Und noch eine SPAM-Mail, welche daneben ist, diesmal nicht technisch sondern sprachlich:

Betreff:

Heutzutage ist Impotenz ein Fremdwort

Nicht nur heutzutage … und nicht im übertragenen Sinne, wie der Spammer es wohl meinte.

Heute einen SPAM bekommen mit dem Betreff:

Z:\MrBling\txt\nackt_subjects.txt

Ein kleines Madchen spricht die Wahrheit uber georgische Angriffe:

http://youtube.com/watch?v=XXXXXXXX                                                                                        (YouTube manipuliert den Aufrufzahler und lasst dieses Video nicht popular werden)

2000 Tote innerhalb von 2 Tagen durch georgischen Angriff – RIP
Fur alle Kinder, Frauen, Manner die durch georgische Angriffe ermordet wurde starten wir diese Aktion.

Wir sind gegen Propaganda in deutschen Medien!
Wir sind keine Medien-Marionetten.
Wir wollten die WAHRHEIT! Wir sind das Volk!

Verbreite diese Nachricht wie ein Lauffeuer! (Emails, Blogs, Foren, ICQ)
Zusammen sind wir stark.

Die Mail weist übliche SPAM-Zeichen auf, der Link jedoch führt tatsächlich zu Youtube und nicht etwa zu eienr Betrugsseite die einem als Codec einen Virus unterschieben möchte. Die Aktion zielt also wahrscheinlich tatsächlich darauf ab den Besucherzähler dieses Videos hochzutreiben.

Ich habe den Link mal unschädlich gemacht, weil ich die Lage nicht soweit einschätzen kann, dass ich beurteilen könnte ob man es verbreiten sollte oder nicht. Außerdem ist SPAM nie gut, also weg damit. Wahrscheinlich haben viele meiner Besucher den Link sowieso schon erhalten.

[UPDATE] Auch die Gegenseite scheint aktiv: Antigeorgische Spammer basteln offenbar an Bot-Netz
[UPDATE2] Hier wird kein SPAM verlinkt. Die Video-ID ist jetzt in der Kommentar-Blacklist, also versucht es gar nicht erst!

Aufgrund wiederholter Beschwerden gegen das bisher verwendete Captcha, verwende ich jetzt für die Kommentare ein reCaptcha. Das sollte auch ohne Cookies und Javascript problemlos funktionieren und vielleicht sogar etwas sicherer sein. Wer sich dafür interessiert findet hier einen etwas längeren Artikel zum Thema reCaptcha.

Ach ja, Kommentare wo nur “danke für die Infos” oder “schöner Artikel” drin steht, die aber eine URL haben werden gnadenlos gelöscht. Vor allem wenn die Links nach kommerziellen Seiten aussehen …

Spontan fällt mir dazu eine andere Lösung ein, als der Spammer meinte.

If you want do delete your site from our spam bases – just email us with domain of your site:abuse-here@***

thank you!

War wohl ein Schuss ins Blaue, da es nie auf der Seite zu lesen war weil das entsprechende Formular moderiert wird.
Außerdem war in der Queue nur der eine SPAM, mehr wäre wohl gekommen wenn es öffentlich sichtbar geworden wäre.

Im reCaptcha-Artikel hatte ich erwähnt, dass ich mit dem Shoutbox-Captcha ein wenig experimentieren möchte. Mit einem Binärcaptcha kann man ankreuzen ob man Bot oder User ist, oder vergisst eins von beidem ankreuzen.

Der Schutz ist jetzt geknackt, ich hatte an zwei verschiedenen Tagen jeweils 2 Spameinträge, die zwar das Homepage-Feld falsch genutzt haben, aber Plaintext-URLs in der Message plazieren konnten. Das Konzept gebe ich noch nicht auf, sondern habe den Wert für “User” von “yes” auf “keinspam” geändert, um zu sehen ob die Bots nur einen Glückstreffer hatten.

Wenn das auch geknackt ist, kann man das gleiche Konzept noch mit variablem “yes”-Text probieren. Es muss doch möglich sein ein Captcha zu bauen was für den User absolut einfach ist, und für automatisierte-Bots schwer zu knacken. Ein Bot der vom Spammer an das Captcha angepasst wird kann es natürlich problemlos knacken, aber das dürfte sich für die meisten Spammer nicht lohnen.

[UPDATE] ein einfaches Ändern des Textes scheint jetzt auch gebrochen. Da es nur ein Spamposting ist, kann es natürlich auch sein, dass jemand es manuell eingesetzt hat, und ich hier umsonst optimiere … Wie dem auch sei, jetzt ist der “yes” Text dynamisch abhängig vom Benutzer, und “yes” ist die zweite Option, denn vielleicht probiert der Bot einfach mal die erste Option zu setzen, ob es dann geht.

Der Trollvote, wo ironisch über den schlimmsten/besten Heisetroll abgestimmt werden kann, war in letzter Zeit massiv gespammt worden. Der einzige Schutz vor Mehrfachvotes war ein IP-Check, da sowieso jeder pro Tag und Troll einmal abstimmen dürfen soll.
Andere Merkmale sind noch leichter fälschbar, also hatte es keinen Zweck Browserversion, Cookies oder ähnliches zu überprüfen.
Den Schutz hat jedoch ein Übeltäter ausgenutzt, indem er (vermutlich durch Trennen der Verbindung alle paar Minuten) mit einer großen Menge IPs für seine Favouriten (unter anderem der berüchtigte “Analüst …”) abgestimmt hat.

Die Lösung ist ein Captcha. Ein reCaptcha wählte ich, da ich schon darüber gelesen hatte, und es mir auch im Heiseforum nocheinmal empfohlen wurde. Nachdem man sich auf der Seite angemeldet hat bekommt man die Möglichkeit sich für eine URL ein Schlüsselpaar aus öffentlichem und privatem Schlüssel zu generieren. Die Integration ist dann mit librecaptcha.php sehr einfach:

Captcha generieren:

<? echo recaptcha_get_html($publickey); ?>

Captcha überprüfen:

$resp = recaptcha_check_answer ($privatekey,
$_SERVER["REMOTE_ADDR"],
$_POST["recaptcha_challenge_field"],
$_POST["recaptcha_response_field"]);
if($resp->is_valid){
…
}

Das besondere an reCaptcha ist, dass die Captchas nicht einfach verzerrter Text sind, sondern Teile von Buchscans an denen die OCR-Software gescheitert ist. Diese werden noch ein bisschen unkenntlicher gemacht, und dann bekommt der User ein bekanntes und ein unbekanntes Wort. Wird das bekannte richtig eingegeben, wird angenommen, dass auch das unbekannte stimmt. Gibt der User das Captcha falsch ein, bekommt er 2 bekannte Wörter.

Ein Problem für das Projekt ist, dass man mit 50% Wahrscheinlichkeit das unbekannte Wort falsch eingeben kann, wenn man das andere richtig eingibt. Ich hoffe, dass das nun “bekannte” Wort wenn es vom nächsten User richtig, also für die Software “falsch” eingegeben wird wieder als unbekannt eingeordnet wird.
Weiterhin habe ich nicht feststellen können, aus welchen Büchern die Scans sind, und in wieweit das fertig digitalisierte Buch der Allgemeinheit zur Verfügung gestellt wird. Da es sich aber ein Projekt einer Universität ist, ist es vermutlich keine Ausbeutung.

Einen völlig anderen Ansatz habe ich bei der Shoutbox gewählt. Nachdem der User eine kurze Zeit lang bei einer kleinen Zahl entscheiden musste ob sie eine Primzahl ist, gibt es jetzt nur noch 2 Radiobuttons:

• Ich will etwas konstruktives posten
• Ich will spammen.

Bisher hilft es. Ich bin gespannt ob das alles nur automatische Bots waren, die zu blöd sind das zu verstehen, oder ob die Spammer sich anpassen werden.

Zu dem Thema gab es auch auf der FrOSCon einen Vortrag. Folien sind online verfügbar.

[UPDATE] Bei HotCaptcha muss man Bilder von Personen beurteilen. Ein lustiger Ansatz, aber vermutlich hängt da auch einiges vom persönlichem Geschmack bei ab.