLsGrundidee:Die Adressen der Standardformulare von großen CMS sind bekannt und werden gezie...
Beispiel für Drupal 7:Modul "Rename Admin Paths"
SchlussfolgerungenVerfahren kombinieren!Mehrere Verfahren einsetzen, sortiert nach Aufdringlichkeit (unobstrusive -> obstr...
Fragen / DiskussionZum Weiterlesen:http://de.wikipedia.org/wiki/Spamhttp://www.lifeisaprayer.com/articles/web-design/2011/...
Nächste SlideShare
Wird geladen in …5
×

Spamschutzverfahren für Drupal

64.177 Aufrufe

Veröffentlicht am

Vortrag beim Drupal Meetup Stuttgart, 9.3.2013

0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
64.177
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
5
Aktionen
Geteilt
0
Downloads
2
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

Spamschutzverfahren für Drupal

  1. 1. Spamschutz-verfahren (nichtnur) für DrupalDrupal Meetup Stuttgart 9.3.2013 - drubb
  2. 2. Was ist hier mit Spam gemeint?Ähnlich den Robots oder Crawlern der Suchmaschinen gibt es böswillige Robots, sogenannteSpambots. Sie scannen Webseiten auf Schwachstellen, um Daten zu sammeln, Linkbuilding zubetreiben oder Werbung bzw. Malware zu verbreiten.E-Mail-HarvestingSpambots suchen auf Webseiten nach lesbaren E-Mail-Adressen und sammeln diese, um späterMassen-Mailings mit Werbung, Malware o.ä. zu versendenFormular-SpamSpambots versuchen auf Webseiten zu posten, um auf ihre Seiten zu verlinken, Werbung zuplatzieren oder Malware-Links anzubringen. Dazu versuchen sie ggf. auch, sich auf der Seite zuregistrieren oder einzuloggen.Warum das Ganze?Ganz einfach: es geht um Geld! Spamming ist ein Milliardenmarkt!
  3. 3. Schwachstellen von SpambotsSpambots erkennen i.a. JavaScript oder CSS nichtDiese Technologien sind verwendbar, um Spambots in die Irre zu führen.Spambots habens eilig!Kein langes Ausprobieren, Suchen oder Warten bei Verzögerungen.Spambots können kein Deutsch!Wirkungsvolle Methoden z.B. im Zusammenhang mit Captchas möglich.Aber: Spambots sind lernfähig!Abwehrtechniken müssen laufend überprüft und angepasst werden.
  4. 4. Wo sitzen die Spammer? Quelle: trustwave.com, Stand März 2013
  5. 5. Maßnahmen gegen E-Mail-HarvestingE-Mail-Adressen einfach nicht anzeigenSehr wirksam, aber nicht immer praktikabelE-Mail-Adressen als Bild platzierenProblem: BarrierefreiheitE-Mail-Adressen verschleiern- manuell, z.B. "info [at] muster [dot] de"- automatisch, z.B. mit Hilfe von JavaScript: ohne JS: <span class="spamspan"><span class="u">m.muster</span> [at] <span class="d">t-online [dot] de</span></span> mit JS: <a href="mailto:m.muster@t-online.de" class="spamspan mailto">m.muster@t-online.de</a>Geeignete Drupal Module:http://drupal.org/project/spamspanhttp://drupal.org/project/invisimail
  6. 6. Allgemeine Maßnahmen gegen Formular-SpamAnonyme Benutzer nichts posten lassenWirksam, aber nicht immer gewünscht (Barriere)E-Mail-VerifizierungNeue Benutzer, oder ggf. Posts, müssen per Mail bestätigt werden.ModerationBeiträge, Kommentare oder neue Benutzer vor Freischaltung kontrollieren. Nicht immer praktikabel.Postings für Spammer unattraktiv machenKommentare auf gesonderter Seite platzieren, ausgehende Links mit REL="NOFOLLOW" versehen.Abfrage einschlägiger BlacklistsIP-Adressen bekannter Spammer werden gesperrt.Beispiele dazu: http://drupal.org/node/599512
  7. 7. Spam-Erkennung durch Captchas(kleine Aufgaben)Grundidee:Zusätzlich zu den eigentlichen Formulareingaben muss der Benutzer eine kleine Aufgabe lösen, z.B.ein Bilderrätsel, eine Matheaufgabe, eine Frage beantworten, und Ähnliches. Spamrobots können dasim Idealfall nicht.Verfahren:Bild-Captcha, Mathe-Captcha, Riddle, Spiele,...Problem:- Usability / Accessibility, vor allem bei Bilderrätseln. Alternativen ermöglichen!- Spambots nutzen z.T. OCRGeeignete Drupal Module:http://drupal.org/project/captchahttp://drupal.org/project/recaptcha (externer Service)
  8. 8. Beispiele für CaptchasUngeeignet (kaum lesbar, nicht barierrefrei): Besser (barrierefreier, Reload): Textalternative (sehr wirksam):
  9. 9. Honeypot: die falsche FährteGrundidee:Man bietet Spambots ein Formularfeld an, das normale Benutzer nicht sehen können. Wird das Feldausgefüllt, besteht Spamverdacht!Verfahren:Das spezielle Formularfeld wird per CSS oder Javascript ausgeblendet. Beides können Spambotsnormalerweise nicht erkennen.Problem:Barrierefreiheit, bei JavaScript nicht gegeben. Besser bei CSS!Geeignete Drupal Module:http://drupal.org/project/honeypothttp://drupal.org/project/spamicide
  10. 10. Textanalyse der FormulareingabenGrundidee:Eingegebene Texte werden auf verdächtige Inhalte geprüft, z.B. einschlägige Begriffe (viagra, porn,swarovski, money...), um Spam zu erkennen.Verfahren:Früher wurde das über Listen mit Stoppworten gemacht, heute werden i.a. externe Services dafürgenutzt, z.B. Akismet, Defensio oder MollomProblem:Datenschutz! Die Formulareingaben werden an einen externen Server geschickt, i.a. in den USA.Dieser unterliegt nicht dem BDSG. Deshalb ist ein entsprechender Datenschutzhinweis zwingenderforderlich! Und: was tun, wenn der Serviceprovider nicht erreichbar ist?Geeignete Drupal Module:http://drupal.org/project/antispamhttp://drupal.org/project/mollom
  11. 11. Beispiel ( hier für Drupal 6):Modul "Mollom"
  12. 12. Analyse des Formular-TimingsGrundidee:Formulare die zu schnell ausgefüllt und abgeschickt wurden, wurden wahrscheinlich automatisiertbearbeitet -> Spamverdacht!Verfahren:Es wird eine Mindestdauer zum Ausfüllen des Formulars verlangt. Schnellere Eingaben werdenabgewiesen, und das Formular ggf. für einige Zeit gesperrt.Problem:Bei kurzen Formularen ist die Zeitspanne u.U. zu hoch -> FehlalarmAusfüllhilfen (Autofill durch Browser oder spezielle Tools) -> FehlalarmGeeignete Drupal Module:http://drupal.org/project/honeypothttp://drupal.org/project/botcha
  13. 13. Beispiel für Drupal 7:Modul "Honeypot"
  14. 14. Verstecken von CMS-typischen URLsGrundidee:Die Adressen der Standardformulare von großen CMS sind bekannt und werden gezielt angelaufen.Beispiel: /user/register, /contact, /guestbook, /forum, usw. Also schreibt man diese um.Verfahren:Aus Drupals "user/register" wird z.B. "registrieren" gemacht, die ursprüngliche URL erzeugt einenFehler oder führt auf ein irrelevantes Formular (s. Honeypot)Problem:Sollte nicht als einziges Verfahren eingesetzt werden. Wird das Formular vom Spamrobot entdeckt, istes nicht weiter geschützt.Geeignete Drupal Module:http://drupal.org/project/rename_admin_paths
  15. 15. Beispiel für Drupal 7:Modul "Rename Admin Paths"
  16. 16. SchlussfolgerungenVerfahren kombinieren!Mehrere Verfahren einsetzen, sortiert nach Aufdringlichkeit (unobstrusive -> obstrusive). Also nichterst die IP sperren und dann ein Captcha anzeigen! Beispiele: Mollom, HoneypotFallbacks bereitstellen!- wenn eine Technologie nicht zur Verfügung steht (z.B. JS)- wenn ein externer Service nicht erreichbar ist- wenn eine Fähigkeit nicht zur Verfügung steht (z.B. Lesen)Usability berücksichtigen!Captchas können sehr schnell nerven, Zeitsperren auch!Accessibility beachten!Barrierefreiheit, z.B. für fehlsichtige, blinde oder taube BenutzerDatenschutz berücksichtigen!
  17. 17. Fragen / DiskussionZum Weiterlesen:http://de.wikipedia.org/wiki/Spamhttp://www.lifeisaprayer.com/articles/web-design/2011/preventing-form-spamhttps://www.trustwave.com/support/labs/spam_statistics.aspDiese Folien als PDF:http://www.slideshare.net/drubb

×