TOPIC:

Spam trotz Captcha 2 years 4 months ago #240564

  • Topic Author
  • PugHB
  • Offline
  • Fresh Breezer
  • Fresh Breezer
  • Posts: 2
  • Thanks: 0
Hallo,
für ein Formular nutze ich BreezingForms Pro 1.8.7 (build 899).
Trotz Captcha wird laufend Spam über über das Formular gesendet.
Auch ein verstecktes Feld mit Script unter Übermittlungsteile
$this->execPieceByName('ff_InitLib');
if( ff_getSubmit('ihrErsterName') != '' )
{
exit;
}
bringt nichts.
Eingetragen wird immer nur Vorname, Nachname und E-Mail.
Das Formular hat auch Pflichtfelder wie z.B. Einverständniserklärung zum Datenschutz.
Diese Felder bleiben leer, das Formular wird aber trotzdem vom Spamer abgeschickt.

Lg. Herbert

Please Log in or Create an account to join the conversation.

Spam trotz Captcha 2 years 4 months ago #240565

  • TheMuffinMan's Avatar
  • TheMuffinMan
  • Offline
  • Developer
  • Developer
  • Posts: 10062
  • Karma: 167
  • Thanks: 809
Hi,

am Besten wäre es (wenn nicht bereits in Verwendung) reCaptcha zu verwenden.

In den Einstellungen von reCaptcha auf www.google.com/recaptcha/intro/v3.html für die betreffende Domain dann die "Security Preference" hochsetzen (siehe Screenshot).

Man wird es heutzutage leider kaum noch schaffen jeglichen Spam abzuwehren. Z.T. werden Captchas von echten Menschen gelöst, die für Spammer arbeiten, zumindest aber von gut trainierter KI.

Beispiel: anti-captcha.com/mainpage

Man kann es den Spammern aber so schwer wie möglich machen mit Einstellungen wie oben beschrieben. Viel Zeit und Ressourcen haben Spammer nämlich nicht.

Man muss hier dann das Kosten / Nutzen Verhältnis abwägen und es hängt sehr davon ab wie stark man davon betroffen ist. D.h. man wird probieren müssen, bis die Einstellungen so passen, dass a) reguläre Nutzer nicht aufgeben aber b) die Spammer schon.



Gruss,
Markus
Attachments:

Please Log in or Create an account to join the conversation.

Last edit: Post by TheMuffinMan.

Spam trotz Captcha 2 years 4 months ago #240600

  • Topic Author
  • PugHB
  • Offline
  • Fresh Breezer
  • Fresh Breezer
  • Posts: 2
  • Thanks: 0
Danke für die Anwort.
reCaptcha möchte ich wegen DSGVO nicht einsetzen.

So wie es aussieht wird die komplette validierung des Formulars umgangen bzw. Javascript. Das Versteckte Feld und alle Pflichtangaben enthalten keine Einträge.

Diese Art von Spam gibts ja schon länger z.B.: 98447-spam-durch-kontaktformular

Das Spam-Problem besteht auch erst, seit dem ich breezingforms einsetze. Hatte vorher eine andere Komponente. breezingforms bietet mir aber mehr Möglichkeiten, daher möchte ich nicht darauf verzichten.

Lg. Herbert

Please Log in or Create an account to join the conversation.

Spam trotz Captcha 2 years 4 months ago #240605

  • TheMuffinMan's Avatar
  • TheMuffinMan
  • Offline
  • Developer
  • Developer
  • Posts: 10062
  • Karma: 167
  • Thanks: 809
Hi,

das mit recaptcha kann ich nachvollziehen. Auch kann ich mir vorstellen, dass BF wegen seiner Verbreitung ziemlich "bekannt" ist bei einschlägigen Spammern und in deren Standard-Algorithmen verankert ist.

Das Problem ist aber auch, dass Standard-Captcha heutzutage relativ leicht zu knacken ist.

Man kann es jedoch noch etwas anpassen, so dass Spam-Bots für's erste irritiert sein werden.

Dazu bitte die Datei "/components/com_breezingforms/images/captcha/securimage_show.php" öffnen und dort dann folgendes anpassen (bitte Kommentare beachten):
// Farben ändern, ggbfs. schön kräftige Rot-Töne
$img->image_bg_color = new Securimage_Color("#6495ED");
$img->text_color = new Securimage_Color("#B0E0E6");
$img->line_color = new Securimage_Color("#B0E0E6");
$img->noise_color = new Securimage_Color("#B0E0E6");

// auf true für transparenten text
$img->use_transparent_text = false;

// transparenz
$img->text_transparency_percentage = 60; // 100 = completely transparent

// mehr oder weniger "Lametta" hier
$img->num_lines = 15;

// kann leer bleiben
$img->image_signature = '';

// auf false setzen für Zufallswörter
$img->use_wordlist = true;

Hier gilt auch wie bei reCaptcha, rantasten. Ich denke dass die wordlist auf false schon mal irritierend sein wird, ggbfs. etwas mehr transparenz und Rot-Töne ebenfalls.

Nach jedem Update muss die Datei wieder mit den Einstellungen hergestellt werden, daher bitte ein Backup anlegen.

Falls das alles nichts bringt müssen wir die "Bazooka" in Form eines erweiterten Honeypots rausholen. Bin da gerne behilflich.

Ich kann mir den Honey in etwa so vorstellen:

"Worum geht es auf dieser Seite?" => view Optionen: "ich weiss nicht" (hier value leer lassen), 2 falsche Antworten und 1 richtige.

Z.B.:

0;Ich weiss nicht;
0;Ameisenfarm;ameisenfarm
0;Richtige Antwort;richtige_antwort
0;Lottozahlen:lottozahlen

Dann auf die Selectliste ein Validierungs-Spezial-Script "legen" (FELDNAME bitte ersetzen):
function ff_FELDNAME_validation(element, message)
{
    
    if (element.value != 'richtige_antwort') {
        if (message=='') message = element.name+" faild in my test.\n"
        ff_validationFocus(element.name);
        return message;
    } // if
    return '';
} 

Jetzt kommt der eigentliche Trick:

Im Vor-Übermittlungsteil dann
$this->execPieceByName('ff_InitLib');
if( ff_getSubmit('FELDNAME') != 'richtige_antwort' )
{
exit;
}

In beiden Snippets bitte FELDNAME mit dem Namen (nicht Titel) der Select-Liste tauschen.

Das wäre ein noch relativ einfacher Weg und könnte durch weitere Maßnahmen erweitert werden, um es auch menschlichen Spammern schwer zu machen (z.B. variierende falsche und richtige Antworten, Zufallsreihenfolgen usw.).

Gruss,
Markus

Please Log in or Create an account to join the conversation.

Spam trotz Captcha 1 month 1 week ago #276903

  • skamtoo's Avatar
  • skamtoo
  • Offline
  • Fresh Breezer
  • Fresh Breezer
  • Posts: 14
  • Thanks: 0
Ich muss dieses Thema nochmal aufmachen, weil es mittlerweile unerträglich ist, wieviel Spam auf verschiedensten Seiten auf verschiedenen Servern durch BF durchkommen...

Deine Lösung mit dem zusätzlichen Honeypot ist ja ganz nett, allerdings hilft sie überhaupt nichts, wenn die Validierungen im Minutentakt übergangen werden und die Formulare trotzdem abgeschickt werden können (mit falschen Antworten).

Bekommt man das wirklich nicht anders zum laufen? Bzw. kann sich da mal was von RSForms oder so abschauen wie die das machen? Ich möchte ungern bei über 200 Seiten von Breezing Forms umstellen :-(

Please Log in or Create an account to join the conversation.

Spam trotz Captcha 1 month 1 week ago #276919

  • Mirec's Avatar
  • Mirec
  • Offline
  • Ultimate Breezer
  • Ultimate Breezer
  • Posts: 3158
  • Karma: 2
  • Thanks: 153
Hi,

I hope we can continue with the Englan Language!

I understand, we can prevent spam messages on the server side, using one little script which prevents some special words or we can prevent the IP address of the spammer.

Let me know if you want one of those solutions to embed into your FORM, I will help you!


It is a little hard to prevent 100% spammers.

If you have more questions, feel free to ask!

Regards,
Mirko

Please Log in or Create an account to join the conversation.

  • Page:
  • 1
Moderators: ForumSupport
Time to create page: 0.126 seconds

BreezingForms Pro 1.4.7 for WordPress Released!

Available in the membership section.

September Discount!

Massive discounts on all subscriptions!

Get Your Subscription Here

Quick Links

Downloads

BreezingForms

ContentBuilder

BreezingCommerce

Templates

Documentation

BreezingForms

ContentBuilder

BreezingCommerce

Apprendre BreezingForms (French Community)

Apprendre et maîtriser BreezingForms par des tutoriels et exemples, le tout en français

breezingforms.eddy-vh.com

Questions et réponses sur les forums de l'AFUJ

AFUJ

Special Offer

Summer Sale! All subscriptions at a special price!

Includes prio support, all of our current and future Joomla!® extensions and Joomla!® templates for the duration of your membership.

Get it from here

3rd Party Discount - 25% Off

We help you to keep your costs under control. If you are a new member and purchased a form building tool from a different form vendor, then you'll get a 25% discount on our subscription plans.

How to receive the discount:

Send us a quick email to sales@crosstec.org with a proof of purchase (for example a paypal receipt), await payment instructions and enjoy your membership!