Sonstiges

Math Comment Plugin: kleiner Test

Math Comment Plugin? Zeigt dem Leser eine kleine Rechnung, die er zu lösen hat, um seinen Kommentar abschicken zu können. Gsyi hat sich die Mühe imho nicht ganz umsonst gemacht aufzuzeigen, dass man das Plugin nicht einfach so einsetzen soll. Seine Tests mit ein bisserl Code, das Plugin automatisiert zu knacken: von 150 Blogs fielen 60% durch (.txt).

Meine Empfehlung: Aus 3 eine drei oder eine three oder eine d3ei oder eine dasisteineDrei oder oder oder… machen. Wozu bietet das Plugin doch eine eigene Oberfläche für den Admin? Ist ja nicht neu, dass solche Rechenverfahren schon längst geknackt werden. Die Veränderung der Zahlen langt zunächst völlig, einfache Scripts zu blocken. In Kombination mit einem weiteren Spamtool wie Akismet ist das letztlich fast schnuppe, ob das Plugin in 10-20% der Fälle versagt.

via probloggerworld

Über den Autor

Robert Basic

Robert Basic ist Namensgeber und Gründer von BASIC thinking und hat die Seite 2009 abgegeben. Von 2004 bis 2009 hat er über 12.000 Artikel hier veröffentlicht.

26 Kommentare

  • so oder so reden wir von Captchas per definitione, da es sich immer um Tests handelt, einen Compi von einem Menschen unterscheiden zu können. Ein Picture ist ja auch schon längst zu knacken. Vorteil des obigen Plugins, dass es imho angenehmer für den User ist.

  • >> würde es nicht reichen die zahlen in bildern darzustellen?

    Nein, würde es nicht, ich würde deinen Blog dann einfach mit einem Standard Open Source OCR Algorithmus knacken 😉

  • 40% waren also nicht zu knacken. Das ist ja schonmal was. Und sie als Bilder darzustellen würde die Erfolgsrate der Spammer noch weiter runter drücken … denn, sein wir ehrlich, kaum einer würde sich die Mühe machen ein OCR einzusetzten … und wenn man wechselnde Schriftarten für diese einsetzt würde es für die meisten Spammer kaum noch möglich sein, diesen mit Standardmitteln zu knacken.

    @ Robert: Kann es sein, dass dein Math Comment Plugin in letzter Zeit spinnt? Denn es weigert sich vorhin beharrlich anzuerkennen, dass „4“ + „8“ „12“ ist.

  • Wie schon mehrfach bemerkt, ist das einzige Plugin, dass den automatisierten Spam bei mir komplett verhindert hat, Tan Tan Noodles Simple Spam Filter. Unter Umständen kann es einen zusätzlichen Klick vom User verlangen (besser als zu rechen 😀 oder unlesbare Captchas einzugeben).

    Bei gewissen Keywords, die sehr easy anzupassen sind und bei einer voreinstellbaren Anzahl von Links (bei mir 0) wird einfach noch einmal eine Bestätigung abgefragt.

    Die paar armeseligen Gestalten, die ihren Spam von Hand eingeben, werden ja auch von anderen Plugins nicht aufgehalten.

    Ausführlich beschrieben im Mai http://www.franztoo.de/?p=265

  • Ich finde es halb so wild, dass 60% geknackt werden können. Es geht doch im Prinzip nur darum, aus dem Standard-Spam-Raster zu fallen. Für 150 Blogs macht sich doch wahrscheinlich kein Spammer den Aufwand, seine Software anzupassen.

    Generell hätte man es ja wahrscheinlich schon gehört, wenn Spammer diesen Schutz umgehen würden. Und dann kann man ihn immernoch einfach anpassen – beispielsweise wie Robert vorschlägt – und hat dann wieder ruhe.

  • Mit nem gescheiten filter + blacklist habe ich praktisch kein Spam mehr und das ohne Mathe Plugin 😛

    dauert zwar am anfang ne weile, aber wenn man erstmal die nervigsten domains blacklisted hat oder zumindest auf authorisation gesetzt hat, funktionierts ganz gut.

  • >> denn, sein wir ehrlich, kaum einer würde sich die Mühe machen ein OCR einzusetzten …
    hehe, da täuschst du dich gewaltig 😉

  • gsyi, Du denkst wohl alle sind blöd was?

    mcspvalue das ist das wonach Du suchst und nicht das was in deinem Skript steht!

    Angeblich suchst Du ja hiernach: What is the sum of

  • So richtig interessiert daran, da eine vernünftige Lösung zu publizieren bist Du scheinbar nicht! Dir geht es nur um den kurzfristigen Traffic! Bei deinem Ansatz, kannst aber ganz schon viele RegEx einbauen um auch möglichst alles Fälle abzudecken. Was passiert Dir denn bei Basics unten gezeigter Lösung, wo plötzlich das Feld vor „eins + neun“ ist?

    Das Einzige was Dich scheinbar interessiert ist Traffic zu bekommen. Das Plugin hat ganz andere Lücken………

  • Sorry, ich verstehe dein Problem nicht!

    1. Ist wohl jeder Blogger an Traffic interessiert 😉
    2. Gibt es keine Lösung, die alle Fälle abdeckt! Man kann nur RegEx Patterns einsetzen, die die meisten Blogs abdecken und in diesem Fall eben

    Summe aus (d) .+ (d)
    und
    What is the sum of (d+) .+ (d+)?

    Natürlich kann man mehrere Regex Patterns zusammeneinsetzen, in dem man sie einfach mit „|“ trennt:
    http://docs.python.org/lib/re-syntax.html

    >> Was passiert Dir denn bei Basics unten gezeigter Lösung, wo plötzlich das Feld vor „€œeins + neun“€? ist?

    Für einen Botdesigner ist es wohl kein Problem, ein einfaches Formular im Source Code eines Blogs zu knacken oder?

  • Da deine Kommentarfunktion (temporär) nicht geht, gebe ich meinen Senf dazu eben hier ab, deinen Beitrag finde ich jedenfalls amüsant!

    >> Ganz lustig dabei ist hier verwendet er wieder einen anderen Suchstring nämlich „€œsumme aus“€?.

    Wer lesen kann, ist klar im Vorteil 😉

    >> Die nächste Schwachstelle seiner Möglichkeit ist die Umwandlung des gefundenen String in ein Integer. Was wenn da jetzt wirkliche Strings stehen, z.B. vier oder IV statt 4?

    Weiß du, was eine Typumwandlung bedeutet? Stichwort: Typisierung
    http://de.wikipedia.org/wiki/Typisierung_%28Informatik%29

    Und wenn da wirklich ein Wort statt eine Zahl im String steht, lasse ich einfach das Wort durch eine Zahl ersetzen mit Hilfe von z. B. lists oder dictionaries in Python oder Arrays in Php, ist doch nicht schwer oder?

    >> Die Erfolgsquote von Spam liegt bei unter 1 „€°, das heißt jede 1.000te angekommene Mail führt etwa zu einem „€œGeschäft“€?.

    Weiß du, wovon du schreibst? Was interessiert einem Blackhat SEO wie gut Viagra Mails konvertieren??

    >> Und da will unser Plugincracker, Captchas downloaden mit einer sensationellen Erfolgsquote in Integer umwandeln, nur um zu spammen?

    Captchas wandelt man nicht in Integer, sondern in String um! Und außerdem gibt es durchaus speziell angepasste OCR Algorithmen mit guter Erfolgsquote. ANN (artificial neural network) ist beispielsweise auch ein guter Ansatz, um Captchas zu enkodieren.

    >> Weil wir gerade dabei sind, MCSP setzt Feldnamen, und die hat unser „€œBotdesigner“€? mal glatt übersehen. „€œmcspvalue“€? und „€œmcspinfo“€?. Die Wahrscheinlichkeit, dass irgendeiner die geändert ist wesentlich geringer. Mehr noch, die Administrationsoberfläche meines MCSP bietet zwar die Möglichkeit „€œName of field for user“€™s answer: „€? und „€œName of hidden field that contains the hash: „€? zu ändern, im Quelltext bleiben aber die alten Bezeichnungen erhalten, da wird man wohl mal im Quelltext editieren müssen.

    Wer meinen Beitrag gelesen hat, wird wohl wissen, dass er sich nur auf die Standardeinstellungen von diesem Plugin bezieht!

  • ich will Euch ja nicht wirklich davon abhalten, sich angeregt auszutauschen, doch im Sinne der Message „Math Comment nicht sicher im default“ ist alles gesagt worden, bitte um Fortsetzung der Diskussionen auf Euren Blogs, bevor Ihr Euch hier in die Wolle bekommt. Tsstsss… redet doch nicht so naseweis miteinander, mein guter Tipp, dann klappts besser;) Ich danke einfach mal vorab im Vertrauen für Euer Verständis.

  • Du bist auch so temporär nicht gehen! Na dann viel Spaß beim spammen „Blackhat SEO“

    @rob : „Math Comment nicht sicher im default“€? wo steht das? Das ist doch ne alte Weisheit und auch schon niedergeschrieben. Es geht einzig und allein darum, das er niederschreibt, er hätte den default getestet und dann eine Liste veröffentlicht, die nicht mehr auf dem default-Wert basiert

    So etwas nenne ich unterste Schublade

  • Die Schwachstelle an Math Comment ist das Label bzw. das Input-Feld. Die sind immer mit „mcspvalue“ gekennzeichnet. So wird es einen Spammer leicht gemacht die betreffende Stelle im Quellcode zu finden. Ob da nun eine Ziffer oder ein Zahlwort steht ist keine große Hürde. Mit etwas ausgefeilten Regex knackt man das auch. Denn für den Computer macht es keinen Unterschied ob da drei, DrEi, DasIstEineDrei oder dr3i steht.

    Außerdem ist eine Bruteforce-Attacke bei zwei einstelligen Zahlen recht erfolgversprechend. Werden die Ziffern 0-9 verwendet, ergeben sich recht exakt 19 Lösungsmöglichkeiten (0-18). Die Wahrscheinlichkeit das ein Spamkommentar durch reines Raten durchkommt liegt also bei 17:1. Rein theoretisch würden also von 18.000 Spamversuchen 1.000 durchkommen.

  • vielleicht solltest du ein plugin einsetzen das ein bild aus buchstaben und zahlen darstellt (so wie meins)(natürlich wenn es so ein plugin für wordpress gibt ;))

  • Math Comment Spam Protection geknackt…

    Das Plugin Math Comment Spam Protection ist sehr beliebt um Kommentare gegen unerwünschte Bots und Scripteinträge abzusichern.
    Leider ist es nicht wirklich sicher wie derzeit auf Webmaster-Verzeichnis zu lesen ist. Mit nur 5 Codezeilen wurden…

  • @ Robert

    Wie hast du es angestellt, dass bei einer fehlerhaften bzw. nicht eingegebenen Lösung, der Text im Textfeld bleibt? (Also wenn man von der Fehlerseite wieder zurück geht)