[SpamBot]

[syncgw]

Hei,

bitte hier Fragen, Anregungen und Kritik zu der Contao 3 Erweiterung posten.
Hier findet ihr das Contao 4 Bundle.

[Big_Berny]

Sieht sehr interessant aus.

Wir sind eigentlich auf der Suche nach einer ähnlichen Lösung für die Formularfunktion, die Anfragen von Spambots ins Nirvana schickt. Eventuell könnte aber auch deine Erweiterung das Problem lösen. Finde es nur etwas heikel, wenn man versehentlich gute Besucher ganz ausschliesst...

Bei uns ist das Problem eben, dass wir auf jeder Unterseite ein Formular im Footer haben. Von daher funktioniert auch das Einbinden als Artikelelement auf einzelnen Seiten nichts.

Aber sieht gut aus! Vielen Dank!

[syncgw]

Wir sind eigentlich auf der Suche nach einer ähnlichen Lösung für die Formularfunktion, die Anfragen von Spambots ins Nirvana schickt. Eventuell könnte aber auch deine Erweiterung das Problem lösen. Finde es nur etwas heikel, wenn man versehentlich gute Besucher ganz ausschliesst...

Die neuste Version prüft auch in beliebigen Formularen E-Mail Adressen

[syncgw]

Nächste Schritte:

1. Laden der "Suchmaschinen" über eine .ini Datei. So kann jeder seine bevorzugten Provider selbst einbauen (und vielleicht hier posten)
2. Speed-Test. Die Anzahl der Provider wird langsam sehr viel (20 weitere in Vorbereitung). Da soll es einen Speed-Test geben, der die Geschwindigkeit der verschiedenen Provider abprüft (um die Auswahl zu erleichtern)

Weitere Ideen?

[Big_Berny]

So, ich bin endlich mal dazugekommen, die Extension zu testen. Allerdings scheitere ich

Sowohl die Seite /contao/main.php?do=SpamBot&act=create lässt sich nicht öffnen, noch kann ich ein neues Seitenmodul (in Contao) anlegen. Es erscheint eine leere Seite.

Wenn ich die Modul-Seite öffne (/contao/main.php?do=themes&table=tl_module&id=2), erscheint zudem folgende Fehlermeldung:

Code:

Warning: Cannot modify header information - headers already sent by (output started at /var/www/vhosts/beispiel.ch/httpdocs/system/modules/SpamBot/languages/de/tl_module.php:1) in …/system/libraries/Template.php on line 267
#0 [internal function]: __error(2, 'Cannot modify h...', '/var/www/vhosts...', 267, Array)
#1 …/system/libraries/Template.php(267): header('Vary: User-Agen...', false)
#2 …/system/modules/backend/BackendTemplate.php(161): Template->output()
#3 …/contao/main.php(221): BackendTemplate->output()
#4 …/contao/main.php(123): Main->output()
#5 …/contao/main.php(230): Main->run()
#6 {main}

Warning: Cannot modify header information - headers already sent by (output started at /var/www/vhosts/beispiel.ch/httpdocs/system/modules/SpamBot/languages/de/tl_module.php:1) in …/system/libraries/Template.php on line 268
#0 [internal function]: __error(2, 'Cannot modify h...', '/var/www/vhosts...', 268, Array)
#1 …/system/libraries/Template.php(268): header('Content-Type: t...')
#2 …/system/modules/backend/BackendTemplate.php(161): Template->output()
#3 …/contao/main.php(221): BackendTemplate->output()
#4 …/contao/main.php(123): Main->output()
#5 …/contao/main.php(230): Main->run()
#6 {main}

Eine Ahnung, woran das liegen könnte? Verwende die aktuellste Version und Contao 2.11.9.

Danke für deine Arbeit!

[BugBuster]

"Cannot modify header information" sind eigentlich schon Folgefehler Meldungen.
Weitere Meldungen sind nicht zu sehen?

[Big_Berny]

Ne, sind nur diese beiden Meldungen. Aber mit der englischen Sprache klappts super.

Habe aber noch nicht herausgefunden, wie der Mail-Filter funktioniert. Kannst du hier einen Tipp geben? Hab das Modul bereits am Anfang der Seite eingebunden, aber das Formular lässt sich ganz normal nutzen - auch mit E-Mails, die in den Datenbanken erscheinen. Auch wird im Backend unter SpamBot nichts angezeigt.

Lieben Dank!

[syncgw]

@Big_Berny
ich bastle gerade an ein neuen Version. Das mit der Sprache prüfe ich nochmal... Danke für den Hinweis!

Welche Prüfungen hast du denn bei dem Mail-Modul erlaubt? Bitte mindestens Intern erlauben.

In meiner Anmeldeseite http://syncgw.com/index.php/user-registration-de.html sieht es wie folgt aus:

### SPAMBOT IP-PROTECTION ###
(das hindert schon mal eine Menge böse Buben die Seite aufzurufen)
### SPAMBOT MAIL-PROTECTION ###
und dann a bissel Text und dann
### USER REGISTRATION ###

ist das bei dir anders?

[Big_Berny]

Also bei mir geht's um die Seite www.icoaching.ch, wo auf jeder Seite ein Kontaktformular im Footer ist. Ich habe alle Mail-Check-Dienste aktiviert.

Vielleicht bringe ich etwas durcheinander, darum gehe ich mal die verschiedenen Punkte und Fragen durch:
1. Was mir jetzt aufgefallen ist: Im Contao-Backend unter Spambot, werden bereits viele E-Mailadressen gelistet. Sind dies alles Adressen, die ein Bot bereits einzugeben versuchte? Das seltsame ist eben, dass wenn ich eine dieser geblockten E-Mailadressen (z.B. u.estr.ade5@gmail.com ) selbst ins Kontaktformular nutze, werde ich nicht geblockt.
2. In der Spalte "Created" wird immer das Datum "13.02.2020 00:00" angezeigt.
3. Noch ein Feature-Request: Mir ist aufgefallen, dass der Bot hintereinander x verschiedene Mailadressen ausprobiert hat. Gäbe es hier eine Möglichkeit, das zu verhindern? Seltsamerweise steht unter IP address jeweils eine andere Nummer.

Wie gesagt kann es sein, dass ich etwas grundsätzliches nicht verstanden habe. Meiner Meinung nach funktionierts so:
1. Modul auf allen Seiten mit Formularen einbinden
2. Wenn jemand das Kontaktformular ausfüllt und abschickt, wird die E-Mailadresse mittels den verschiedenen Diensten analysiert.
3. Ist die Mail verdächtig, wird man auf die festgelegte Seite weitergeleitet und das Formular wird nicht abgeschickt/verarbeitet.

Vielen Dank für deine Hilfe

[syncgw]

Hei,

Wir kommen der Sache näher. Wenn du ein Kontaktformular verwendest, dann ist die Sache ein wenig anders als ich es dachte.

1. Was mir jetzt aufgefallen ist: Im Contao-Backend unter Spambot, werden bereits viele E-Mailadressen gelistet.

ja, das ist so wenn du spam-ip.com als Anbieter ausgewählt hast: Die Firma bietet keine Online-Möglichkeit, um E-Mail Adressen ab zu prüfen, hat aber eine ganz tolle Liste, die regelmäßig aktualisiert wird Deshalb werden die E-Mail-Adressen von dort herunter geladen und lokal abgespeichert. An der Stelle bin auch gerade noch an einer Optimierung am basteln, deshalb ignoriere das komische Datum. Zukünftig werden solche Datensätze auch gesondert gekennzeichnet...

3. Noch ein Feature-Request: Mir ist aufgefallen, dass der Bot hintereinander x verschiedene Mailadressen ausprobiert hat. Gäbe es hier eine Möglichkeit, das zu verhindern? Seltsamerweise steht unter IP address jeweils eine andere Nummer.

Da bietet sich nur an, auch noch zusätzlich vor der E-Mail-Prüfung die IP-Adresse überprüfen zu lassen (kannst du irgendwo in die Seite als Modul einbauen). Eine andere Lösung fällt mir dazu nicht ein.

1. Modul auf allen Seiten mit Formularen einbinden

Das Feld muss natürlich als "Eingabeprüfung: E-Mail Adresse" gekennzeichnet sein. Wenn's dann nicht funktioniert, dann müsstest du mir mal dein Formular zur Verfügung stellen - oder verwendest du irgend ein Formularplugin?

3. Ist die Mail verdächtig, wird man auf die festgelegte Seite weitergeleitet und das Formular wird nicht abgeschickt/verarbeitet.

Ja, oder alternativ einfach eine Fehlermeldung. Das kannst du gerne auf http://syncgw.com/index.php/contact-de.html ausprobieren

[Big_Berny]

Danke für all die Infos!

Könnte das Problem daran liegen, dass efg für das Formular verwende? Werde es mal ausprobieren.

[syncgw]

Jo, efg habe ich nicht getestet. Mal schauen, ob ich heute dazu komme.

[Big_Berny]

Hab mal "efg" und "formcheck" deaktiviert, aber leider ohne Erfolg.

[syncgw]

Das Schwierige liegt in dem Feld-Typ. Ohne zu wissen was geprüft wird, kann sich das Okugin da auch nicht rein hängen. Also muss ich die Plugins mal installieren....

[Big_Berny]

Ich habe mal alle Erweiterung deaktiviert und keine Änderung feststellen können. Die Validierung der E-Mailadresse ist eigentlich aktiv...

Willst du unser Login, damit du's dir mal anschauen kannst?

Liebe Grüsse

[syncgw]

Also... hab mal efg ausprobiert. Funktioniert einwandfrei. Wichtig ist nur, dass du das Spambot-Mail-Check-Modul mit auf der Seite einbindest. Schick mal einfach deine Login per PN - das würd die Sache einfacher machen.

[syncgw]

Hei,

hab es jetzt mal online ausprobiert - da gab es noch ein Fehler, wenn das Modul im Seitenlayout eingebunden wird. Habe eine neue Version bei dir installiert und alles scheint jetzt zu funktionieren

[Big_Berny]

Super, vielen Dank! Scheint zu funktionieren. Bin gespannt, wie sich das Plug-In schlägt.

Was mir aber aufgefallen ist: Wenn ich eine verdächtige E-Mail eingebe im Formular, werde ich nicht auf die von mir festgelegte Seite umgeleitet sondern die Meldung "Diese E-Mail Adresse ist bekannt für die Verwendung in Spam Attacken und kann nicht akzeptiert werden!" wird beim E-Mail-Feld angezeigt. Finde ich zwar auch gut, aber dann könnte man die Einstellung entfernen.

Liebe Grüsse
Janis

[Big_Berny]

Hallo
Ich habe mittlerweile mal die ersten Erfahrungen sammeln können und tatsächlich blockt die Erweiterung doch einige Kommentare aus. Vielen Dank!

Alle Spam-Anfragen werden aber leider nicht geblockt, weshalb ich eine weitere Idee habe:
Man kann in Formularen ja versteckte Felder mit einer Eingabeprüfung anlegen. Wäre es möglich, dass SpamBot eine eigene Eingabeprüfung für IP-Nummern hinzufügt? (siehe hier)
Dann könnte man nämlich ein verstecktes Feld "IP" mit dem Inhalt "{{env::ip}}" anlegen und darauf eine Eingabe-Prüfung "SpamBot IP-Prüfung" durchführen. So werden Formulare von PCs mit verdächtigen IPs einfach nicht abgeschickt.

Ich habe es gerade selbst geprüft und beim besagten IP-Feld die Eingabe-Prüfung "E-Mail-Adresse" angewendet. Diese schlägt natürlich immer fehl, da die IP-Adresse keine E-Mail ist, und das Formular konnte tatsächlich nicht abgeschickt werden: http://www.icoaching.ch/formtest.html

Was meinst du?

Ich finde einfach das komplette Ausschliessen von IP-Adressen zu gefährlich und bevorzuge deshalb das Sperren der Formularfunktion. Und wie du ja gesehen hast, können wir die Blockierung auch nicht selektiv anwenden, da wir ja auf jeder Seite ein Formular haben.

Liebe Grüsse

[syncgw]

Hallo,

danke für deine Anregung.

Das Thema mit dem verstecktem Eingabefeld ist schon seit vielen Jahren bekannt. Ich habe mich im Vorfeld damit beschäftigt. Den Diskussionen im Internet kann man letztendlich entnehmen, dass das für aktuelle SpamBot überhaupt kein Problem mehr darstellt. Deshalb habe ich darauf verzichtet. Ich will kein Plugin anbieten, dass nicht seriös ist...

Den Ausschluss von IP-Adressen ist nach diesen Diskussionen das Mittel der Wahl - es werden ja immer nur spezielle IP-Adressen ausgeschlossen und das auch nur nach aktueller Prüfung - deshalb die Online-Abfragen. Denk mal nur an dein E-Mail Programm. Bei allen Providern ist das heute ein ganz normaler Bestandteil der Spamprüfung. Das halte ich nicht für so gefährlich, sondern Standard. Es bleibt ja dir überlassen, welchen Dienst du auswählst, um die Prüfung durchzuführen.

Was du selbst noch machne kannst, ist z.B. bei der IP-Prüfung auf eine Seite weiter zu leiten, die dann einfach eine Meldung ausgibt, die den Benutzer bittet, nochmals auf "Weiter" zu klicken, um dann auf das echte Kontaktformular weiter zu leiten. Das ist zusätzliche Logik, die zumindest ein automatischer SpamBot nicht erfassen und lösen kann. Du musst ja nicht den Benutzer abweisen...

[Big_Berny]

Alles klar. Vielen Dank für deine Hilfe!

[Big_Berny]

Mit dem IP-Check scheint es jetzt zu funktionieren. Heute ist zumindest nichts gekommen.

Interessant wäre noch, welche Dienste zu empfehlen sind. Ist ja mittlerweile eine ziemlich lange Liste. Mit Spamhaus PBL habe ich beispielsweise schlechte Erfahrungen gemacht, da ich mich selbst und andere geblockt habe.

Der Dienst http://www.botscout.com/ sieht übrigens auch noch interessant aus. Funktioniert mit E-Mail und IP.

Liebe Grüsse und danke fürs Entwickeln!

[syncgw]

Hei,
ich hatte zwar gesucht, aber für E-mail Prüfung eher wenig gefunden. Insofern freut mich dein Tipp besonders!

Welche Dienste.... ja, das ist eine wirklich gute Frage! Ich glaube, dass muss die Zeit bringen und hoffentlich den einen oder anderen Benutzer, der hier im Forum seine Erfahrungen teilt. Eines ist relativ sicher - wenn du zu viele Dienste einschaltest, dann wird trotz paralleler Abfrage die Wartezeit für den Benutzer schlechter. Ich war schon am Überlegen, ein Statistik Modul mit einzubauen, dass täglich schaut, wie lange die einzelnen Dienste gebraucht haben. Anhand dessen könnte man entscheiden, ob der Anbieter die Abfrage insgesamt behindert. Aber ob das eine Lösung ist, bin ich mir unsicher.

. Mit Spamhaus PBL habe ich beispielsweise schlechte Erfahrungen gemacht, da ich mich selbst und andere geblockt habe.

Aber sicher nicht mit meinem Modul. Das meldet keine bösen SpamBots, sondern fragt nur ab. Da muss ein anderes Progi deine IP gemeldet haben (wahrscheinlich der E-Mail Server).

[Big_Berny]

Bezüglich PBL habe ich übrigens diese Passage bei den FAQs von Spamhaus gefunden:

Help! My IP address is on the PBL! What should I do?
Nothing, in most cases. Read through this FAQ for further explanations.

The first thing to know is: THE PBL IS NOT A BLACKLIST. You are not listed for spamming or for anything you have done. The PBL is simply a list of all of the world's dynamic IP space, i.e: IP ranges normally assigned to ISP broadband customers (DSL, DHCP, PPP, cable, dialup). It is perfectly normal for dynamic IP addresses to be listed on the PBL. In fact all dynamic IP addresses in the world should be on the PBL. Even static IPs which do not send mail should be listed in the PBL.

Quelle: http://www.spamhaus.org/faq/section/Spamhaus%20PBL#183

PBL würde ich also eher nicht nutzen - zumindest nicht standardmässig, wenn man Spamhaus aktiviert.

[Big_Berny]

Vielen Dank für das Hinzufügen des Diensts. Er scheint leider nicht ganz schnell zu sein, aber erkennt doch einiges.

Zwei Kleinigkeiten vielleicht noch:
-Wenn man die Ergebnisse einen IP-Scans anschaut und auf Botscout klickt, kommt man nur auf die Botscout-Übersichtsseite und nicht auf: http://www.botscout.com/search.htm?s...19.193&stype=q wie das bei den anderen Diensten der Fall ist.
-Beim Schwellenwert von Botscout stand bei mir standardmässig 0. In der Beschreibung sagst du aber, das 5 Standard wäre.

Liebe Grüsse und nochmals vielen Dank für deine Arbeit. Die Erweiterung scheint tatsächlich zu funktionieren.

Vielleicht noch etwas für die langfristige Wishlist:
-Ich fände es noch gut, wenn man einen Länder-Check der IP machen könnte und z.B. in unserem Fall alle Schweizer IPs als Ham einstuft. Grundsätzlich könnte man das auch mit der normalen Whitelist bewerkstelligen, wenn man mehrere IP-Ranges eingeben könnte nach dem Schema "192.168.0.1-192.168.0.10;170.190.0.0-170.190.0.255;...". Eleganter wäre aber die Nutzung eines Dienstes wie http://ipinfodb.com/ip_location_api.php und dass man Länder anklicken kann. Zum Beispiel könnte man dann angeben dass IPs aus China und Russland immer Spam sind und aus der Schweiz und Deutschland immer Ham.

[syncgw]

-Wenn man die Ergebnisse einen IP-Scans anschaut und auf Botscout klickt, kommt man nur auf die Botscout-Übersichtsseite und nicht auf: http://www.botscout.com/search.htm?s...19.193&stype=q wie das bei den anderen Diensten der Fall ist.

Habe ich geändert - wird in der nächsten Version ausgeliefert.

Die Erweiterung scheint tatsächlich zu funktionieren.

Na sieh an - das freut mich zu hören!

Eleganter wäre aber die Nutzung eines Dienstes wie http://ipinfodb.com/ip_location_api.php und dass man Länder anklicken kann

Wenn du so etwas haben willst, so kannst du das bereits heute durch ein eigenes Modul implementieren. Einfach als zusätzlichen Dienst kodieren und dann liefert das Modul halt wie alle anderen Module "Ham" oder "Spam" oder "Unknown" zurück. Es ist nicht nett wenn du ganze Länder ausschließend willst, aber ziemlich einfach zu implementieren

[Big_Berny]

Alles klar. Ich warte jetzt mal an, wie sich die jetzigen Dienste schlagen und werde mich dann gegebenenfalls mal dransetzen. Geht mir weniger darum Länder auszuschliessen, als bestimmte Länder automatisch als Ham zu kennzeichnen. Ich hab einfach immer noch ein bisschen Schiss vor False Positives...

Aktuell experimentiere ich mit folgenden Diensten:
StopForumSpam
Honeypot
Spam-IP.com
BotScout

Bisherige Erkenntnis: BotScout ist etwas langsam und von Spam-IP kommt nur sehr wenig. Liegt bei letzterem vielleicht ein Bug vor? Für die IP "192.162.19.193" beispielsweise wird das Spam-IP-Ergebnis nicht als Spam gewertet, obwohl eine Suche auf spam-ip.com bei dieser IP viele Ergebnisse liefert. Ebenfalls seltsam: In der Erweiterung wird auf http://spam-ip.com/find.php&id=192.162.19.193 verlinkt, was ein anderes Ergebnis zeigt als die manuelle Suche auf der Webseite.

[syncgw]

Bisherige Erkenntnis: BotScout ist etwas langsam

Das macht sich wenn dann nur in der Summe bemerkbar - alle Abfragen laufen parallel *stolzsei*

und von Spam-IP kommt nur sehr wenig. Liegt bei letzterem vielleicht ein Bug vor?

Ja, scheint so. Danke für den Hinweis.Ich hatte das Herunterladen (nur bei spam-ip.com) limitiert auf das aktuelle Datum. Die von dir angefragte IP ist aber in der Datenbank vom 26.2.2013. Die komplette Liste zu Laden ist aber ziemlich Umfangreich (gerade eben sind es z.B. 701095 Datensätze).

Ich muss mal überlegen, was man da am Besten machen kann.

[Big_Berny]

Hallo
Wir haben jetzt dein Plug-In auf mehreren Seiten und bin im Grossen und ganzen sehr zufrieden. Allerdings haben wir von Zeit zu Zeit mit False Positives zu kämpfen, was natürlich ärgerlich ist, da wir so potenzielle Kunde ganz von unserer Seite aussperren.

Ich habe deshalb drei Vorschläge, wie man SpamBot verbessern könnte:
-Kommentare: Wäre super, wenn man bei Kommentaren ebenfalls E-Mail (und ggf. IP, siehe unten) prüfen könnte.
-Ländercheck: Du hattest Recht, dass der Ausschluss von bestimmten Ländern etwas hart ist. Aber eine Whitelist für Länder wäre wirklich super. Ich wäre froh, wenn wir z.B. nur unsere Schweizer IPs whitelisten könnten und würde das Risiko gerne in Kauf nehmen, dass von Zeit zu Zeit doch eine Spam-Nachricht durchschlüpft. Wir hatten einfach schon drei Fälle von geblockten Besuchern, die nicht geblockt hätten werden sollen. Und leider war es nicht einmal immer derselbe Dienst der die IP als Spam eingestuft hat. Wenn ich Zeit finde, probiere ich, das einzubauen.
-IP-Check für Formulare: Besser als Personen ganz aus der Seite auszuschliessen, fände ich, einfach die Formulare zu blocken. Ich hatte ja bereits einmal vorgeschlagen, das man die IP in einem versteckten Feld speichern könnte, worauf du gemeint hast, das könnte zu einfach umgangen werden. Ich habe mir nochmals Gedanken dazu gemacht und habe IMHO eine Lösung gefunden. Und zwar könnte man die IP mit Base64 (oder gleich eine echte Verschlüsselung?) enkodieren und in einem Feld wie SB (für SpamBot) ablegen. Ich denke nicht, dass das ein Bot erkennt und falls er das Feld doch editiert, kann man einfach prüfen, ob es entschlüsselt eine IP-Adresse ist vom Aufbau her. Stelle mir das von der Idee her so vor:

Code:

IF IsIPaddress(Base64_decode($sb)) = False OR checkIP(Base64_decode($sb)) = Spam THEN sperren

Was meinst du? Dies werde ich wahrscheinlich nicht selbst programmieren können, aber ich habe durch Anpassung der Erweiterung 'formfield_ip' immerhin schon mal ein encodiertes SpamBotIP-Feld hinbekommen. Jetzt bräuchte es einfach noch eine Validierung dieses Felds.

Wie siehst du das?

Liebe Grüsse!

[syncgw]

Äh... ich bin ein bisken neben der Spur - war mit dem Umbau (und Aufnahme zusätzlicher Dienste) der Erweiterung beschäftigt...

-Kommentare: Wäre super, wenn man bei Kommentaren ebenfalls E-Mail (und ggf. IP, siehe unten) prüfen könnte.

Im Prinzip überhaupt kein Problem. Ich habe mich mit Kommentaren noch nicht beschäftigt. An welche Erweiterung hattest du da gedacht?

-Ländercheck:

Ich baue mal ein Provider-Plugin, wenn ich ein wenig Zeit übrig habe. Aber... ich habe die Erweiterung ja extra so gebaut, dass bei vielen ein Clipping-Level angegeben werden kann, wenn du den natürlich zu tief ansetzt, dann werden fast alle "ausgesperrt". Vielleicht wäre es klug, drüber nachdenken ad zu "tunen".

-IP-Check für Formulare:

Da habe ich den Faden verloren - wozu soll das gut sein? Es gibt doch bereits Insert-Tags die du in jedem Template verwenden kannst und damit z.B. jedes Eingabefeld auf readonly setzen kannst. Da musst du mir nochmal auf die Sprünge helfen...

[Big_Berny]

Hey!
Bin gerade unterwegs, aber führe es gerne schnell genauer aus.

Äh... ich bin ein bisken neben der Spur - war mit dem Umbau (und Aufnahme zusätzlicher Dienste) der Erweiterung beschäftigt...


Im Prinzip überhaupt kein Problem. Ich habe mich mit Kommentaren noch nicht beschäftigt. An welche Erweiterung hattest du da gedacht?

Aktuell funktioniert die Validierung der Email Adressen, die bei Kommentaren angegeben werden müssen noch nicht. Das heisst wie erhalten teilweise viel Spam, den man eigentlich mit der existierenden Mailadressenkontrolle erkannt würde. Wäre deshalb super, wenn die Kommentarfunktion wie ein normales Formular behandelt würde.

Ich baue mal ein Provider-Plugin, wenn ich ein wenig Zeit übrig habe. Aber... ich habe die Erweiterung ja extra so gebaut, dass bei vielen ein Clipping-Level angegeben werden kann, wenn du den natürlich zu tief ansetzt, dann werden fast alle "ausgesperrt". Vielleicht wäre es klug, drüber nachdenken ad zu "tunen".

Es ist ja nicht so, dass alle ausgesperrt werden. Ich weiss nur von drei Personen, dass sie ausgesperrt wurden. Ich werde mal versuchen das Clipping-Level anzupassen. Aber so einfach ist es aber wahrscheinlich nicht, da die Personen nicht alle vom gleichen Dienst geblockt wurden.

Da habe ich den Faden verloren - wozu soll das gut sein? Es gibt doch bereits Insert-Tags die du in jedem Template verwenden kannst und damit z.B. jedes Eingabefeld auf readonly setzen kannst. Da musst du mir nochmal auf die Sprünge helfen...

Sorry, wahr wohl etwas unklar. Das Problem bei uns sowie bei Kunden ist, dass wir auf vielen (z. T. allen) Seiten Formulare einsetzen. Das heisst wir müssten den IP-Filter überall einbauen. Ich habe jetzt einfach ein bisschen Mühe damit, wenn bei einem False-Positive Personen ganz aus der Seite ausgeschlossen werden. Deshalb fände ich es besser, wenn der IP-Check direkt bei der Nutzung eines Formulars (oder der Kommentarfunktion) angewendet würde und nicht beim Aufrufen der Seite, da so der Schaden deutlich geringer wäre. Im letzten Post hatte ich einfach beschrieben, wie man die IP bei Absenden eines Formulars übergeben könnte, falls dies nicht bereits geschieht.

Ist es jetzt etwas klarer?

Wie gesagt: Ich finde das Add-On super, funktioniert toll. Aber ich habe Mühe, es unseren Kunden zu installieren, da unter Umständen Leute fälschlicherweise komplett von der Seite geblockt werden und ihnen dadurch ein grosser Schaden entstehen kann.

Vielen Dank für deine Hilfe und Programmierarbeit übrigens! Ich hoffe, meine stetigen Feedback bringen dir was.

[syncgw]

Hattest du Glück, dass ich Gestern Zeit übrig hatte

1. Kommentare (und alle anderen in Contao verwendeten Formulare) - Ok
2. FreeGeoIP - Ok
3. Formular disable: Geht jetzt über Nutzung von insert-Tags und neuer Option im Modul-Dialog

Vel Spaß

[Big_Berny]

Hey!
Super, vielen Dank! Bis der Beste!

Bin gespannt, ob's funktioniert.

Noch kurz zu deinem Punkt 3, wie funktioniert das genau? Habe ich irgendwie nicht ganz verstanden.

Liebe Grüsse und nochmals danke für alles. Ist eine super Erweiterung geworden, die eigentlich auf keiner Installation fehlen dürfte.

[syncgw]

Danke für das Lob

3. Formular disable: Geht jetzt über Nutzung von insert-Tags und neuer Option im Modul-Dialog

Ich dachte da mal, dass du das SpamBot-IP Modul einbindest und bei der Konfiguration angibst, dass es nicht weiter leiten soll und dass es auch nicht alles auf der Seite löscht und eine Meldung ausgibt. Dann kannst du in dem Formular-Template mittels Insert-Tag prüfen, ob es der Status "Spam" / "BlackList" ist und dann eine Variable mit "display=readonly" setzen, die dann wiederum weiter unten im Template nutzt um die Eingabefelder im Formular zu "disablen". So oder ähnlich...

@All (mit der Bitte um Feedback)

Abgesehen davon stehen schon wieder Änderungen an dem Plugin an (hoffentlich das Letzte Mal - langsam ist es a bissel viel für Hacking@Freizeit):

1. Werde ich SpamBot-IP und SpamBot-Mail vereinheitlichen. Beide sollen wahlweise "Weiterleitung auf Fehlerseite / Löschen der Seite und Ausgabe eines Templates / Anzeige einer zusätzlichen Meldung" anbieten.
2. Verwendet das Plugin ein Cookie - was bei disabled-cookies ins Auge gehen könnte. Da gab eine Beschwerde von einem Kunden - muss ich mal prüfen, ob ich den Status der Prüfung nicht server-seitig abspeichere. Ich dachte allerdings immer, Contao selbst setzt zwingend Cookies voraus...
3. Nur einmalige automatische Prüfung der IP-Adresse während einer Session. Dann kann man das SpamBot-IP / Spambot-Mail auch gleich unproblematisch in das Seitenlayout packen.
4. Überlege ich noch, ob es nicht auch sinnig wäre das was ich oben geantwortet habe zu automatisieren und eine Option in der Konfiguration ein zu bauen, die da heißt "Mach mal eben alle Eingabefelder auf read-only". Das würde dann aber im Zweifelsfall alle von Contao generierten Eingabefelder betreffen (BE- oder FE,-Feld ist, ein Formular oder ein sonstiges Eingabefeld etc.) - ich musste mich für die Kommentargeschichte so tief in Contao rein hängen (mangels existierenden Hook), dass da keinerlei Unterscheidung mehr möglich ist, ich aber die TOTALE Kontrolle habe...

Ach ja, und dann wären noch sonstige Wünsche???

[Big_Berny]

Hey
Vielen Dank für die Infos. Das klingt tatsächlich sehr interessant!

Die 4 Punkte klingen ebenfalls spannend. Beim letzten ist vielleicht etwas problematisch, wenn man vom Backend ausgesperrt würde... Kann man nicht vielleicht nur Felder readonly setzen, die z. B. eine bestimmte Klasse besitzen?

Danke nochmals, super Sache!

Gesendet von meinem HTC One mit Tapatalk 2

[Big_Berny]

Hey syncgw
Ich habe gemerkt, dass der Mail-Adressen-Check in der 0.1.2 nicht mehr funktioniert. In 0.1.0 hat es mit der gleichen Konfiguration geklappt.

Betroffen sind zwei (von zwei) Webseiten, wobei der Mail-Check immer als Modul eingebunden wird.

Und zwar kann man jetzt auf beiden Webseiten mit jeder Mailadresse Kontaktanfragen versenden, auch mit für Spam bekannte (habe mal die bekannteste von StopForumSpam genommen). Da die Mailadressen (Ham & Spam) im Backend unter SpamBot-Schutz auch nicht mehr angezeigt werden, gehe ich davon aus, dass die Adressen gar nicht geprüft werden.

[syncgw]

Hei Benny,

1. Welche Anbieter hast du im Modul?
2. Ist das ein Formular? Als was für ein Feldtyp ist es denn definiert?

[Big_Berny]

1. Standardmässig: Intern, StopForumSpam und BotScout. Ich habe aber gerade verschiedene Kombinationen ausprobiert und es hat nichts gebracht.
2. Ist ein Formular, wobei die Felder als E-Mail definiert sind mit Eingabeprüfung.

Seltsam finde ich wie gesagt, dass es nach einem Downgrade auf 0.1.1 wieder funktioniert - bei identischer Konfiguration. Habs gerade nochmals getestet auf der zweiten Seite. Der Fehler scheint sich also in 0.1.2 eingeschlichen zu haben. Und wie gesagt werden neue Mail-Checks unter "SpamBot Schutz" im Backend gar nicht angezeigt bei 0.1.2. Mit 0.1.1 sieht man dagegen jeweils alle eingegebenen Adressen und ob sie als Spam/Ham eingestuft wurden. Nach dem Upgrade auf 0.1.2 sieht man natürlich die alten Checks immer noch, aber es kommen keine neuen hinzu.

[syncgw]

Danke für den Hinweis - da muss ich hurtig schauen was da los ist

[syncgw]

Hei Big_Berny,
es scheint so, als ob es an einer anderen Erweiterung liegt. Könntest du mir einen Gefallen tun und alle Module (.../system/modules Verzeichnis) nach der Zeichenkette

$GLOBALS['TL_FFL']

durchsuchen und mir das Ergebnis per PN (oder hier) zukommen lassen? Dann kann ich mir überlegen, wie ich das Problem so lösen kann, dass die andere Erweiterung noch läuft (ich kann sie natürlich auch abwürgen - aber dass wäre ja nicht nett)

Das wäre super nett!

P.S.
Ich hatte genau bei 0.1.2 einen anderen Ansatz versucht, um auch Kommentare sauber abzufangen. Das scheint nicht so gut zu funktionieren (bei mir tut es das aber).