Stefan.Waidele.info

Blogger vs. Spammer vs. Leser

Gerade bin ich (nach der Eingabe meines Kommentars) auf diesen Hinweis gestoßen:

Ihr Kommentar enthielt keinen gültigen Session-Hash. Kommentare auf diesem Blog können nur mit aktivierten Cookies hinterlassen werden, und Sie müssen bereits eine weitere URL des Blogs geöffnet haben, bevor Sie einen Kommentar absenden können!
Kommentar wurde nicht hinzugefügt, da Kommentare für diesen Eintrag entweder deaktiviert sind, Sie ungültige Eingaben gemacht haben oder Anti-Spam-Maßnahmen angewendet wurden.
Schade. Denn offensichtlich mag Olivers System meinen Kommentar nicht, nur weil ich direkt vom Feedreader zum Artikel gehüpft bin, und noch keinen Cookie von ihm akzeptiert habe (oder weil diese immer wieder automatisch gelöscht werden).
Also gut, ich bin zu einem anderen Artikel gesurft, wieder  zurück. Dann gings.
Umständlich…
This entry was posted in Business, Opinons. Bookmark the permalink. Follow any comments here with the RSS feed for this post. Both comments and trackbacks are currently closed.

8 Comments

  1. Posted 20. Mai 2009 at 12:19 | Permalink

    Das Problem hatte ich mit Serendipity auch. Aber bevor ich mich mit einer möglichen Lösung beschäftigt habe, bin ich auf zine umgestiegen.
    Interessant, dass das tatsächlich ein Serendipity Problem zu sein scheint. Ich hatte anfänglich einen meiner 100 Hacks am System im Verdacht.

  2. oliverg
    Posted 25. Mai 2009 at 10:39 | Permalink

    Man sendet einfach den selben kommentar noch mal (er steht da ja noch) -> Problem gelöst. 😉 (Ein Spammer gibt ggf. an jender stelle auf, hoffentlich…)

    • Posted 25. Mai 2009 at 20:57 | Permalink

      Steht da aber nicht. Im Text steht „andere Seite des Blogs besuchen und wiederkommen“.

      Dass das Session-Cookie schon durch den ersten Kommentarversuch gesetzt wird, ist mir jetzt auch klar – aber in dem Moment bin ich nicht drauf gekommen 🙂

  3. oliver
    Posted 26. Mai 2009 at 21:29 | Permalink

    Könnte mir vorstellen dass @supergarv da empfänglich wäre für eine Idee. (Und frage mich, ob meine niedrige Comment-Quote damit zu tun hat…)

  4. Posted 27. Mai 2009 at 9:08 | Permalink

    Das ist ein Schutzfeature von Serendipity’s Anti-Spam Plugin.

    Die Idee dahinter ist recht einfach: Ich könnte Dir relativ leicht ein Formular unterjubeln und dich per tinyurl.com dazu kriegen, dass das formular ausgeführt wird ohne dass Du es merkst. Damit könnte ich dann unter deinem Redakteursnamen einen beliebigen Kommentar in deinem Blog unter deinem Namen einstellen, und mit etwas Trickserei sogar ohne dass Du das jemals merkst.

    So etwas nennt sich „Cross Site Request Forgery“. Man kann derartige Fremdsteuerung des Browsers nur im Zielsystem unterbinden, indem man Tokens einsetzt die erst auf der ersten Zugriffseite gesetzt werden können und auf der Folgeseite validiert werden müssen.

    Daher kann das Plugin nicht unterscheiden zwischen einen echten bösartigen Angriff, und einem „Fernanspringen“ des Kommentarformulars aus dem Feedreader heraus.

    Ein Nebeneffekt ist, dass Spammer so auch davon abgehalten werden, einfach ein Formular POST auf die Seite zu machen und so Kommentare zu spammen.

    In meinen Tests auf 3 unterschiedlichen Blogs hat dieses Feature damals gut 80% des Spams geblockt (zu Zeiten als Akismet noch nicht nutzbar war). Auch aus Sicherheitsgründen wurde daher diese OPtion standardmäßig aktiviert.

    Sie ist aber deaktivierbar, in den Plugin-Einstellungen des Blogs. Und die Nebeneffekte sind dort für Betreiber auch kommentiert. Und im offiziellen Serendipity-Handbuch wird auch drauf hingewiesen, und im Forum würde einem bei Nachfrage zu dem Problem sicher auch nochmal diese Erklärung geliefert – es ist also kein doofes „Black-Box Feature“.

    Wenn der Konsens der Gemeinde ist, dass das Feature mehr Probleme macht als es löst, bin ich gerne bereit die Option standardmäßig zu deaktivieren. Dies müsste man aber wirklich behutsam gegeinander abwiegen, ob man nun mehr Spam oder mehr Kommentare möchte.

    Das erneute abschicken des Formulars durch einen Menschen (und Browser mit gültigem Cookie) behebt das Problem ja schon nur durch einen einzigen weiteren Click, daher ist es IMHO derzeit kein wirkliches KO-Kriterium.

    Wenn jemand Alternativ-Vorschläge für die Textformulierung hat: Serendipity ist OpenSource, derartige Beiträge werden immer gerne eingebaut!

  5. Posted 27. Mai 2009 at 9:17 | Permalink

    @Garvin:
    Danke für die Erklärung. Das ergibt durchaus Sinn.

    Das Feature standardmäßig zu deaktivieren ist vielleicht garnicht notwendig. Eine aussagekräftigere/freundlichere Fehlermeldung würde meiner Meinung nach schon reichen, um potentielle, echte Kommentatoren dazu zu bewegen, den Kommentar einfach nochmal abzuschicken (sowas in der Art „Um Kommentarspam zu vermeiden ist es notwendig..[bla]. Bitte senden Sie den Kommentar einfach ein zweites mal ab“ oder so ähnlich).

  6. Posted 27. Mai 2009 at 10:38 | Permalink

    Das Feature ist gut, mein Formulierungsversuch: http://stefan.waidele.info/wiki/doku.php?id=s9yantispamtext

    Das ist eine Wikiseite: Also, Vorschläge willkommen!

  7. oliver
    Posted 28. Mai 2009 at 8:42 | Permalink

    @garvin ich denke auch es liegt primär an der Formulierung. einfach ein ‚Sorry: Spamschutz — Bitte sende(n Sie) den Kommentar einfach erneut ab.‘ würde reichen denke ich — oder?