Das ist eine Wikiseite: Also, Vorschläge willkommen!

Das Feature standardmäßig zu deaktivieren ist vielleicht garnicht notwendig. Eine aussagekräftigere/freundlichere Fehlermeldung würde meiner Meinung nach schon reichen, um potentielle, echte Kommentatoren dazu zu bewegen, den Kommentar einfach nochmal abzuschicken (sowas in der Art “Um Kommentarspam zu vermeiden ist es notwendig..[bla]. Bitte senden Sie den Kommentar einfach ein zweites mal ab” oder so ähnlich).

Die Idee dahinter ist recht einfach: Ich könnte Dir relativ leicht ein Formular unterjubeln und dich per tinyurl.com dazu kriegen, dass das formular ausgeführt wird ohne dass Du es merkst. Damit könnte ich dann unter deinem Redakteursnamen einen beliebigen Kommentar in deinem Blog unter deinem Namen einstellen, und mit etwas Trickserei sogar ohne dass Du das jemals merkst.

So etwas nennt sich “Cross Site Request Forgery”. Man kann derartige Fremdsteuerung des Browsers nur im Zielsystem unterbinden, indem man Tokens einsetzt die erst auf der ersten Zugriffseite gesetzt werden können und auf der Folgeseite validiert werden müssen.

Daher kann das Plugin nicht unterscheiden zwischen einen echten bösartigen Angriff, und einem “Fernanspringen” des Kommentarformulars aus dem Feedreader heraus.

Ein Nebeneffekt ist, dass Spammer so auch davon abgehalten werden, einfach ein Formular POST auf die Seite zu machen und so Kommentare zu spammen.

In meinen Tests auf 3 unterschiedlichen Blogs hat dieses Feature damals gut 80% des Spams geblockt (zu Zeiten als Akismet noch nicht nutzbar war). Auch aus Sicherheitsgründen wurde daher diese OPtion standardmäßig aktiviert.

Sie ist aber deaktivierbar, in den Plugin-Einstellungen des Blogs. Und die Nebeneffekte sind dort für Betreiber auch kommentiert. Und im offiziellen Serendipity-Handbuch wird auch drauf hingewiesen, und im Forum würde einem bei Nachfrage zu dem Problem sicher auch nochmal diese Erklärung geliefert – es ist also kein doofes “Black-Box Feature”.

Wenn der Konsens der Gemeinde ist, dass das Feature mehr Probleme macht als es löst, bin ich gerne bereit die Option standardmäßig zu deaktivieren. Dies müsste man aber wirklich behutsam gegeinander abwiegen, ob man nun mehr Spam oder mehr Kommentare möchte.

Das erneute abschicken des Formulars durch einen Menschen (und Browser mit gültigem Cookie) behebt das Problem ja schon nur durch einen einzigen weiteren Click, daher ist es IMHO derzeit kein wirkliches KO-Kriterium.

Wenn jemand Alternativ-Vorschläge für die Textformulierung hat: Serendipity ist OpenSource, derartige Beiträge werden immer gerne eingebaut!

Dass das Session-Cookie schon durch den ersten Kommentarversuch gesetzt wird, ist mir jetzt auch klar – aber in dem Moment bin ich nicht drauf gekommen