GB-Script VS. Spambots - variable input-namen?

[shragon]

Servus miteinander :)

Ich hab mir grad ne Loesung fuer mein Spambot-Problem ueberlegt (ohne Blacklist, die verbraucht zu viel Ressourcen), und mich wuerd eure Meinung dazu interessieren...

Soweit mir bekannt ist arbeiten Spambots ja damit, Gaestebuch-Seiten nach den Feldnamen zu parsen, diese in eine Datenbank einzutragen und dann einfach nur noch die action des Formulars auszufuehren, mit ihren eigenen Werten.

Also muesste es doch möglich sein, Spambots mit variablen Feldnamen auszutricksen:

Nehmen wir an ich habe ein Textfeld:

Code:

<input type="text" name="email">

Wenn ich jetzt den name durch einen Timestamp-abhaenigen md5-Tag ersetze...

Code:

<input type="text" name="<? echo md5("email".time()."ichbineinzufaelligerstring"); ?>">

und den timestamp per input type="invisible" mitschicke...

...kann ich den Feldinhalt ja per

Code:

$time = $_GET["TIME"];
$email = $_GET[md5("email".$time."ichbineinzufaelligerstring")];

wieder auslesen koennen.



Was haltet ihr von dem Ansatz? Ist das potentiell wirksam? Gibt es dadurch neue Sicherheitsluecken? Oder ist das ganze System schwachfug, weil ich den Timestamp mitschicke(n muss)?


Bis denn,
Shragon

[z0iD]

das klingt prinzipiell ganz gut.

man könnte das noch so verbessern, dass Du mehrere invisble felder mitlieferst, aus denen NUR DU den richtigen key berechnen kannst. das problem ist nur, dass man jede kombination eigentlich nur einmal verwenden kann, da die bots ja wüten können wenn sie eine funktionierende konfiguration spitz gekriegt haben. - unterschätze niemals die dunkle seite - lol

daher würd ich sagen, dass Du den key den Du jetzt im invisible mitschickst einfach in Deine sqldb steckst und alte schlüssel regelmäßig (natürlich codeseitig) wieder löscht um ein dumping zu verhindern. verwende keys werden dann immer invalidiert. da dürfte der bot dann eigentlich kaum noch ne chance haben schätze ich.

[shragon]

Naja, gerade MD5 hat ja als hash-Funktion die schoene Eigenschaft, dass selbst geringfuegige Veraenderungen einen komplett anderen key erzeugen...

wenn ich also den timestamp irgendwo mit einbaue, duerfte der key doch eigentlich nur dann berechenbar sein, wenn man meine source-files kennt, oder irre ich mich da?

[z0iD]

ja richtig, aber was der browser an Dich senden kann, das kann auch jeder bot. die müssen ja nur eine funktionierende version herausfinden.
es sei denn Du nimmst xyz stunden oder tage alte schlüssel nicht mehr an, dann müssen die das immer neu parsen ...

[shragon]

das heisst ich muesste zu jedem timestamp nen random-key in ne db stellen, und sobald der timestamp benutzt wurde wieder rausloeschen...

die wahrscheinlichkeit dass zwei leute den gleichen timestamp haben is hoffentlich klein genug....

[z0iD]

ja klein isse, aber klein genug? ich würd da noch ne 3 stellige randomzahl hinterpacken, die 3 byte kann man verkraften ... aber vergiss nicht mit dem code immer veraltete einträge rauszuschmeißen, sonnst dumpst Du deine db. außerdem ist das dann unsicher, weil ein böser mensch oder bot "ein paar mal" einen key anfordern könnteum Dich zu ärgern wenn er das system herausbekommen hat. ja solche leute gibts

[shragon]

vom Prinzip her dachte ich das so:

PHP-Code:

    while ($bCapper == false)
    {
        mt_srand(crc32(microtime()));
        $iNowstamptime = microtime();
        $sPass = "";
        for ($i=0; $i<100; $i++)
            $sPass .= chr(mt_rand(35, 126));
        $bCapper = true;
        $do = "";
        $do = mysql_query("INSERT INTO `timestamps` (`timestamp`,`password`) VALUES ('".$iNowstamptime."','".$sPass."') LIMIT 1;")
            or $bCapper = false;
    } 


und dann in dem moment in dem ich u.a. die mail ueberpruefe und falls was ned passt ein neues form generiere loesch ich die daten wieder...

[z0iD]

schaut gut aus

[shragon]

Also gut, das Script steht und laeuft momentan zumindest bugfrei... Obs denn auch den Spam abhaelt, das werd ich in den naechsten Tagen herausfinden und posten...

[sebb]

Zitat:

Zitat von shragon

...kann ich den Feldinhalt ja per

Code:

$time = $_GET["TIME"];
$email = $_GET[md5("email".$time."ichbineinzufaelligerstring")];

wieder auslesen koennen.

also mit

PHP-Code:

$mail = $_POST[md5("mail".$time."$a")]; 


funzt es bei mir nicht, da wird garnichts ausgegeben ......
woran kann das liegen ????
ach ja, noch ne frage: input type="invisible"
meinst du damit type="hidden" ????