[honeypotForm] Bot-Anmeldungen zum Newsletter vermeiden

**ray** · 26.06.2012, 17:38

Hallo zusammen,

ich hab das Problem, dass sich ein oder mehrere Bots bei meinem Newsletteranmeldeformular mit ausgedachten E-Mail Adressen (z.B. 019111125 @ gawab.com) anmelden.
Das wäre nicht weiter schlimm, wenn ich nicht eine Rückmeldung des Mailer Daemon bekommen würde, für jede nicht existierende Adresse.

Wie kann man sich leicht davor schützen, ohne dem Besucher mehr Aufwand zu machen?
Vielleicht durch die Erweiterung honeypotForm. Hat damit jemand Erfahrung? Würde das funktionieren?

Wenn ich dies in einem Kontaktformular teste, bekomme ich ein unsichtbares Feld hinzugefügt

HTML-Code:

<input id="ctrl_28" class="honeypotform" type="text" value="" name="email_hp_name">

Mit einer CSS Anweisung im head

HTML-Code:

.honeypotform{
display: none;
}

Mehr finde ich aber nicht. Wie checkt er denn jetzt, ob das Feld ausgefüllt ist oder nicht?
Warum frage ich? Weil ich die Funktion gerne händisch im Template nl_default einbauen möchte.

Konkret geht es um diese Seite: http://www.siegen-shamrock.de

Kann jemand helfen?
Vielen Dank schonmal.

**do_while** · 26.06.2012, 18:43

Hallo ray,

ich setze die Erweiterung gern ein, denn dann kann ich die Sicherheitsfrage weglassen, die viele Kunden nicht in ihren Formularen haben wollen. Bisher ist mir nicht aufgefallen, dass Mails von Spambots durchkommen. Natürlich ist das kein Schutz vor manuellen Spameinträgen, da hilft aber die Sicherheitsfrage auch nicht.

Wie das ganze funktioniert, kann ich Dir auch nicht sagen, dazu müßte man den Quellcode mal ein wenig studieren.

**BugBuster** · 26.06.2012, 19:45

Das Teil generiert ein Input Feld und macht es unsichtbar.
Dann hat er sich in den Hook validateFormField eingeklinkt (config.php) und überprüft sein eigenes Feld (honeypotForm) darauf ob es ausgefüllt ist. (honeypotForm.php - checkSecureForm)

So simple wie genial.

**ray** · 27.06.2012, 09:15

Ok cool, danke soweit. Ich mag den Gedanken, das Captcha umgehen zu können und trotzdem Spamfrei zu bleiben. Allerdings tue ich mich schwer damit einen Anfang zu finden.

Das ist meine nl_default.xhtml:

HTML-Code:

<!-- indexer::stop -->
<div class="<?php echo $this->class; ?> block"<?php echo $this->cssID; ?><?php if ($this->style): ?> style="<?php echo $this->style; ?>"<?php endif; ?>>
<?php if ($this->headline): ?>

<<?php echo $this->hl; ?>><?php echo $this->headline; ?></<?php echo $this->hl; ?>>
<?php endif; ?>

<p class="nl_text">
  Wir halten Dich stets auf dem Laufenden. Hierfür benötigen wir nur Deine E-Mail-Adresse:
</p>
  
<form action="<?php echo $this->action; ?>" id="<?php echo $this->formId; ?>" method="post">
<div class="formbody">
<?php if ($this->message): ?>
<p class="<?php echo $this->mclass; ?>"><?php echo $this->message; ?></p>
<?php endif; ?>
<input type="hidden" name="FORM_SUBMIT" value="<?php echo $this->formId; ?>" />
<input type="hidden" name="REQUEST_TOKEN" value="{{request_token}}" />
<?php if (!$this->showChannels): ?>
<?php foreach ($this->channels as $id=>$title): ?>
<input type="hidden" name="channels[]" value="<?php echo $id; ?>" />
<?php endforeach; ?>
<?php endif; ?>
<label for="ctrl_email_<?php echo $this->id; ?>" class="invisible"><?php echo $this->emailLabel; ?></label>
<input type="text" name="email" id="ctrl_email_<?php echo $this->id; ?>" class="text" value="<?php echo $this->email; ?>" />
<?php if ($this->showChannels): ?>
<label for="ctrl_channels_<?php echo $this->id; ?>" class="invisible"><?php echo $this->channelsLabel; ?></label>
<div id="ctrl_channels_<?php echo $this->id; ?>" class="checkbox_container">
<?php foreach ($this->channels as $id=>$title): ?>
<span><input type="checkbox" name="channels[]" id="opt_<?php echo $this->id; ?>_<?php echo $id; ?>" value="<?php echo $id; ?>" class="checkbox" /> <label for="opt_<?php echo $this->id; ?>_<?php echo $id; ?>"><?php echo $title; ?></label></span>
<?php endforeach; ?>
</div>
<?php endif; ?>
<input type="image" name="submit" class="submit" value="<?php echo $this->submit; ?>" src="tl_files/layout/shamrock2.png" title="Newsletter abonnieren" />
</div>

<p class="nl_text">
  Du kannst den Newsletter jederzeit über den Link in der Mail oder <a href="{{link_url::16}}">hier abbestellen</a>.
</p>

</form>
<?php if ($this->hasError): ?>

<script type="text/javascript">
/* <![CDATA[ */
try {
  window.scrollTo(null, ($('<?php echo $this->formId; ?>').getElement('p.error').getPosition().y - 20));
} catch(e) {}
/* ]]> */
</script>
<?php endif; ?>

</div>
<!-- indexer::continue -->

Das ist die honeypotform.tpl:

HTML-Code:

<?php if (!$this->tableless): ?>
  <tr class="<?php echo $this->rowClass; ?>">
    <td class="col_0 col_first"><?php echo $this->generateLabel(); ?><?php if ($this->mandatory): ?><span class="mandatory">*</span><?php endif; ?></td>
    <td class="col_1 col_last"><?php echo $this->generateWithError(); ?></td>
  </tr>
<?php else: ?>
  <?php echo $this->generateLabel(); ?> 
  <?php echo $this->generateWithError(); ?>
<?php endif; ?>

Die honeypotform.tpl einfach in die nl_default zu integrieren macht ja keinen Sinn. Wie gehe ich also vor, wenn ich ein Modul in ein Template integrieren möchte? Ich verstehe nicht ganz wie ein Modul überhaupt aufgerufen oder initialisiert wird. Muss dazu in diesem Fall die honeypotForm.php eingebunden werden?

**BugBuster** · 27.06.2012, 10:34

Hmm, du bräuchtest nur diese Zeile mit in deinem Formular einbauen

PHP-Code:


<input id="ctrl_28" class="honeypotform" type="text" value="" name="email_hp_name">

und mittels css verstecken

Code:

.honeypotform{
display: none;
}

In der Input Zeile darfst du alles anpassen nur die class muss so lauten, nach der sucht das Modul per Hook sein Feld um es zu überprüfen.
(und das css natürlich auch)

Am besten nach der Request Token Zeile. Die "id=" Angabe würde ich rausnehmen, die wird ja normalerweise automatisch generiert, nicht das es da zu Dopplungen kommt.
Also in etwa so: (für xhtml angepasst)

PHP-Code:


<input type="hidden" name="REQUEST_TOKEN" value="{{request_token}}" />

<input class="honeypotform" type="text" value="" name="email_hp_name" />

oder ganz perfekt, doch mit id wie die anderen Felder auch:

PHP-Code:


<input type="hidden" name="REQUEST_TOKEN" value="{{request_token}}" />

<input id="email_hp_name_<?php echo $this->id; ?>" class="honeypotform" type="text" value="" name="email_hp_name" />

**ray** · 28.06.2012, 09:42

Ok, jetzt hab ich's auch mit dem Hook gecheckt. Ich danke dir, BugBuster! ♥

Warum wird dieses Verfahren eigentlich nicht in Contao als alternative Barriere angeboten? Gibt es Nachteile vom Honeypot?

**Anguel** · 14.08.2012, 08:47

Hey Leute,

funktioniert honeypotForm mit Contao 2.11.x?

Grüße
Anguel

**Anguel** · 14.08.2012, 10:00

Funktioniert nicht. Template ist noch .tpl
.xhtml und html5 fehlen

**BugBuster** · 14.08.2012, 10:04

na dann legt 2 kopien an, macht eine Systemwartung und probiert es nochmal.

**Anguel** · 14.08.2012, 10:13

Zitat von BugBuster

na dann legt 2 kopien an, macht eine Systemwartung und probiert es nochmal.

Hab ich grade gemacht, scheint zu funktionieren :-)
Werde mal den Ersteller um ein Update bitten.

**eBlick** · 18.02.2013, 19:54

Zitat von BugBuster

na dann legt 2 kopien an, macht eine Systemwartung und probiert es nochmal.

Hallo Bugbuster.
Ich würde gerne dieses Thema nochmals aufgreifen, weil mir der Honeypot Gedanke grundsätzlich gefällt.
Ich würde Honeypot gerne in Contao 3 einsetzen aber in Kombination mit EFG funktioniert es nicht (script läuft nicht durch).
Kannst du das mit den 2 Kopien kurz erläutern und weißt du, ob es für Contao 3 auch geht?

Danke und Grüße
Thomas

**BugBuster** · 18.02.2013, 20:16

Du nimmst die Datei honeypotform.tpl und legst zwei Kopien an, als honeypotform.xhtml und honeypotform.html5

Für Contao 3:
- autoload generieren für honeypotForm (Backend unten links)
Sollte reichen.
Falls die css nicht geladen wird, hab jetzt nicht geschaut wie er die einbindet, dann
- im Verzeichnis system/modules/honeypotForm eine Datei anlegen .htaccess mit Inhalt
order deny,allow
allow from all

**comanche** · 04.03.2013, 10:08

Zitat von BugBuster

Für Contao 3:
- autoload generieren für honeypotForm (Backend unten links)
Sollte reichen.

Hm, bei mir zeigt es beim Speichern einen Scriptfehler an, sobald ich ein Honeypot Element im Formular anlege. Also doch die xhtml- und html5-Templates anlegen oder ist das unabhängig davon?

Grüße,
Andreas

**BugBuster** · 04.03.2013, 10:13

Die xhtml und html5 Templates brauchst du ab Contao 2.10 glaube ich, also auch für Contao 3.

**Mark Knochen** · 23.07.2013, 13:48

Gibt es auch schon eine Lösung für die Contao 3 Version?

mark

**maxschaf** · 05.11.2013, 12:06

Zitat von BugBuster

Hmm, du bräuchtest nur diese Zeile mit in deinem Formular einbauen

PHP-Code:


<input id="ctrl_28" class="honeypotform" type="text" value="" name="email_hp_name">

und mittels css verstecken

Code:

.honeypotform{
display: none;
}

In der Input Zeile darfst du alles anpassen nur die class muss so lauten, nach der sucht das Modul per Hook sein Feld um es zu überprüfen.
(und das css natürlich auch)

Hallo, contao 2.11, es funktioniert auf normalen Formularen.

ich habe nun auch das nl_default.html5 angepasst und die Zeile mit class="honeypotform" ist da, nur wird das checkSecureForm(...) in honeypotForm.php nicht aufgerufen. wie kann ich honeypot für das Newsletter Abonnieren Modul den registrieren?

anscheinend wir der hook $GLOBALS['TL_HOOKS']['validateFormField'][] = array('honeypotForm', 'checkSecureForm'); nicht getriggert. Eine Idee wie man das macht?

LG

**Nikolas** · 12.12.2013, 09:19

Zitat von maxschaf

Hallo, contao 2.11, es funktioniert auf normalen Formularen.

ich habe nun auch das nl_default.html5 angepasst und die Zeile mit class="honeypotform" ist da, nur wird das checkSecureForm(...) in honeypotForm.php nicht aufgerufen. wie kann ich honeypot für das Newsletter Abonnieren Modul den registrieren?

anscheinend wir der hook $GLOBALS['TL_HOOKS']['validateFormField'][] = array('honeypotForm', 'checkSecureForm'); nicht getriggert. Eine Idee wie man das macht?

LG

Hat hier schon jemand eine Lösung? Der Hook wird tatsächlich wohl nicht getriggert. Hat jemand einen Workaround (C3)?

Gruß
Nikolas

**BugBuster** · 12.12.2013, 11:58

also als erstes würde ich nach Installieren der Erweiterung übers Backend die autoload.php generieren lassen für diese Erweiterung.
Vorher geht die sowie so nicht, denn es wird die Klasse nicht gefunden. Wenn man die Fehlermeldungen einschaltet inkl. log Datei, sollte auch eine entsprechende Meldung kommen.
Und wie weiter oben schon beschrieben, ihr müsst das tpl Template in ein xhtml bzw. html5 Template wandeln.

Und dann sollte das schon laufen.

**Nikolas** · 12.12.2013, 12:12

Zitat von BugBuster

also als erstes würde ich nach Installieren der Erweiterung übers Backend die autoload.php generieren lassen für diese Erweiterung.
Vorher geht die sowie so nicht, denn es wird die Klasse nicht gefunden. Wenn man die Fehlermeldungen einschaltet inkl. log Datei, sollte auch eine entsprechende Meldung kommen.
Und wie weiter oben schon beschrieben, ihr müsst das tpl Template in ein xhtml bzw. html5 Template wandeln.

Und dann sollte das schon laufen.

Naja, alles schon so gemacht. Funktionierte auch bei normalen Formularen aus dem Formulargenerator.

Allerdings wurde die Prüfung nicht bei der Newsletteranmeldung ausgeführt.
Ich habe die Prüfung für den Newsletter nun in eine Mini-Erweiterung ausgelagert - der Kunde konnte nicht warten

Gruß
Nikolas