Author Topic: Modul Guestbook  (Read 1170 times)

Offline klaumich

  • Posts: 85
  • Gender: Male
  • Ziemlich Ahnungsloser
    • michler-web
Modul Guestbook
« on: September 26, 2017, 09:09:11 AM »
Hallo .....
im Moment hab ich ein weiteres "Problem" und zu dem Thema leider nur uralte Threads gefunden, die schon 4 oder 5 Jahre alt sind .... wie auch das Modul selbst ...
Seit geraumer Zeit häufen sich Einträge aus Polen in meinem Gästebuch [WB Version 2.8.3+SP7 (r1646)], auch ein umstellen der Captcha and Spam-Protection bringt keine wirkliche Änderung ....
Klar ist das Modul "uralt" und ich bräuchte es im Grunde nur zu deaktvieren, da ich nur wenige Einträge habe, aber auf einer anderen Seite die ich betreue wird das Gästebuch recht aktiv genutzt. Auch dort hatte ich eine ganze Weile diese Art der Spameinträge, nur dort ist mittlerweile komischer weise Ruhe ....

Gibt es Möglichkeiten den Spam einzudämmen, evtel einen Update der Captcha and Spam-Protection ?!

Grüße Klaus
Immer in der Hoffnung, dass das Licht am Ende des Tunnels der Ausgang ist ...
[WB vers. 2.12]

Offline jacobi22

  • Posts: 5685
  • Gender: Male
  • Support also via PM or EMail
    • Jacobi22
Re: Modul Guestbook
« Reply #1 on: September 26, 2017, 10:27:38 AM »
Quote
Gibt es Möglichkeiten den Spam einzudämmen, evtel einen Update der Captcha and Spam-Protection ?!

eigentlich nicht, denn die meisten der Spam-Einträge werden heute wieder von Hand und nicht von Bots geschrieben und dann nutzt das komplizierte Captcha nichts. ASP sollte allerdings in den AdminTools -> Captcha-Einstellungen aktiviert sein.

Einzig hilfreich ist wohl, wenn die Einträge erst durch den Admin frei geschaltet werden. Da taucht der Murx nur im Backend auf
Probleme sind da, um sie zu lösen, nicht, um nach Ausreden zu suchen.

Offline klaumich

  • Posts: 85
  • Gender: Male
  • Ziemlich Ahnungsloser
    • michler-web
Re: Modul Guestbook
« Reply #2 on: September 26, 2017, 10:51:15 AM »
Einzig hilfreich ist wohl, wenn die Einträge erst durch den Admin frei geschaltet werden. Da taucht der Murx nur im Backend auf
ok danke ..... hab ich fast befürchtet aber das Freischalten hab ich so aktiviert ...  :wink:
Immer in der Hoffnung, dass das Licht am Ende des Tunnels der Ausgang ist ...
[WB vers. 2.12]

Offline jacobi22

  • Posts: 5685
  • Gender: Male
  • Support also via PM or EMail
    • Jacobi22
Re: Modul Guestbook
« Reply #3 on: September 26, 2017, 11:39:11 AM »
ich meine, mal gelesen zu haben, das es 2 Cent pro Eintrag gibt. Wer das bezahlt und wo der Sinn dafür ist, einfache, sinnlose Texte ohne Bezug zu posten, ist mir nicht bekannt. Sind Links im Text enthalten, leuchtet mir das noch ein. Grundsätzlich läuft das wohl nach dem Grundsatz: Man kann alles irgendwo vertickern, muß nur den einen Nutzer finden, der da drauf klickt. Und die Wahrscheinlichkeit dafür ist natürlich größer, wenn solch Spam in Massen verstreut wird.
Hier im Forum findet man öfter Leute mit nichtssagenden Postings, ein Lob auf eine Lösung oder für eine Seite im Showcase, manchmal auch ein Text zu komplett anderen Themen, Hintergrund ist, das die Leute erstmal eine Anzahl "braver" Postings haben.

Gästebücher stehen allgemein auf der "schwarzen" Liste der Internet-Rechtler, insbesondere der deutschen Fanatiker, die höchste Sicherheit erwarten, aber alle möglichen Tools verbieten. Beim GB ist es im speziellen das IP-Logging. Das ist Okay, wenn ich bei Ebay, Amazon etc shoppe, aber ganz doll böse, wenn das einer zur Spam-Abwehr nutzt.
Andere Sache wäre die EMail-Benachrichtigung. Man darf eine Mail von einer Webseite aus nur Versenden, wenn der Empfänger vorher zugestimmt hat, alles andere wäre Spam. Rein theoretisch braucht man also erst die Einverständniserklä rung  :roll: :-o
Insgesamt also rechtlich recht schwammig und es nützt nichts, wenn man da den einfachen Menschenverstand bemüht, der da sagt: wer öffentlich einen Gästebuch-Eintrag macht, möchte doch, das dies veröffentlich wird und erwartet eine Bestätigung.

Diese rechtliche Unsicherheit ist wohl der Hauptgrund (neben dem Streß mit den Spammern), das immer mehr darauf verzichten. Meins habe ich geschlossen, als sich ein paar mir von hier bekannte Kasparköppe dort negativ über WB geäußert haben. Heute ist davon keiner mehr hier aktiv.

Hab ich richtig verstanden, das dieser Spam nicht im Frontend auftaucht dank der Admin-Freischaltung oder funktioniert das nicht bei dir?
Probleme sind da, um sie zu lösen, nicht, um nach Ausreden zu suchen.

Offline klaumich

  • Posts: 85
  • Gender: Male
  • Ziemlich Ahnungsloser
    • michler-web
Re: Modul Guestbook
« Reply #4 on: September 26, 2017, 12:11:07 PM »
Hab ich richtig verstanden, das dieser Spam nicht im Frontend auftaucht dank der Admin-Freischaltung oder funktioniert das nicht bei dir?
Korrekt, hab das GB schon von Beginn an auf der Seite, die Spamerei ist erst vor gut 14 Tagen los gegangen .... naja solange das nicht dramitsch weiter zu nimmt lass ich´s mal ..... die Welt wäre um vieles reicher wenn nicht überall und allgemein Hohlköppe unterwegs wären die einfach "Stress" machen, egal ob es jetzt um Geld geht oder sonstiges ....
Selbst vor solchen Platformen wie hier macht das keinen Halt wie Du schreibst ..... kann man nur den Kopf schütteln! Um so schöner ist es, dass es engagierte Menschen wie Dich gibt .... Danke dafür!
Immer in der Hoffnung, dass das Licht am Ende des Tunnels der Ausgang ist ...
[WB vers. 2.12]

Offline DarkViper

  • Forum administrator
  • *****
  • Posts: 2993
  • Gender: Female
Re: Modul Guestbook
« Reply #5 on: September 26, 2017, 02:21:57 PM »
Da möchte ich doch auch noch n bisserl Weißwurstsenf dazugeben..  ;)
Gästebücher stehen allgemein auf der "schwarzen" Liste der Internet-Rechtler, insbesondere der deutschen Fanatiker, die höchste Sicherheit erwarten, aber alle möglichen Tools verbieten. Beim GB ist es im speziellen das IP-Logging. Das ist Okay, wenn ich bei Ebay, Amazon etc shoppe, aber ganz doll böse, wenn das einer zur Spam-Abwehr nutzt.
IP-Logging ist nur nicht erlaubt, wenn IP-Adressen zusammen mit einem Timestamp gespeichert werden und dadurch (z.B. über den Provider) eventuelle Querverbindungen zu Usern herstellbar sind. Es gibt jedoch eine einfache Lösung, dies Klippe zu umschiffen: Ähnlich wie bei Passwörtern werden IPs erst mal gehasht (am einfachsten mit MD5) und dann erst gespeichert. Das muss in einer separaten Tabelle geschehen, die keine Verknüpfung zu Benutzerkonten zulässt. So kann man jederzeit die Häufigkeit von IP-Adressen überprüfen, ohne die Adresse selbst zu kennen und entsprechend reagieren. Noch einfacher ist es, wenn man den Schutz auf die Server-/Providerseite verlegen kann, indem dort Tools wie 'Fail2Ban' etc. eingesetzt werden.
(Smartphones etc. sind diesbezüglich ein eigenes Universum… hier ist Datenschutz objektiv überflüssig, da hier die Nutzer gegenseitig im Wettstreit stehen, wer seine Daten am schnellsten verbreiten kann...)
Andere Sache wäre die EMail-Benachrichtigung. Man darf eine Mail von einer Webseite aus nur Versenden, wenn der Empfänger vorher zugestimmt hat, alles andere wäre Spam. Rein theoretisch braucht man also erst die Einverständniserklä rung  :roll: :-o
Aus diesem Grund verlangen inzwischen fast alle (EU) Seiten, dass man registrierter User sein muss, um Gästebucheinträge oder Kommentare zu Artikeln zu schreiben. Bei der Registrierung erklärt man sich mit dem Erhalt von E-Mails einverstanden und noch wichtiger: Die Adressen werden vor dem Abspeichern durch Aktivierungslinks und zusätzlich MXR-Tests etc. der angegebenen Domains auf Gültigkeit geprüft.

Was jedoch gar nicht geht, ist das Versenden von Mails an frei eingebbare Emailadressen. Hierbei stünden Spammern Tür und Tor offen. Aus diesem Grund können in WB-eigenen Addons Mails auch grundsätzlich nur an andere, bereits registrierte und überprüfte Benutzer verschickt werden. Wer jedoch Addons nutzt, die den freien, unkontrollierten Versand erlauben, könnte durchaus sehr schnell ein sehr teures Problem bekommen. Nur wenn man etwas Glück und einen sehr guten Rechtsanwalt hat, kann man evt. einen Teil der Kosten auf den Programmierer des Addons abwälzen, indem man diesem grobe Fahrlässigkeit bei der Programmierung nachweist. Gegen grobe Fahrlässigkeit hilft nämlich auch die schönste Haftungsfreistellun gserklärung im Quellcode oder den Nutzungsbedingungen nichts und erst recht keine GPL oder OS oder oder.. :-)

Manuela

Nachsatz zu: "Was jedoch gar nicht geht, ist das Versenden von Mails an frei eingebbare Emailadressen."

Immer wieder höre ich das Totschlagargument: "Ich kann doch auch mit meinem Outlook etc.pp. Emails an alle möglichen Adressen verschicken!"
Das ist völlig korrekt. Mit einen ganz 'unbedeutenden' Unterschied: Verschickt jemand Mail mit seinem eigenen Email-Account (egal ob per Outlook, ein Webinterface oder eine APP), so macht er das grundsätzlich mit SEINEM Account, für den er/sie persönlich verantwortlich und haftbar ist...
und nicht über den FREMDEN Account eines Websitenbetreibers, für den dieser persönlich verantwortlich und haftbar ist!! 
Dieser winzige, unscheinbare Unterschied entscheidet, wessen Bankkonto bei Problemen  deutlich erleichtert wird.
« Last Edit: September 26, 2017, 02:45:03 PM by DarkViper »
Der blaue Planet - er ist nicht unser Eigentum - wir haben ihn nur von unseren Nachkommen geliehen

"You have to take the men as they are… but you can not leave them like that !" :-P
Das tägliche Stoßgebet: Oh Herr, wirf ihnen Hirn vom Himmel !

Offline evaki

  • Posts: 2485
Re: Modul Guestbook
« Reply #6 on: September 27, 2017, 11:51:17 AM »
<offtop>
Zu:
1.)IP-Logging ist nur nicht erlaubt, wenn...
2.)Aus diesem Grund verlangen inzwischen fast alle (EU) Seiten, dass man registrierter User sein muss, um Gästebucheinträge oder Kommentare zu Artikeln zu schreiben.

Wir hatten einen Anwender, der sich vor Gericht wg. anonymer Gästebucheinträge verteidigen mußte. Dies aber nicht, weil die Einträge anonym verfasst waren, sondern wg. einiger Inhalte. Anonymität war nicht das Thema.
IP-Logging mag zwar nicht in jedem Falle erlaubt sein, aber in diesem konkreten Falle konnte nur mit diesen Daten (der TimeStamp war ausschlaggebend) nachgewiesen werden, daß das LKA bei der Ermittlungsarbeit "geschlampt" hatte. Vor dieser richterlichen Erkenntnis hat unser Anwender sich unglaublichen technischen Unfug der Staatsanwaltschaft durchlesen müssen, die offensichtlich nicht über die geringsten Kenntnisse des Internets verfügte. Dachte auch immer, daß die Fachleute in solchen Fällen heranziehen.

Dieser Fall sollte jetzt nicht derart interpretiert werden um nun Gesetzesverstöße bewußt in Kauf zu nehmen.
</offtop>
MfG. Evaki


« Last Edit: September 27, 2017, 12:01:36 PM by evaki »
Einmal Pizza Quattro Stagioni bitte, aber ohne Herbst.

Offline DarkViper

  • Forum administrator
  • *****
  • Posts: 2993
  • Gender: Female
Re: Modul Guestbook
« Reply #7 on: September 27, 2017, 01:20:10 PM »
*gg die Daten sind trotz hashing weiterhin ermittelbar...
einfach anhand des Timestamps und der aufgerufenen Datei (save_entry) kann über den Provider die IP aus dem Serverlog (access.lo bzw error.log) ausgelesen werden.
Nur direkt im Zugriffsbereich des Seitenbetreibers über den Webspace bzw eine gehackte Datenbank sind die Daten nicht wieder restaurierbar.

[…]wg. anonymer Gästebucheinträge verteidigen mußte. Dies aber nicht, weil die Einträge anonym verfasst waren, sondern wg. einiger Inhalte. Anonymität war nicht das Thema.[…]
Es geht meist immer um Inhalte. Nur sind anonyme Schreiber schwer zu fassen, weshalb der Inhalt am Betreiber 'hängen' bleibt. Das ist einer der wichtigsten Gründe, weshalb so viele Seiten kein anonymes Schreiben mehr zulassen.
;)
Der blaue Planet - er ist nicht unser Eigentum - wir haben ihn nur von unseren Nachkommen geliehen

"You have to take the men as they are… but you can not leave them like that !" :-P
Das tägliche Stoßgebet: Oh Herr, wirf ihnen Hirn vom Himmel !

Offline klaumich

  • Posts: 85
  • Gender: Male
  • Ziemlich Ahnungsloser
    • michler-web
Re: Modul Guestbook
« Reply #8 on: October 26, 2017, 08:17:48 AM »
Wer jedoch Addons nutzt, die den freien, unkontrollierten Versand erlauben, könnte durchaus sehr schnell ein sehr teures Problem bekommen. Nur wenn man etwas Glück und einen sehr guten Rechtsanwalt hat, kann man evt. einen Teil der Kosten auf den Programmierer des Addons abwälzen, indem man diesem grobe Fahrlässigkeit bei der Programmierung nachweist. Gegen grobe Fahrlässigkeit hilft nämlich auch die schönste Haftungsfreistellun gserklärung im Quellcode oder den Nutzungsbedingungen nichts und erst recht keine GPL oder OS oder oder.. :-)
Ich bin ja nur "Hobbybastler" was meine Webseiten angeht ..... verstehe ich das jetzt richtig, dass der Betreiber der Seite rechtlich am Haken hängt wenn z.B. Module genutzt werden wie das Gästebuch, wenn dort beim Eintrag von Besuchern die Emailadresse angegeben wird ?!? Sit das der Fall gehen die Gästebücher offline .... keine Frage!
Allerdings ist das nach meiner persönlichen Auffasung wieder einmal ein Bsp. für staatliches Unmündig machen ..... Wenn ich mich heute in ein Gästebuch what ever eintrage wo ich meine Email preis gebe, ist das doch meine Entscheidung, will ich das nicht brauche ich doch keinen Eintrag zu machen ..... Irgendwie wird unser ganzes System immer irrer .... und wie soll man da als Ottonormalmensch noch durchblicken ..... solche Sachen nehmen einem auch noch den letzten "Spaß" wenn man sowas nur als Hobby betreibt!  :|
Immer in der Hoffnung, dass das Licht am Ende des Tunnels der Ausgang ist ...
[WB vers. 2.12]

Offline DarkViper

  • Forum administrator
  • *****
  • Posts: 2993
  • Gender: Female
Re: Modul Guestbook
« Reply #9 on: October 26, 2017, 09:31:23 AM »
nein, ich klau Dich nicht...  8-)

Falls jemand seine Email-Adresse selbst in die Textnachricht des Gästebuches schreibt, bist Du 'fein raus'. Denn die Veröffentlichung hat derjenige aus freien Stücken selbst erledigt. Immer wenn der Schreiber die freie Wahl hat, persönliche Daten zur Anzeige anzugeben, solange ist alles in Ordnung. Am besten ist es, die Anzeige dieser Daten per default auf "nicht anzeigen" zu setzen, so dass der Schreiber diese explizit freigeben muss.
Regelrecht gefährlich ist es jedoch, wenn Du zum Beispiel im GB-Formular ein Pflichtfeld Feld "Email-Adresse"  oder "Homepage" etc. hast und diese dann auch öffentlich lesbar in der Ausgabe anzeigst, ohne dass der Schreiber eine Möglichkeit hat, dieses zu verhindern.

Wesentlich kritischer noch sind die diversen Form-Module die in Umlauf sind. Fast alle lassen es zu, dass sie als eine Art Webmailer zweckentfremdet werden können. Das heißt, dass sie Emails an frei eingebbare, ungeprüfte Adressen versenden können. Eine Einladung für jeden Spammer, der dann Mails über ein Postfach des Seitenbetreibers an x-beliebige Leute versenden kann. Verantwortlich für diese Spammails ist dabei immer der jeweilige Seitenbetreiber.
Das, zwar funktional nicht so ausgebaute, Formmodul das WB mitliefert, verhindert dieses. Es lässt nur den Versand zwischen angemeldeten Benutzern zu, die bei der Anmeldung dem Empfang von Maiis zugestimmt haben (Nutzungsbedingungen bei der Anmeldung).
Kurz zusammengefasst:
- Nicht explizit erlaubte oder zwangsweise Veröffentlichung privater Daten (Emailadresse, Homepage, etc.) ist verboten.
- Versand von Emails an Personen, die zuvor nicht zugestimmt haben ist verboten.
- Wer eine Umgehung dieser 'Verbote' ermöglicht, kann wenigstens nach der Störerhaftung verantwortlich gemacht werden.
Schuldig machen sich hierbei auch die Programmierer der entsprechenden Software, weil sie grob fahrlässig die Umgehung von Gesetzen ermöglichen.

Also, solange Du als Seitenbetreiber die ersten 2 Punkte beachtest, solange ist auf Deiner Seite alles im grünen Bereich.

Manuela
Der blaue Planet - er ist nicht unser Eigentum - wir haben ihn nur von unseren Nachkommen geliehen

"You have to take the men as they are… but you can not leave them like that !" :-P
Das tägliche Stoßgebet: Oh Herr, wirf ihnen Hirn vom Himmel !

Offline jacobi22

  • Posts: 5685
  • Gender: Male
  • Support also via PM or EMail
    • Jacobi22
Re: Modul Guestbook
« Reply #10 on: October 26, 2017, 01:12:22 PM »
Neben den im obigem Beitrag erwähnten Möglichkeiten, kam es auch vor, das Leute in solch Gästebuch als ihre Mailadresse die ihrer "guten Freunde" eingesetzt haben, in der Hoffnung, das der Spammer sie diese schon holen wird und den "Freund" über kurz oder lang mit Spam zu donnert.

Als das Form-Modul damals so wie beschrieben umgebaut wurde, gab es ein lautes Geschrei hier und in den diversen Mecker-Anlaufstellen, welch Bevormundung man sich erlaube. Mittlerweile hat diese Lösung Einzug in fast alle Module gehalten, die Mails versenden. Es wäre logisch konsequent gewesen, wenn man das Gästebuch entsprechend angepasst hätte.
Probleme sind da, um sie zu lösen, nicht, um nach Ausreden zu suchen.

Offline evaki

  • Posts: 2485
Re: Modul Guestbook
« Reply #11 on: October 26, 2017, 09:20:41 PM »
Früher, also beim Kaiser, gabs mal das Modul: GeoIP.  Hierüber kann man leicht unerwünschte Länder aussperren bzw. nur bestimmte Länder zulassen. 
Wenn die Liste überschaubar ist, läßt sich das auch ohne, und z.B. per htaccess oder in php in CIDR-Schreibweise durchführen.
Wer seine Webseiten also nur für Deutschland präsentiert, und nicht unbedingt Kohlrouladen in die Antarktis verschicken möchte, käme mit GeoIP und einer Whitelist gut zurecht.

Wenn ich recht erinnere, hats vor Jahren mal einer unserer Anwender mit dem NewsModul (da gibts wohl ne Schnittstelle) verbunden. Und ja, irgendwo in einem Template hab ich mal son Ausschluß eingetragen, um nur einen bestimmten Bereich für das Admin-Login zuzulassen. Man hat also je nach "Nervgrad" unterschiedliche Mittel/Methoden zur Auswahl. Man kann MaxMind auch "zu Fuß" installieren.
MfG. Evaki
« Last Edit: October 26, 2017, 09:35:50 PM by evaki »
Einmal Pizza Quattro Stagioni bitte, aber ohne Herbst.

 

postern-length