Da sind dann auch die Betreiber von twoday lieber schwimmen oder sonstwo.
Aber die Frage nach der Anmeldungsverschärfung besteht zu Recht.
"Nicht gelistet" als Anfangsoption wäre keine Lösung. Die Option lässt sich automatisiert umschalten. Entweder sind die Captchas so unwirksam oder die Eindringlinge haben twoday selbst gehackt und können die User direkt anlegen. Ich vermute fast Letzteres.
Aber es ist ein echter Jammer.
Da in den meisten Fällen in wenigsten einem der Beiträge irgendein Produkt beworben wird, gehe ich - unter Ausschließung, dass es sich um eine direkte Attacke gegen twoday handelt - davon aus, dass jemand versucht, mit möglichst viel Platzierungen bestimmter Produkte irgendwelche Rankings in Suchmaschinen hoch zu treiben.
-
Was könnte man dagegen tun?
1) einen einfachen Filter setzen, der anspricht, wenn Blogname und username identisch sind. Dies nicht automatisch melden sondern eine automatische email auf deutsch(!) aussenden, die die Regel erklärt, dass das nicht sein darf.
(Anmerkung: früher waren die Namen ja noch künstlicher, mittlerweile wird ein echter Name mit einer phonetisch plausiblen Zeichenfolge ergänzt.)
2) Anmeldungen mit einer Zeitverzögerung versehen, wonach am ersten Tag nur eine Meldung gepostet werden darf. (Damit ist der Nutzeffekt für die kommerziellen Neuanmelder wesentlich geringer)
2a) wenn 2) nicht machbar erscheint, in Abstand von einer Stunde einen Watchdog über die Datenbank laufen lassen: Filter: Anmeldungen der letzten Stunde, genau drei Artikel gepostet. Wenn Sprache englisch, dann einfach killen. Wenn sprache deutsch, Mail ausschicken. (Wird nicht sehr viele geben, welche innerhalb von einer Stunde drei Postings in den vorhandenen Längen posten können.
3) Ich kenne die gmail-Adressen nicht. Es würde mich aber nicht wundern, wenn die nicht ebenfalls mit dem Blog-Namen korrelieren sollten.
-
Es gibt noch mehr Methoden. Unter der Vorraussetzung, dass es sich nicht wirklich um feindliche Attacken handelt, werden die Invasoren aber nicht soviel Aufwand treiben, dass sie die twoday-Abwehrmaßnahmen bekämpfen. (Außer es gibt dort einen freak, der es als Herausforderung ansieht.)
4) etwas tiefgehender. ich kenne die antville software nicht, daher weiß ich nicht, in wie weit man einen entsprechenden Modul bei der Anmeldung einbinden kann. Heute lässt sich die Anmeldung ja relativ leicht in Selenium automatisieren. (Wie die das mit dem Captcha hinkriegen, verstehe ich allerdings noch nicht.) Jetzt kann man aber nicht jede Web-Oberfläche mit Selenium ansprechen. Google verändert z.B. seine GUI-Elemente hinsichtlich der Adressierbarkeit regelmäßig. Ein Skript, welches jetzt läuft, scheitert vielleicht schon in zwei Stunden. Wenn der Anmeldemodus mit einem Abfragefeld verbunden ist, welches nicht so leicht automatisiert erforscht werden kann, dann könnte das auch eine große Hemmschwelle sein.
-
Bitte mir es nicht übelnehmen, wenn ich da besserwisserisch erscheine. Vielleicht haben Sie schon alles ausprobiert. Aber ich finde es entsetzlich, - auch hinsichtlich der Begrenzung auf 150 Einträge - dass oft alle Übersichtsseiten von SPAM blockiert sind.
-
Ich poste das auch bei mir, vielleicht haben andere Leute auch noch gute Einfälle.
So etwas werden wir sicher nicht übelnehmen, wir freuen uns über Interesse und Ideen.
Das Grundproblem, das sich stellt, ist aber, dass wir es neuen Bloggern so einfach wie möglich machen möchten, und keine generell verwirrenden oder abschreckenden Maßnahmen setzen möchten ("In 1-2-3 Klicks zum eigenen Weblog"). Um auf die einzelnen Punkte einzugehen:
1) einen einfachen Filter setzen, der anspricht, wenn Blogname und username identisch sind.
Viele "richtige" Blogger haben Benutzer- und Blogname identisch, das ist kein Kriterium für Spam. Manche wollen es so, manche verstehen nicht gleich, dass es zwei verschiedene Dinge sind.
2) Anmeldungen mit einer Zeitverzögerung versehen, wonach am ersten Tag nur eine Meldung gepostet werden darf.
Der Großteil der Spammer geht so vor, dass sie ein Weblog anlegen, ihre Links in eine Story packen, und dann nie wieder auftauchen. Tatsächlich ist das "red Flag" für mich beim Löschen: Ein Benutzer - ein Blog - eine Story - danach nicht mehr eingeloggt. Die letzte Spam-Welle war ein bisschen anders, aber das ist nicht typisch.
2a) wenn 2) nicht machbar erscheint, in Abstand von einer Stunde einen Watchdog über die Datenbank laufen lassen: Filter: Anmeldungen der letzten Stunde, genau drei Artikel gepostet.
Interessante Idee. Man müsste sich in den Logfiles anschauen, wie viele "Delinquenten" in diesen Filter fallen.
3) Ich kenne die gmail-Adressen nicht. Es würde mich aber nicht wundern, wenn die nicht ebenfalls mit dem Blog-Namen korrelieren sollten.
Tun sie meistens nicht (mehr). Früher waren es oft unaussprechliche Fantasienamen, die sofort als nicht sinnvoll erkennbar waren (brmpftlkrynz@gmail.com), das hat wenigstens das säubern erleichtert. Heute wimmelt es von Hans.Meiers in allen Schreibweisen, man muss sich wirklich jeden einzeln anschauen.
4) etwas tiefgehender. ich kenne die antville software nicht, daher weiß ich nicht, in wie weit man einen entsprechenden Modul bei der Anmeldung einbinden kann. Heute lässt sich die Anmeldung ja relativ leicht in Selenium automatisieren. [...]Wenn der Anmeldemodus mit einem Abfragefeld verbunden ist, welches nicht so leicht automatisiert erforscht werden kann, dann könnte das auch eine große Hemmschwelle sein.
Ähnliche Maßnahmen wurden überlegt, aber im Endeffekt nicht implementiert. Ich bin nur der Support :) und nicht über alle technischen Details informiert; eine der Begründungen war aber, dass das innerhalb von ein bis zwei Wochen geknackt ist und wieder neu geändert werden müsste, und dass damit der Aufwand in keinem Verhältnis zum Nutzen steht.
Ja, mir ist klar, dass das alles nur immer Massnahmen auf Zeit sind. Allerdings ist es die Frage, wie viel den Spammern die Angelegenheit wert ist. Es scheint sich ja momentan mehr um kommerzielle Interessen zu handeln, und da ist auch für die Spammer eine Grenze erreicht, wo sie dann auf einfachere Plattformen wechseln würden.
-
Was die 1-2-3 Registrierung angeht, vergleiche ich das ein bisschen mit Fliegen. Vor 30 Jahren war das Fliegen ein Vergnügen, essen, trinken leichtes Einchecken.
Das Einchecken ist einfacher geworden, doch heute gibt es Sicherheitskontrollen, über die sich keiner mehr aufregt.
Ich sehe auch jetzt nicht so viele echte Neuankömmlinge. Die Frage ist, ob man das nicht entsprechend erklären kann. Aber diese Entscheidung muss ich glücklicherweise nicht treffen:)
In Österreich ist halt Feiertag
Aber die Frage nach der Anmeldungsverschärfung besteht zu Recht.
"Nicht gelistet" als Anfangsoption wäre keine Lösung. Die Option lässt sich automatisiert umschalten. Entweder sind die Captchas so unwirksam oder die Eindringlinge haben twoday selbst gehackt und können die User direkt anlegen. Ich vermute fast Letzteres.
Aber es ist ein echter Jammer.
Die Anregung mit "nicht gelistet" ist gut, ich werde das weitergeben.
Mögliche Verteidigungsstrategien
-
Was könnte man dagegen tun?
1) einen einfachen Filter setzen, der anspricht, wenn Blogname und username identisch sind. Dies nicht automatisch melden sondern eine automatische email auf deutsch(!) aussenden, die die Regel erklärt, dass das nicht sein darf.
(Anmerkung: früher waren die Namen ja noch künstlicher, mittlerweile wird ein echter Name mit einer phonetisch plausiblen Zeichenfolge ergänzt.)
2) Anmeldungen mit einer Zeitverzögerung versehen, wonach am ersten Tag nur eine Meldung gepostet werden darf. (Damit ist der Nutzeffekt für die kommerziellen Neuanmelder wesentlich geringer)
2a) wenn 2) nicht machbar erscheint, in Abstand von einer Stunde einen Watchdog über die Datenbank laufen lassen: Filter: Anmeldungen der letzten Stunde, genau drei Artikel gepostet. Wenn Sprache englisch, dann einfach killen. Wenn sprache deutsch, Mail ausschicken. (Wird nicht sehr viele geben, welche innerhalb von einer Stunde drei Postings in den vorhandenen Längen posten können.
3) Ich kenne die gmail-Adressen nicht. Es würde mich aber nicht wundern, wenn die nicht ebenfalls mit dem Blog-Namen korrelieren sollten.
-
Es gibt noch mehr Methoden. Unter der Vorraussetzung, dass es sich nicht wirklich um feindliche Attacken handelt, werden die Invasoren aber nicht soviel Aufwand treiben, dass sie die twoday-Abwehrmaßnahmen bekämpfen. (Außer es gibt dort einen freak, der es als Herausforderung ansieht.)
4) etwas tiefgehender. ich kenne die antville software nicht, daher weiß ich nicht, in wie weit man einen entsprechenden Modul bei der Anmeldung einbinden kann. Heute lässt sich die Anmeldung ja relativ leicht in Selenium automatisieren. (Wie die das mit dem Captcha hinkriegen, verstehe ich allerdings noch nicht.) Jetzt kann man aber nicht jede Web-Oberfläche mit Selenium ansprechen. Google verändert z.B. seine GUI-Elemente hinsichtlich der Adressierbarkeit regelmäßig. Ein Skript, welches jetzt läuft, scheitert vielleicht schon in zwei Stunden. Wenn der Anmeldemodus mit einem Abfragefeld verbunden ist, welches nicht so leicht automatisiert erforscht werden kann, dann könnte das auch eine große Hemmschwelle sein.
-
Bitte mir es nicht übelnehmen, wenn ich da besserwisserisch erscheine. Vielleicht haben Sie schon alles ausprobiert. Aber ich finde es entsetzlich, - auch hinsichtlich der Begrenzung auf 150 Einträge - dass oft alle Übersichtsseiten von SPAM blockiert sind.
-
Ich poste das auch bei mir, vielleicht haben andere Leute auch noch gute Einfälle.
Danke für Deine Denkarbeit!
Das Grundproblem, das sich stellt, ist aber, dass wir es neuen Bloggern so einfach wie möglich machen möchten, und keine generell verwirrenden oder abschreckenden Maßnahmen setzen möchten ("In 1-2-3 Klicks zum eigenen Weblog"). Um auf die einzelnen Punkte einzugehen:
-
Was die 1-2-3 Registrierung angeht, vergleiche ich das ein bisschen mit Fliegen. Vor 30 Jahren war das Fliegen ein Vergnügen, essen, trinken leichtes Einchecken.
Das Einchecken ist einfacher geworden, doch heute gibt es Sicherheitskontrollen, über die sich keiner mehr aufregt.
Ich sehe auch jetzt nicht so viele echte Neuankömmlinge. Die Frage ist, ob man das nicht entsprechend erklären kann. Aber diese Entscheidung muss ich glücklicherweise nicht treffen:)