D7: Effektiver Spamschutz für Webform gesucht
Eingetragen von zwerg (736)
am 13.06.2018 - 10:37 Uhr in
am 13.06.2018 - 10:37 Uhr in
Hallo in die Runde,
seit zwei Wochen habe ich im Einsatz von Webform wieder massive Spam-Probleme. Weder Mollom, noch Honeypot, reCaptcha oder Botcha haben bisher Erfolg verzeichnen können. Ich bin ziemlich rat- und planlos, zumal die IP-Adressen aus aller Welt kommen.
Habt ihr eine Idee oder einen Tipp?
Besten Dank vorab!
- Anmelden oder Registrieren um Kommentare zu schreiben
Gegen Menschen, die das
am 13.06.2018 - 10:42 Uhr
Gegen Menschen, die das machen, kann keines dieser Module helfen, da die nur gegen Bots gerichtet sind. Gegen menschliche User gibt es eben keinen Spam Schutz.
.
Werner
drupal-training.de
Moderator und Drupal Trainer
* - - - - - - - - - - - - - - - - - - - - - - - - - - - *
Googles reCAPTCHA ist
am 13.06.2018 - 11:05 Uhr
Googles reCAPTCHA ist momentan das einzige Tool, dass Spam wirkungsvoll vermeidet: https://www.drupal.org/project/recaptcha
Danke!
am 13.06.2018 - 13:20 Uhr
Gegen Menschen, die das machen, kann keines dieser Module helfen, da die nur gegen Bots gerichtet sind. Gegen menschliche User gibt es eben keinen Spam Schutz.
Ja, das stimmt wohl. Das kann ich leider nicht identifizieren.
Googles reCAPTCHA ist momentan das einzige Tool, dass Spam wirkungsvoll vermeidet: https://www.drupal.org/project/recaptcha
Das ist bei mir leider auch nicht wirklich erfolgreich :-|
Web: Halle im Bild | n8aktiv
Social: Facebook | Xing
Re: Spam vermeiden
am 13.06.2018 - 19:59 Uhr
Es gibt das Modul "riddler", bei dem man selbst Fragen und Antworten dazu definieren kann. Das erfordert ein wenig mehr Mühe, wenn man die Antwort erst via google suchen muss. Bei kommerziellen Shops ist da aber die Hürde vielleicht zu hoch. Ich habe mit dem Modul jedenfalls gute Erfahrungen gemacht und (ohne Mollom) keinen Spam mehr.
https://www.drupal.org/project/riddler
Vielleicht hilft Dir das?
LG
"Wenn der eine nicht will, können zwei nicht miteinander streiten."
Arno Backhaus
Danke, "Riddler" kenne ich
am 13.06.2018 - 22:12 Uhr
Danke, "Riddler" kenne ich noch nicht. Werde ich mal testen.
Web: Halle im Bild | n8aktiv
Social: Facebook | Xing
" bei dem man selbst Fragen
am 15.06.2018 - 06:23 Uhr
" bei dem man selbst Fragen und Antworten dazu definieren kann. Das erfordert ein wenig mehr Mühe, wenn man die Antwort erst via google suchen mus"
Und wer wird dann das Formular noch absenden?
Also ehrlich, wenn ich als User so begrüßt und unter Generalverdacht gestellt werde, dann habe ich schon fertig mit der Webseite.
Erst auf Google suchen? Habe ich sonst nichts zu tun??? ;-)
Die Frage diksutiere ich seit Jahren ausführlich mit meinen Kunden.
Es ist immer das Gleiche:
Man probiert auf wiederholten Kundenwunsch - wieder besseren Wissens - versch. Module aus und stellt fest, es bleibt immer noch der Bodensatz von Sonnenbrillen-Werbung von armen Teufeln in Tailand, die dafür gezahlt werden, dass sie die händisch eintragen (nur ein Beispiel).
Man muss sich dann ernsthaft die Frage stellen:
Kommt eine erhebliche Menge an wichtigen Kontaktgesuchen über das Formular?
JA: dann nehme ich dafür klaglos in Kauf, den nicht automatisierten Spam händisch zu löschen.
NEIN: dann weg mit dem Kontaktformular, eine Email gehört sowieso ins Impressum, darauf kann man dann von der Kontakt-Seite verlinken.
Wer ernsthaft Kontakt aufnehmen möchte, der wird das finden.
Erstaunlicherweise bekommen wir über die Geschäftsmail, die überall auf den Seiten steht, so gut wie keinen direkten Spam.
Nur über die Kontaktformulare - bevor wir sie entfernt haben.
Und über die privaten Emails, die ich über die Jahre hier und da verwendet habe, um mich auf irgendwelchen - offensichtlich weniger seriösen - Plattformen anzumelden.
Ich verwende als User auch ungerne die Kontaktformulare, vor allem wenn ich dann keine Kopie bekomme von meiner Kontaktaufnahme.
Man verliert dann leicht den Überblick, wem man wegen was gemailt hat.
Maile ich über meinen Mail-Client, dann habe ich alles gut dokumentiert und wieder auffindbar.
LG Regina Oswald
-------------------------
Montviso - Internetdienstleistungen
http://www.montviso.de
antibot
am 17.06.2018 - 13:41 Uhr
Gute Erfahrungen habe ich in letzter Zeit mit antibot gesammelt. Das funktioniert ganz simpel: Es wird geprüft, ob der Besucher-Client Javascript aktiviert hat, was bei Bots nicht der Fall ist.
Ansonsten schließe ich mich den Ausführungen von montviso an. Gegen händisch eingetragenen Spam dürfte kein Kraut gewachsen sein. Der Sinn von Kontaktformularen hat sich mir persönlich auch noch nie erschlossen. Manche Kunden stehen da aber total drauf und sind auch nicht davon abzubringen.
" Manche Kunden stehen da
am 18.06.2018 - 05:42 Uhr
" Manche Kunden stehen da aber total drauf und sind auch nicht davon abzubringen."
Stimmt. Die kriegen das natürlich auch von mir.
LG Regina Oswald
-------------------------
Montviso - Internetdienstleistungen
http://www.montviso.de
Menschliche Spammer
am 21.06.2018 - 10:51 Uhr
Ich habe bei zwei Drupal-7 Seiten auch derzeit das Problem von Comment Spam. Bin mir noch nicht endgültig sicher, aber vermute menschliche Spammer.
Wenn sich das als Jobprofil verbreitet, hat man wirklich keine Chance. :P
So lange es aber bei zwei bis drei Einträgen pro Tag bleibt, ist es managebar.
Zum Glück sind keine Kundenseiten betroffen, sonst könnte ich denen auch nichts anderes sagen.
Man kann nur verschiedene Anti-Spam-Methoden durchprobieren, wenn irgendeine zieht, war es vielleicht doch ein oder mehrere Bots.
Webform Spamschutz
am 11.05.2019 - 09:28 Uhr
Hallo, ich wehre mich schon seit Jahren erfolgreich gegen Spam in offen zugänglichen Webforms mit folgenden zwei einfachen Mitteln:
- Ein nichtbeschreibbares Feld (Deaktiviert) mit einem Standardwert, idealeweise aus einem Mix aus Zeichen, auch Umlaute, eintragen.
- ein zweites Feld, in das der oben vorgegebene Wert eingetragen bzw. hineinkopiert werden muss.
- Diese zwei Felder über "form validation" auf Übereinstimmung (equal values) prüfen lassen.
- ev. zusätzlich das das Webform auf zwei Seiten verteilen (page break).
Robert Mader
Kontakt ist nicht die einzige oder wichtigste Anwendung ..
am 11.05.2019 - 20:00 Uhr
Kontakt ist nicht die einzige oder wichtigste Anwendung für ein Formular.
Eine wirksame Spamabwehr kenne ich allerdings auch nicht, bleibt nur Moderation :(
https://amazonas-box.de
https://muenchen.social/@Franz
Habe sehr gute Erfahrungen
am 12.05.2019 - 02:01 Uhr
Habe sehr gute Erfahrungen mit https://www.drupal.org/project/webform_validation gemacht.
Seit das Modul läuft ist der Spam um 95% zurück gegangen und man kann die Werte ständig ergänzen.
Unter jedem Webform findet man nach Installation einen weiteren TAB Form Validation und kann dort beliebig weitere Webform Rules anlegen.
Beispiel meiner 2 Rules:
1. Blacklist E-Mails, Werte: .ru, .se, .fr, .net, .au, .es, aol, hotmail, yandex, .uk, .cz
2. Blacklist Words Betreff Field, Werte: http, https, www, click, buy, here, look
Damit wird es für Spammer uninteressant, da er keine Links oder Handlungsaufforderungen in den Betreff setzen kann.
Grüße Jenna
Webform_Validation
am 13.05.2019 - 10:15 Uhr
Hallo,
ich habe Webform_Validation noch nicht ausprobiert, ist aber genau das was ich suche. Ich werde es definitiv kurzfristig testen. Vielen Dank schon einmal für den Tip. Weißt Du ob ich auch via Rules auf Body(Nachrichtentext) zugreifen kann und nicht nur auf die Betreffzeile?
Ich möchte nämlich eine Rules erstellen, die bei unseriösen Wörtern oder Links einfach den "Senden-Button" ausblendet.
Ja klar, das geht.. ich
am 13.05.2019 - 11:02 Uhr
Ja klar, das geht.. ich meinte auch das Body Feld.
War etwas doof formuliert.
Du hast auch noch etliche weitere Möglichkeiten an Webform Rules, die man miteinander kombinieren kann.
Grüße Jenna
Also ich kann Antibot nur
am 13.05.2019 - 14:13 Uhr
Also ich kann Antibot nur wärmstens empfehlen. Das schafft Ruhe und das ohne nervige Captchas und ohne viel Konfiguration.
Selbst webchick ist ein Fan davon: https://www.drupal.org/project/antibot/issues/2984755
Kontakt
am 13.05.2019 - 22:08 Uhr
Kontakt ist nicht die einzige oder wichtigste Anwendung für ein Formular.
Eine wirksame Spamabwehr kenne ich allerdings auch nicht, bleibt nur Moderation :(
Mit meinem Post habe nicht das Standard Kontaktformular von Drupal gemeint, sondern eben Formulare mit dem Modul Webform erzeugt. Auf meinen Instanzen setze ich weit über hundert Webformulare mit Webform um und eben mit dem auch von Jenna erwähnten Modul Webform Validation. Das ist simpel und sehr wirksam. Mit der oben beschriebenen Methode schalte ich jeglichen - nicht menschlichen - Spam aus. Ich habe übrigens auch das Standard Kontaktformular durch ein selbst mit Webform erzeugtes ersetzt.
Gruß RM
Robert Mader
Fatal Error in Webform_validation
am 27.09.2019 - 16:25 Uhr
Hallo,
ich habe mal ein wenig Zeit gefunden und mich mit dem Modul Webform_Validation beschäftigt. Kann mir jemand bei dieser Fehlermeldung helfen.
Fatal error: Call to undefined method WebformConditionals::isExecuted() in /www/htdocs/xxxxxxx/sites/all/modules/webform_validation/webform_validation.module on line 157
Egal welche "Formularvalidierung" ich verwende, erhalten ich diese Meldung.
Vielen Dank für Eure Hilfestellungen.
VG Thomas
Es gibt einen Issue dazu,
am 01.10.2019 - 13:54 Uhr
Es gibt einen Issue dazu, aber der steht auf gelöst:
https://www.drupal.org/project/webform_validation/issues/2854226
Würde da nochmal die Fehlermeldung anhängen und den Thread wieder aktivieren.
Grüße Jenna
vergiftetes Mittel ...
am 03.10.2019 - 23:04 Uhr
Für mich kommt trotz der - ebenso erlebten! - Spam-Probleme so ein Google-Tool nicht in Frage, siehe:
https://www.fastcompany.com/90369697/googles-new-recaptcha-has-a-dark-side
(sorry, nur Engl.).
oder hier:
https://kevv.net/you-probably-dont-need-recaptcha/
Jedenfalls möchte ich die Webseitenbesucher nicht zwingen, Google fast alle Rechte zum Schnüffeln freizugeben (unabhängig von der Ignoranz der meisten)
So landen Ergebnisse von Webform bei mir nicht unbesehen auf den Seiten, allerdings muss ich typ. unabhängig von Spam sowieso eine manuelle Prüfung der Eingaben vornehmen, das relativiert das Problem bei mir. Honeypot nutze ich, das hilft ein Stück weit.
https://amazonas-box.de
https://muenchen.social/@Franz
schmittrich schrieb Gute
am 04.10.2019 - 10:57 Uhr
Gute Erfahrungen habe ich in letzter Zeit mit antibot gesammelt. Das funktioniert ganz simpel: Es wird geprüft, ob der Besucher-Client Javascript aktiviert hat, was bei Bots nicht der Fall ist.
Es gibt auch Bots mit JS Engine. Die Überprüfung von Antibot ist schon komplexer: Wenn Antibot JS findet, wird überprüft, ob Tastatureingaben, Maus- Bewegungen oder Touch move events stattfinden. Ist dies nicht der Fall, kann der Submitter kein Mensch sein --> blocked.
Ich halte Antibot ebenfalls für das beste Antispam- Modul für Drupal. Die Idee der Identifizierung ist einfach clever. Automatisierter Spam kommt damit kaum noch durch.
Leider hat Antibot auch eine große Schwachstelle. Die Logik läuft in einer vorgeschalteten form validate function unter example.com/antibot. Wenn ich weiß wie Antibot funktioniert und wie Drupal Formular Eingaben verarbeitet, kann ich Antibot relativ simpel umgehen indem ich direkt zum Form Endpoint submitte. Mit zunehmender Verbreitung der Antibot Methode werden sich Spammer darauf einstellen. Packe ich die Logik von Antibot hingegen direkt in den Form Endpoint, ist endgültig Ruhe gegen Bots.
Franz schrieb Honeypot nutze
am 04.10.2019 - 10:59 Uhr
Honeypot nutze ich, das hilft ein Stück weit.
Teste mal Antibot, das lohnt sich wirklich: https://www.drupal.org/project/antibot
nicht ohne JS :-(
am 05.10.2019 - 15:38 Uhr
danke, interessante Empfehlung, aber bisher hatte ich auf 'meinen' Seiten Javascript nicht zur Voraussetzung für Gäste gemacht (Redakteure o.ä. ist was anderes, die sind dann nicht anonym), und das möchte ich auch für Formulare wie ich sie brauche beibehalten.
Aus der Modulbeschreibung:
"... When the page is loaded, if the user does not have JavaScript enabled, the form is hidden and a message is presented to them. ..."
https://amazonas-box.de
https://muenchen.social/@Franz
Zwei Dinge: 1. Eine Website
am 05.10.2019 - 20:34 Uhr
Zwei Dinge:
1. Eine Website ohne Javascript in 2019 ist keine Website sondern ein weißes Blatt Papier
2. Der aktuell beste Spamschutz gegen Angriffe aller Art auf Drupal 7 Plattformen ist Drupal 8
Formulareingaben ohne Javascript sind möglich Validierungen gegen Spam ohne Javascript sind so gut wie unmöglich oder zumindest den Aufwand nicht wert.
https://drupal-tv.de
Drupal sehen und lernen