Du bist nicht angemeldet. Der Zugriff auf einige Boards wurde daher deaktiviert.

1

#1 25. August 2017 08:43

antibart
Server-Pate
Registriert: 14. Dezember 2010
Beiträge: 784

Re:

Hi,

ich bin mir nicht sicher, ob das nicht eher ein allgemeines Plauderthema wäre oder doch ein modulspezifisches. Da hängt wohl von den Antworten ab. wink

Wie sind eure Erfahrungen mit Honeypots allgemein oder speziell in Verbindung mit Newsletter Made Simple? Ich finde sie theoretisch als Alternative zu fehleranfälligen und hässlichen Captchas recht verlockend.

Im Anmeldetemplate von NMS ist ja ein auskommentiertes Honeypot-Feld integriert. Wegen des hohen Spamaufkommens habe ich das mal bei zwei Projekten ausprobiert. So unauffällig wie möglich: Mit Div drum, Label und allem möglichst analog zu den anderen, offiziellen Feldern.

Zunächst sichtbar getestet: Fülle ich das Feld aus, wie es ein Bot tun sollte, scheitert die Anmeldung. Lass ich es leer, gelingt sie. Alles klar. 

Nach dem erfolgreichen Funktionstest habe ich wie allgemein empfohlen, das Div in den CSS mit display:none; ausgeblendet, damit humanoide Nutzer nicht verwirrt werden.
Ergebnis am nächsten Tag: immer noch 5 bzw. 10 Anmeldungen durch Spambots.

Vermutung: display:none; in den CSS wird von vielen Spambots bereits verstanden.

Nächster Versuch: Statt das div komplett auszublenden, habe ich ihm eine geringfüge Höhe und ein overflow:hidden verpasst - für das menschliche Auge unsichtbar.

Ergebnis: Die Anmeldungen durch Spambots hatte sich bei beiden Projekten sogar fast verdoppelt.

Ich gestehe, dass ich vorher, als das Anmeldeformular noch komplett ungeschützt war, nicht genau Buch über die Spamzugriffe geführt habe. Ich habe einfach sporadisch alle paar Wochen / Monate zwei- bis dreihundert Spamanmeldungen gelöscht.

Mit einer gewissen Menge an Spam muss man leben, aber "gefühlt" würde ich sagen, dass der Honigtopf rein gar nichts gebracht hat. Denn bei 10-20 Spambots pro Tag sind 100 schon innerhalb kürzester Zeit erreicht.

Hierzu folgende Gedanken / Fragen:

  • Ist das Verstecken über CSS - egal wie - überholt, weil die Bots bereits jede Möglichkeit kennen?

  • Gibt es bessere Möglichkeiten außer CSS, um das Feld auszublenden?

  • Ist der von NMS generierte Wert für name="{$actionid}nms__data)" bereits zu durchschaubar?

  • Wäre es sinnvoller, das Feld gar nicht auszublenden und den Nutzer darauf hinzuweisen, das Feld leer zu lassen?

  • Ist der Honigtopf sowieso gestrig?

  • Was wäre - außer Captcha - eine einfache Alternative?

Ich freue mich über Kommentare
Gruß

Beitrag geändert von antibart (25. August 2017 09:41)

Offline

1

Fußzeile des Forums

Powered by FluxBB