få gæstebogs skribent til at stoppe

Anet

unread,

Dec 9, 2006, 9:10:03 PM12/9/06

to

Jeg har en hjemmeside og får dagligt en der skriver følgende i min gæstebog.
Jeg vil gerne have at det stopper hvordan gør jeg det?

Skrevet: 06-12-2006

Kim Ludvigsen

unread,

Dec 10, 2006, 3:23:09 AM12/10/06

to

Den 10-12-06 03.10 skrev Anet følgende:

> Jeg har en hjemmeside og får dagligt en der skriver følgende i min gæstebog.
> Jeg vil gerne have at det stopper hvordan gør jeg det?

I stedet for den lange reklame, som vi ikke kan bruge til noget, havde
det været bedre, om du havde skrevet et link til din gæstebog. Så kunne
vi se på den og vurdere, hvordan du kan sikre den mod den slags spam.

--
Mvh. Kim Ludvigsen
Kildeskat: Skat på vand...
http://ordforklaring.dk/ordforklaring.php?forklaring=kildeskat

Toke Eskildsen

unread,

Dec 10, 2006, 3:26:15 AM12/10/06

to

Anet wrote:

> Jeg har en hjemmeside og får dagligt en der skriver følgende i min
> gæstebog. Jeg vil gerne have at det stopper hvordan gør jeg det?

[Snip Spameksempel]

Dem får jeg en hel del af. Det er grundlæggende to ting du kan gøre:
Genere de ægte gæstebogsskrivere eller lade være med at genere de ægte
gæstebogsskrivere.

At genere de ægte skrivere er let og virkningsfuldt. Lav f.eks. et
ekstra felt, hvor du skriver "Skriv ordet hallo i feltet til højre, for
at narre spamrobotterne". Derefter lader du din gæstebogsformular
sortere de indlæg fra, hvor der ikke står "hallo" det rigtige sted.

Alternativt laver du fælder til spamrobotterne. Den simple af dem er at
lave et tomt felt, som gøres usynligt med CSS - skrives der i feltet,
må det være en spambot. De virker temmelig godt, selvom de ikke kommer
helt op på siden af de metoder, der generer brugerne. Til gengæld så
... generer de ikke brugerne.

Jeg har banket en lille side op på http://ekot.dk/www/spamtrap/ hvor
jeg beskriver et par af disse teknikker - der er også lidt statistik
over hvor mange spamindlæg jeg modtager og hvor mange af disse, der
bliver automatisk afvist.
--
Toke Eskildsen - http://ekot.dk/

Rune Jensen

unread,

Dec 10, 2006, 6:12:08 AM12/10/06

to

"Toke Eskildsen" wrote in message...

> At genere de ægte skrivere er let og virkningsfuldt. Lav f.eks. et
> ekstra felt, hvor du skriver "Skriv ordet hallo i feltet til højre,
for
> at narre spamrobotterne". Derefter lader du din gæstebogsformular
> sortere de indlæg fra, hvor der ikke står "hallo" det rigtige sted.

En serverside-løsning, som bruger ovenstående, og som bør kunne bruges
af blinde, kan ses her: http://www.ilmark.dk/kontakt.asp

Den er baseret på en idé i nyhedsgruppen ASP, og arbejder udfra
tilfældigt-tal-generatoren i VB-script. So far har den været på 2
måneder, og ingen spam er sluppet igennem, men siden er også ret ny.

For at spambotten kan få succes, så kræver det, enten at den forstår
dansk, eller at den rammer det rigtige tal, hvilket jeg mener er ret
usandsynligt, hvis den bare udfylder med tilfældigt indhold.

Dette vil genere brugeren, det er klart, men jeg mener efterhånden, at
man er så vant til at skulle udfylde CAPTCHA felter, at det må man
efterhånden kunne leve med. Det er i hvert fald et sted, jeg ikke vil gå
på kompromis, efter at have fået de _meget_ dårlige erfaringer selv.

MVH
Rune Jensen

--
Websnedker søger mere arbejde: runeofdenmarkATgmailDOTcom
referencer:
www.discolight.dk (festudstyr udlejning - under ombygning)
www.ilmark.dk (privat billedkunst galleri)

Rune Jensen

unread,

Dec 10, 2006, 6:19:27 AM12/10/06

to

"Rune Jensen" wrote in message...

> En serverside-løsning, som bruger ovenstående, og som bør kunne bruges
> af blinde, kan ses her: http://www.ilmark.dk/kontakt.asp

...og en PHP gæstebog, som benytter CAPTCHA, og som derfor ikke kan
benyttes af blinde, kan ses her: http://www.planetluc.com/en/

Den er så til gengæld ret nem at installere, hvis man følger
readme-filen nøje.

MVH
Rune Jensen

Toke Eskildsen

unread,

Dec 10, 2006, 8:50:29 AM12/10/06

to

Rune Jensen wrote:

> Den er baseret på en idé i nyhedsgruppen ASP, og arbejder udfra
> tilfældigt-tal-generatoren i VB-script. So far har den været på 2
> måneder, og ingen spam er sluppet igennem, men siden er også ret
> ny.

Fører du statistik over hvor meget, der bliver afvist?

> For at spambotten kan få succes, så kræver det, enten at den
> forstår dansk, eller at den rammer det rigtige tal, hvilket jeg
> mener er ret usandsynligt, hvis den bare udfylder med tilfældigt
> indhold.

Jeps. I det hele taget er der en del måder at lave effektive
enkeltløsninger. Måden at omgå din side mekanisk er naturligvis at lave
en tabel, som et script slår op i, men det er der ingen spammere der
gider for en enkelt side.

> Dette vil genere brugeren, det er klart, men jeg mener
> efterhånden, at man er så vant til at skulle udfylde CAPTCHA
> felter, at det må man efterhånden kunne leve med.

Problemet med CAPTCHA i større stil, dvs. til store sites eller til
udbredt software, som f.eks. blogs, er at det ikke virker i den skala.

Spammerne fisker CAPTCHAen ud af siden og viser den på en side med
"Udfyld dette, for at få adgang til fri porno", hvorved de får svaret
og kan bruge det til at komme ind på den oprindelige side.
Automatiseret menneskeudført arbejde.

> Det er i hvert fald et sted, jeg ikke vil gå på kompromis, efter at
> have fået de _meget_ dårlige erfaringer selv.

Hvis vi ser på de seneste 10.000 spam-indlæg (ca. 3 måneder) på mit
site, er der sluppet ca. 180 igennem min filtrering, der ikke anvender
CAPTCHA. Det kan jeg godt leve med på nuværende tidspunkt, men hvis
mængden bare bliver 10-doblet, vil det blive noget af en byrde at rydde
op i.

Rune Jensen

unread,

Dec 10, 2006, 9:48:07 AM12/10/06

to

"Toke Eskildsen" wrote in message...

> Rune Jensen wrote:

>
> > Den er baseret på en idé i nyhedsgruppen ASP, og arbejder udfra
> > tilfældigt-tal-generatoren i VB-script. So far har den været på 2
> > måneder, og ingen spam er sluppet igennem, men siden er også ret
> > ny.
>
> Fører du statistik over hvor meget, der bliver afvist?

Nej. Dertil rækker mine evner udi i ASP ikke, det er kun lige de gængse
VB-lommandoer. Men jeg vil tro, man kan se, om det virker indenfor 6
måneder (den har kørt 3). Jeg havde et ubeskyttet PHP-script på en anden
side, som var ved at lægge siden ned pga. bots (sådan føltes det) efter
5-6 måneder. Har du nogen idé om, et script, som kan lave statistik over
afvisninger?

Jeg kan se, siden er besøgt fra stort set hele verden, men kan jeg se,
om det er en spambot i Unoeuros statistik?

> Problemet med CAPTCHA i større stil, dvs. til store sites eller til
> udbredt software, som f.eks. blogs, er at det ikke virker i den skala.
>
> Spammerne fisker CAPTCHAen ud af siden og viser den på en side med
> "Udfyld dette, for at få adgang til fri porno", hvorved de får svaret
> og kan bruge det til at komme ind på den oprindelige side.
> Automatiseret menneskeudført arbejde.

Det er sgi da smart nok, men altså, det kræver vel, at det er det samme
CAPTCHA billede, som bliver hevet ind, som også svares på? Så hvis det
tager lidt tid at finde et "menneske", som vil udfylde CAPTCHAen, så
tager det jo også tid for botten at svare - i så fald kan man sætte
tidsbegrænsning på. Ikke videre brugervenligt, men det har jeg også set.
Både en minimumstid, man skal være om det, og en maksimumstid.
Minimumstiden skulle være for at botter er ret så meget hurtigere til at
svare end mennesker (under normale omstændigheder).

Iøvrigt, så indeholder spamindlæg i gæstebøger næsten altid et link (er
i hvert fald min erfaring). Så kan man vel undersøge meddelelsen for
links, og så afvise den, hvis der er HTML-kode i? Måske afvise alle
indlæg, som indeholder ordet href? Der er ingen gyldig grund til, at en
bruger skulle bruge links i selve meddelelsen.

> Hvis vi ser på de seneste 10.000 spam-indlæg (ca. 3 måneder) på mit
> site, er der sluppet ca. 180 igennem min filtrering, der ikke anvender
> CAPTCHA. Det kan jeg godt leve med på nuværende tidspunkt, men hvis
> mængden bare bliver 10-doblet, vil det blive noget af en byrde at
rydde
> op i.

He. Ja, jeg overvejer din løsning også, men det er bare det lidt
snøvlede i at lave et felt, som ikke skal bruges. Men får jeg spam via
ovenstående, så ryger din idé nok ind også;-) Det er problemet med gode
idéer, så snart de er blevet standard, så kan de automatiseres i større
målestok og udsættes for misbrug.

MVH
Rune Jensen

Toke Eskildsen

unread,

Dec 10, 2006, 11:17:14 AM12/10/06

to

Rune Jensen wrote:

> Har du nogen idé om, et script, som kan lave statistik over
> afvisninger?

Jeg hjemmeruller det hele, så nej. Du skal nok en tur over i server-
side grupperne.

> Jeg kan se, siden er besøgt fra stort set hele verden, men kan jeg
> se, om det er en spambot i Unoeuros statistik?

Det kan du garanteret ikke - hvis du kunne, ville det være nemt at
filtrere fra.

[Spammere bruger folk til at løse CAPTCHA]

> Det er sgi da smart nok, men altså, det kræver vel, at det er det
> samme CAPTCHA billede, som bliver hevet ind, som også svares på?
> Så hvis det tager lidt tid at finde et "menneske", som vil udfylde

> CAPTCHAen, så tager det jo også tid for botten at svare - [...]

Ikke meget. Det foregår jo omvendt: En uskyldig person kimmer hen til
"Gratis porno"-siden og vil gerne ind. Han trykker på "Luk mig ind",
hvorefter spamserveren gør det samme på det site, den vil spamme og får
fat i den CAPTCHA, der skal løses. Der går - slag på tasken - ikke over
et sekund med at få sendt frem og tilbage.

[Minimum og maksimumtid]

> Minimumstiden skulle være for at botter er ret så meget hurtigere til
> at svare end mennesker (under normale omstændigheder).

Den har jeg også overvejet at sætte på mine sider. Evt. koblet med en
"Du fik sendt et indlæg inden X sekunder. Det er meget hurtigt, så jeg
tror du er en spamrobot. Hvis du ikke er, så vent venligst X sekunder
og tryk derefter på 'Gensend'-knappen".

> Iøvrigt, så indeholder spamindlæg i gæstebøger næsten altid et
> link (er i hvert fald min erfaring). Så kan man vel undersøge
> meddelelsen for links, og så afvise den, hvis der er HTML-kode i?
> Måske afvise alle indlæg, som indeholder ordet href?

Det ville være meget nemt at lave, men også lidt farligt. Derved
bevæger vi os ud i "almindelig" spam-filtrering, hvorved risikoen for
at afvise reelle indlæg stiger.

> Der er ingen gyldig grund til, at en bruger skulle bruge links i
> selve meddelelsen.

Vane? Copy-paste?

Men okay, en hurtig statistik af mit spam siger at 80% indeholder HREF,
mens 0 ud af 415 "rigtige" indlæg indeholder HREF. Hvis/når spammængden
vokser hos mig, må jeg hellere give køb på principperne og kassere dem,
der indeholder HREF.

> He. Ja, jeg overvejer din løsning også, men det er bare det lidt
> snøvlede i at lave et felt, som ikke skal bruges. Men får jeg spam
> via ovenstående, så ryger din idé nok ind også;-)

Jeg tvivler meget stærkt på at du får spam med din metode. Jeg er bare
ikke klar til at benytte den slags (endnu). Det er af samme årsag jeg
nægter at sløre min emailadresse.

Erik Ginnerskov

unread,

Dec 10, 2006, 12:10:03 PM12/10/06

to

Toke Eskildsen wrote:

> Alternativt laver du fælder til spamrobotterne. Den simple af dem er
> at lave et tomt felt, som gøres usynligt med CSS - skrives der i
> feltet, må det være en spambot.

Den metode satte for 1½ år siden en effektiv stopper for spamming i min
gæstebog. Siden implementeringen har der ikke været et eneste spamindlæg.
Før kunne der godt være 4-5 stykker dagligt - af megastørrelse, så
databasefilen var ved at synke i knæ.

--
Med venlig hilsen
Erik Ginnerskov
http://hjemmesideskolen.dk/ - http://ginnerskov.dk/
http://html-faq.dk

Rune Jensen

unread,

Dec 10, 2006, 3:49:43 PM12/10/06

to

"Toke Eskildsen" wrote in message...

> Rune Jensen wrote:

> > Det er sgi da smart nok, men altså, det kræver vel, at det er det
> > samme CAPTCHA billede, som bliver hevet ind, som også svares på?
> > Så hvis det tager lidt tid at finde et "menneske", som vil udfylde
> > CAPTCHAen, så tager det jo også tid for botten at svare - [...]
>
> Ikke meget. Det foregår jo omvendt: En uskyldig person kimmer hen til
> "Gratis porno"-siden og vil gerne ind. Han trykker på "Luk mig ind",
> hvorefter spamserveren gør det samme på det site, den vil spamme og
får
> fat i den CAPTCHA, der skal løses. Der går - slag på tasken - ikke
over
> et sekund med at få sendt frem og tilbage.

Nåhja, selvfølgelig;-)

Vil dette så ikke kræve lidt mere end alm. programerfaring at lave? Og
altså lidt større foretagende? Jeg kunne også forestille mig, at det
firma, som bliver udsat for dette "tyveri" vil være mere end lykkelig
for at kunne lægge sag an mod sådanne spambot-firmaer, for det er jo med
til at gøre anslag på deres troværdighed. Er der nogle kendte sager,
hvor det er blevet opdaget at det er foregået som ovenfor beskrevet?

Jeg må så sige, at jeg hader spammere af et godt hjerte, men kreative,
det er de i hvert fald.

MVH

Jesper Brunholm

unread,

Dec 10, 2006, 3:57:30 PM12/10/06

to

Toke Eskildsen skrev:

> [Minimum og maksimumtid]
>
>> Minimumstiden skulle være for at botter er ret så meget hurtigere til
>> at svare end mennesker (under normale omstændigheder).
>
> Den har jeg også overvejet at sætte på mine sider. Evt. koblet med en
> "Du fik sendt et indlæg inden X sekunder. Det er meget hurtigt, så jeg
> tror du er en spamrobot. Hvis du ikke er, så vent venligst X sekunder
> og tryk derefter på 'Gensend'-knappen".

Det lyder da nærmest som "greylisting", og som sådan er det da et ret
successfuldt, velafprøvet koncept ;-)

Spøgefulde kommentarer til side - jeg var glad for at læse om den
løsning, jeg har hidtil undladt at bruge minimumstiden fordi jeg ikke
gad igang med en javascript countdown, og synes at det var for
bruger-uvenligt uden. Dette kunne være en enkel løsning.

>> Måske afvise alle indlæg, som indeholder ordet href?
>
> Det ville være meget nemt at lave, men også lidt farligt. Derved
> bevæger vi os ud i "almindelig" spam-filtrering, hvorved risikoen for
> at afvise reelle indlæg stiger.
>
>> Der er ingen gyldig grund til, at en bruger skulle bruge links i
>> selve meddelelsen.
>
> Vane? Copy-paste?

copy-paste synes jeg er en sandsynlig årsag, man kunne i øvrigt let
vejlede en smule (det er ikke svært at placere en vejledning kodemæssigt
langt fra, og visuelt tæt på inputfeltet)

> Men okay, en hurtig statistik af mit spam siger at 80% indeholder HREF,
> mens 0 ud af 415 "rigtige" indlæg indeholder HREF. Hvis/når spammængden
> vokser hos mig, må jeg hellere give køb på principperne og kassere dem,
> der indeholder HREF.

Det ser afgjort ud til at være en overvejelse værd.

Jeg har i øvrigt ret god succes med CSS-skjulte, serverside-"roterede"
(forskellige steder i en form, og med forskellige labels+id) felter som
ikke må udfyldes, men da det er på ret dårligt indekserede (og "dårligt"
robot-besøgte) sites, ved jeg ikke hvor meget jeg vil fæste mig ved
resultaterne endnu.

mvh

Jesper Brunholm

Rune Jensen

unread,

Dec 10, 2006, 4:20:15 PM12/10/06

to

"Jesper Brunholm" wrote in message...

> Toke Eskildsen skrev:

> > [Minimumtid]

> > Den har jeg også overvejet at sætte på mine sider. Evt. koblet med
en
> > "Du fik sendt et indlæg inden X sekunder. Det er meget hurtigt, så
jeg
> > tror du er en spamrobot. Hvis du ikke er, så vent venligst X
sekunder
> > og tryk derefter på 'Gensend'-knappen".
>
> Det lyder da nærmest som "greylisting", og som sådan er det da et ret
> successfuldt, velafprøvet koncept ;-)
>
> Spøgefulde kommentarer til side - jeg var glad for at læse om den
> løsning, jeg har hidtil undladt at bruge minimumstiden fordi jeg ikke
> gad igang med en javascript countdown, og synes at det var for
> bruger-uvenligt uden. Dette kunne være en enkel løsning.

Man skulle vel så have en eller anden statistik over, hvor hurtigt, de
rigtige brugere indtaster formularen. Jeg kan se, at på min, der kan man
indtaste navn og adresse med 2 tastetryk hver grundet den automatiske
udfyldning. Og hvis man laver copy/paste, så går det også hurtigt med
selve beskeden.

Jeg kan iøvrigt godt se ulemperne nu, ved copy/paste og href. Hvis det
er en meddelelse til en gæstebog, og man ikke er sikker på, om det er
spam, så kan man vel rent kodemæssigt nøjes med at fjerne linket, så det
ikke går ud over selve meddelelsen. Spammerne sætter vel links i
gæstebøger for at komme højere op på søgemaskiner?

Og nu er jeg nok ovre, hvor jeg ikke helt kan være med mere, når det
gælder sikkerhed...

MVH
Rune Jensen

Jens Gyldenkærne Clausen

unread,

Dec 11, 2006, 3:51:18 AM12/11/06

to

Erik Ginnerskov skrev:

> Den metode satte for 1½ år siden en effektiv stopper for
> spamming i min gæstebog. Siden implementeringen har der ikke
> været et eneste spamindlæg. Før kunne der godt være 4-5
> stykker dagligt - af megastørrelse, så databasefilen var ved
> at synke i knæ.

Du kunne jo evt. overveje at kombinere spamfiltreringen med et
filter på størrelsen af indlæg - og enten helt bortkaste indlæg på
fx 400+ linjer eller også nøjes med at gemme de første X tegn (af
de indlæg der ikke bortfiltreres af spamfilteret).
--
Jens Gyldenkærne Clausen
Svar venligst under det du citerer, og citer kun det der er
nødvendigt for at forstå dit svar i sammenhængen. Se hvorfor og
hvordan på http://usenet.dk/netikette/citatteknik.html

Jesper Brunholm

unread,

Dec 11, 2006, 4:46:23 AM12/11/06

to

Rune Jensen skrev:

> "Toke Eskildsen" wrote in message...
>
>> Rune Jensen wrote:
>
>>> Det er sgi da smart nok, men altså, det kræver vel, at det er det
>>> samme CAPTCHA billede, som bliver hevet ind, som også svares på?
>>> Så hvis det tager lidt tid at finde et "menneske", som vil udfylde
>>> CAPTCHAen, så tager det jo også tid for botten at svare - [...]
>> Ikke meget. Det foregår jo omvendt: En uskyldig person kimmer hen til
>> "Gratis porno"-siden og vil gerne ind. Han trykker på "Luk mig ind",
>> hvorefter spamserveren gør det samme på det site, den vil spamme og
> får
>> fat i den CAPTCHA, der skal løses. Der går - slag på tasken - ikke
> over
>> et sekund med at få sendt frem og tilbage.
>

> Vil dette så ikke kræve lidt mere end alm. programerfaring at lave? Og
> altså lidt større foretagende?

Njah, hvis man kan lave en spamrobot, så er dette en ret lille
udvidelse. Jeg er ikke helt sikker (for jeg har ikke prøvet), men
umiddelbart kan jeg ikke forestille mig andet end at en "almindelig
dygtig programmør" i php/asp/.net (på mit niveau, og dem er der altså
rigtigt mange af, sådan, rundt omkring ;-) ) som har adgang til en
server som han selv kan sætte op, let kan lave sådan en opsætning.

> Jeg kunne også forestille mig, at det
> firma, som bliver udsat for dette "tyveri" vil være mere end lykkelig
> for at kunne lægge sag an mod sådanne spambot-firmaer, for det er jo med
> til at gøre anslag på deres troværdighed. Er der nogle kendte sager,
> hvor det er blevet opdaget at det er foregået som ovenfor beskrevet?

"Tyveriet" består jo i at man får en spammet gæstebog. Hvis jeg har
forstået Toke rigtigt, så er det efter følgende opskrift:

1) find et site du gerne vil spamme, læg en url klar i din X-Spam-Bot (XSB)
2) lav en side som fortæller at man får fri adgang til porno ved at lave
en konto som kræver verification med Captcha
3) når porno-brugeren kommer, bruges urlen fra 1,
3a) XSB åbner en side og lægge spamindlægget klar til afsendelse.
3b) XSB "læser" Captcha-billedet (og kopierer det derved som enhver
anden browser ville gøre, der vil jo altid temporært ligge en kopi i cache)
3c) Det kopierede Captcha-billede vises det til den pornosøgende bruger,
som leverer en captcha-aflæsning submitter for at lave sin konto.
4) XSB bruger captcha-aflæsningen til at poste sit spam-indlæg i
gæstebogen. Hvis XSB får at vide at Captcha'en er forkert aflæst,
gentages trin 3, idet pornobrugeren får at vide at han ikke aflæste rigtigt

Det tager ikke ret lang tid, men kan kun bruges en gang per pornobruger.
Til gengæld er der ingen grænse for hvor mange pornobrugere man kan
finde, det koster kun at alliere sig med et pornofirma (som man måske
_sælger_ løsningen til idet man foregiver at de beskytter sig imod
robotter? Det er faktisk nok så muligt, og jo i øvrigt en slags sandt,
omend ret ironisk). Det koster næsten ikke noget maskinkraft, og der
behøver ikke være en person der sidder ved maskinen undervejs, man skal
bare have forudindført de spamindlæg der skal bruges osv, men det er
rimeligvis standard på sådan et system.

Spam-angreb på gæstebøger og lignende formularer sker så vidt jeg ved
som regel med skiftende spamindhold og skiftende (fakede) oplysninger om
user-agent (browser), IP-adresse osv osv, så lige så lidt som det er
muligt (eller, i hvert fald, overkommeligt) at sagsøge for spam, kan man
sagsøge for dette. Jeg er også overbevist om at XSB angriber utallige
forskellige sites i træk.

> Jeg må så sige, at jeg hader spammere af et godt hjerte, men kreative,
> det er de i hvert fald.

Enig. Jeg er i øvrigt også nysgerrig efter at høre hvordan man har
fundet ud af at spammerne bruger den metode.

mvh

Jesper Brunholm

PS. jeg har overvejet om min opskrift ovenfor kan misbruges, det mener
jeg ikke den kan, eller rettere, jeg er desværre overbevist om at det er
meget lettere at købe sig til en XSB, hvis man er i den branche.

Jesper Brunholm

unread,

Dec 11, 2006, 4:55:25 AM12/11/06

to

Rune Jensen skrev:

>>> Det er sgi da smart nok, men altså, det kræver vel, at det er det
>>> samme CAPTCHA billede, som bliver hevet ind, som også svares på?
>>> Så hvis det tager lidt tid at finde et "menneske", som vil udfylde
>>> CAPTCHAen, så tager det jo også tid for botten at svare - [...]

Det glemte jeg i skyndingen. Det må tage botten den tid at poste
indlægget, som det tager porno-brugeren at udfylde formularen med den
kopierede captcha. Det er faktisk ret træls, for så ryger sikkerheden
for at en bot udfylder for hurtigt, og kan genkendes på dette :-(

Derudover en lille tydeliggørelse: når vi snakker om copy-paste
problemet går jeg ud fra at vi snakker om at man kopierer en url fra en
adresselinje, og derfor får "http" med som en del af URLen (i modsætning
til hvis man skriver en url ind som man kan huske, hvor man oftest blot
vil begynde ved "www").

mvh

Jesper Brunholm

Jens Gyldenkærne Clausen

unread,

Dec 11, 2006, 5:49:54 AM12/11/06

to

Jesper Brunholm skrev:

> Derudover en lille tydeliggørelse: når vi snakker om
> copy-paste problemet går jeg ud fra at vi snakker om at man
> kopierer en url fra en adresselinje, og derfor får "http" med
> som en del af URLen (i modsætning til hvis man skriver en url
> ind som man kan huske, hvor man oftest blot vil begynde ved
> "www").

Det tror jeg du har ret i. Men hvis jeg har læst tråden korrekt, er
det Toke har lavet statistik på, forekomsten af HREF - ikke http.

Href forekommer kun hvis folk forsøger at skrive html-koden til
links (<a href=...>), og bør være endnu mere sjælden end http
(netop fordi http kan komme med ved klippe-klistre fra
adresselinjen, mens href kun uforvarende kommer med hvis man
kopierer fra html-kode.
--
Bolig søges. Andel eller leje i Emdrup, Nordvest, Nørrebro, Søborg
eller Brønshøj, max 6000 pr. måned.
Kontakt pr. mail - nospam(at)gyros.dk
Jens Gyldenkærne Clausen

Toke Eskildsen

unread,

Dec 11, 2006, 11:14:36 AM12/11/06

to

Jens Gyldenkærne Clausen wrote:

> Det tror jeg du har ret i. Men hvis jeg har læst tråden korrekt, er
> det Toke har lavet statistik på, forekomsten af HREF - ikke http.

Spam med HREF (24589/25025: 80%
Spam med http (24589/25025): 98%
Ægte indlæg med HREF (0/415): 0%
Ægte indlæg med http (16/415): 4%
Dertil nogen få håndfjernede chikaneindlæg, som jeg ikke har undersøgt.

Dette fra min blog på http://ekot.dk/dagbog/ og fra et par undersider
til http://ekot.dk/JPEGCrops/ . Næppe videre repræsentativ mht. de ægte
indlæg, da der er lav trafik af den slags. Som altid: Tag det med en
pose salt.

Toke Eskildsen

unread,

Dec 12, 2006, 3:06:57 AM12/12/06

to

Rune Jensen wrote:

> Jeg kan iøvrigt godt se ulemperne nu, ved copy/paste og href. Hvis
> det er en meddelelse til en gæstebog, og man ikke er sikker på, om
> det er spam, så kan man vel rent kodemæssigt nøjes med at fjerne
> linket, så det ikke går ud over selve meddelelsen. Spammerne
> sætter vel links i gæstebøger for at komme højere op på
> søgemaskiner?

Det ville også være en mulighed, men jeg tvivler på at det påvirker
mængden af spam på eget site. Det er lidt ligesom
http://googleblog.blogspot.com/2005/01/preventing-comment-spam.html
der også virker på et større plan og forsøger at gøre det generelt
ikke-attraktivt med comment-spam.

(jeg bryder mig forøvrigt ikke om at bruge rel="nofollow", da jeg mener
at ægte kommentarer med links bør vægtes og følges på linje med alt
muligt andet indhold)

Toke Eskildsen

unread,

Dec 14, 2006, 1:32:10 PM12/14/06

to

Jesper Brunholm wrote:

> Enig. Jeg er i øvrigt også nysgerrig efter at høre hvordan man har
> fundet ud af at spammerne bruger den metode.

Mon ikke det blot er ved at holde øje med hvem der henter CAPTCHAerne?
Hvis IP for en meget aktiv henter passer med et website, tager man da
et kig på det - og opdager måske at de anvender ens CAPTCHAs.

Og nej, det vil ikke virke at blokere et site - spammeren sætter bare
en flok zombiemaskiner til at virke som proxier.