XF2.2 SPAM-Management - wie geht ihr mit "blockierten Usern" um?

[Hoib3rgA]

Hy @otto und @Kirby

Nur? Die Bot-Registrierungen stören mich nicht die Bohne, die werden irgendwann wegen Inaktivität eh mit gegrillt. Ich will nicht das die Erfolg haben, daher sehe ich den Phrasen-Trigger als wichtig an und nicht als "nur".

das "nur" war nicht abwertend gedacht, sondern eher "einschränkend" auf eben nur die eine Funktion ... welche ich natürlich auch einsetze und schätze ;-)

Stop Forum Spam/ Tornevall / Project Honeypot / Akismet sind (da gemäß Einschätzung unseres Datenschutzbeauftragen fragwürdig bis unzulässig) nicht aktiv

das heisst, von einem Einsatz dieser Lösungen wäre (auf jeden Fall hier zu Lande) abzuraten?

Falls ja, wie geht ihr gegen die BOTs vor?

 

[otto]

Schutzmaßnahme gegen menschliches Versagen

Es kommt zwar zum Glück nicht oft vor, aber es kommt vor dass man sich versehentlich verklickt und da sind soft gelöschte Inhalte wesentlich schneller wiederhergestellt als endgültig gelöschte.

Daher hat bei uns auch niemand Berechtigungen endgültig zu löschen.

OK - ich war bei meinem Beispielforum von meiner Situation ausgegangen - hier löscht der Admin noch selbst. In einem Anderen Forum wo ich ebenfalls Admin bin es aber Mods gibt, können diese freilich nur soft löschen, aber ein 3-Köpfiges Admin-Team schaut da dann rüber und haut das dann ggf. endgültig raus oder würde es wieder herstellen - was jedoch seit 2002 nur ein einziges mal vor kam, vielleicht haben wir auch nur Glück mit unserem Mod-Team.

das "nur" war nicht abwertend gedacht, sondern eher "einschränkend" auf eben nur die eine Funktion ... welche ich natürlich auch einsetze und schätze ;-)

Ich wollte ja auch nur klar machen, es gibt nicht DIE Anti-Spam Funktion, sondern nur eine ganze Sammlung dieser die in Summe dann Wirkung zeigen.

Beispiel Doppelaccount Erkennung - für sich genommen, wenig ausrichtend, wenn man die Accounts rigoros löschen würde. Behält man sie eine Zeit X jedoch vor, ist die Wirkung gegeben. In Kombination mit weiteren Maßnahmen wird dann eine Runde Sache daraus, im Idealfall so, dass echte Nutzer möglichst gar nicht beeinträchtigt werden in ihrem Nutzungserlebnis.

 

[Hoib3rgA]

@otto welches AddOn für die Doppelaccounterkennung setzt du denn ein?
Ich habe das von AndyB (XF2 AddOns) installiert, aber bisher hat dies noch nicht einmal angeschlagen.

 

[Hoffi]

Kann, muss aber nicht. Setz mal n Wordpress auf, ein ganz frisches, junges unbekanntes. Ich garantiere, binnen 4 Wochen stehen die Bots und Passwort-Tester Schlange... Wichtig ist, sie möglichst nie erfolgreich sein zu lassen und wenn, dann in kürzester Zeit zu reagieren.

OK, ja. Aber das liegt an WordPress.

 

[Kirby]

was jedoch seit 2002 nur ein einziges mal vor kam, vielleicht haben wir auch nur Glück mit unserem Mod-Team.

1 Vorfall auf 2 Foren innerhalb von 20 Jahren = 0,025 Vorfälle pro Jahr und Forum

Viel mehr ist das (pro Forum) bei uns auch nicht, aber wir haben rund 80 Foren:
0,025 * 80 = 2 Vorfälle pro Jahr.

Das kommt hin - i.d.R. kommt das 2-3x/Jahr vor, also gleiche Größenordnung

 

[otto]

Aber das liegt an WordPress.

Wohl war, das scheint n Schild um den Hals zu tragen: Ihr Spamerlein kommet...

 

[Kirby]

das heisst, von einem Einsatz dieser Lösungen wäre (auf jeden Fall hier zu Lande) abzuraten?
Falls ja, wie geht ihr gegen die BOTs vor?

Ich bin kein Jurist, daher kann und darf ich dich nicht beraten was da zulässig wäre oder nicht.

Ich kann dir aber ein paar Links geben:
Akismet-Plugin rechtswidrig? | IITR
WordPress und die DSGVO - Welche Plugins und Tools sind erlaubt?
Antispam Bee statt Akismet – DSGVO-konforme Spam-Erkennung für WordPress
WordPress-Plugins und die DSGVO

Da geht es zwar durchweg nur um Akismet, das dürfte IMHO aber keinen Unterschied machen - die Daten (Benutzername, E-Mail, IP-Adresse) die übertragen werden sind die gleichen und gehen in die USA, der Nutzer hat keine Möglichkeit dieser Datenverarbeitung zuzustimmen (-> Art. 6 Abs. 1 lit a DSGVO) oder zumindest diese abzulehnen (-> Art. 6 Abs. 1 lit f DSGVO).

Änhliches für Google ReCaptcha:
Frage des Tages: Einwilligungspflicht für den „reCAPTCHA“-Dienst von Google?
Google reCaptcha und der Datenschutz

IMHO ist das aber nur die Spitze des Eisbergs, da ist noch viel mehr (Embeds wie YouTube, Twitter; die Giphy-Integration; Gravatar; der Location-Link zu Google Maps; der IP-Lookup-Link; Google Analytics; nicht essenzielle Cookies die XF setzt; nicht lokales jQuery; Emoji-CDN; externe Bilder; ...)

Wenn Du belastbare Aussagen haben möchtest:
Frag deinen Datenschutzbeauftragten (-> Art. 37 Abs. 1 lit b DSGVO)

Wie wir gegen Bots vorgehen:
Wir haben ein Add-on das ähnlich arbeitet wie ein E-Mail-Spamfilter, d.h. anhand verschiedener Kriterien Punkte vergibt - ab einem gewissen Punktlevel geht ein Account in Moderation, ist das Level noch höher wird er abgelehnt.
Zusätzlich haben wir in einigen Foren (aber nicht in allen) Spam-Phrasen im Einsatz.
Wir setzen (bei XF2) tlw. auch Google ReCaptcha ein wenn der User zustimmt, stimmt er nicht zu wird kein ReCaptcha geladen und der Account geht halt zur manuellen Prüfung in die Moderation (sofern nicht unser Spam-Filter-Regelwerk auf abgelehnt anschlägt).

 

[Hoib3rgA]

Wie wir gegen Bots vorgehen:
Wir haben ein Add-on das ähnlich arbeitet wie ein E-Mail-Spamfilter

ist das AddOn "öffentlich"? Oder ist es eine Eigenproduktion und kann nirgendwo geladen / erworben werden?

 

[otto]

Hier mal ein Klassiker:


Die IP ist aus Fernost - und vermutlich mit geklauten Daten erstellt.

Jop, ich hab wohl Recht:



Und tschüß...

 

[Kirby]

ist das AddOn "öffentlich"? Oder ist es eine Eigenproduktion und kann nirgendwo geladen / erworben werden?

Eigenentwicklung und funktioniert nur bei uns (insbesondere auch deshalb weil wir mit vielen Foren eine "recht große" Datenbasis haben aus der sich Regeln ableiten lassen)

 

[Hoib3rgA]

Wie schaut das bei euch denn aus?
Ich habe am 2.5. etwas bei der Registrierung umgestellt, seither ist "Ruhe"


Die Anmeldungen selbst sind in etwa gleich geblieben ...


Gruß Chris

 

[otto]

Hat jemand das im Einsatz: Signup abuse detection and blocking
DSGVO konform? Taugt es was?

 

[Kirby]

Hat jemand das im Einsatz: Signup abuse detection and blocking

Nein.

DSGVO konform?

IMHO & IANAL: Nein

• Device Fingerprint ohne Zustimmung des Users
• Weitergabe personenbezogener Daten (IP , E-Mail) an Dutzende externe Dienste (StopForumSpam, CloudFlare, Cymru, RIPE, apility.io) ohne Zustimmung des Users
• Multiple Accounts-Tracking per Cookie ohne Zustimmung des Users

Taugt es was?

Ja, dürfte ziemlich effizient sein.

 

[otto]

Ok, dann frage ich noch mal anders: Gibts was DSGVO konformes was wirkt?
(außer das der DSGVO-Mist an sich ja schon eine gewisse abschreckende Wirkung entfaltet... )

 

[Kirby]

Ok, dann frage ich noch mal anders: Gibts was DSGVO konformes was wirkt?

Sogar zwei Dinge, aber sie werden dir nicht gefallen ...

• Registierung abschalten
• Neue Benutzer moderieren

Beides wirkt bis 100 % (Registrierung abschalten), bedeutet aber hohen manuellen Aufwand.

Ansonsten ist der beste Ansatz:
Den Registierungsprozess/das Formular so verändern dass es einmalig ist, d.h. dass es keine andere Website gibt die genauso aufgebaut ist.
Und ich meine da jetzt nicht Frage + Antwort CAPTCHA, da sind zwar die Fragen + Antworten unterschiedlich, aber der Prozess ist immer noch identisch mit allen anderen XF.
Das dürfte ziemlich gut vor automatisiertem Spam schützen.

Eine andere Option wäre IMHO StopForumSpam "passiv" zu nutzen, d.h. nicht auf die API zuzugreifen (die es erfordert Daten der Registrierung weiterzugeben) sondern in regelmäßigen Abständen deren Datenbestand herunterzuladen und lokal abzugleichen.
Müsste man halt ein Add-on für bauen.

Stop Forum Spam

Zu guter letzt könnte man ein Add-on bauen welches einfach als Teil des Registrierungsformulars informiert und fragt ob eine einmalige Nutzung von StopForumSpam, etc. zu Spamschutzzwecken okay ist.
Wenn der User sagt ist okay werden die Tools genutzt, sagt er es ist nicht okay -> Account geht in Moderation und muss manuell geprüft werden

 

[otto]

Es ist halt nach wie vor nicht zweifelsfrei geregelt, in welchem Umfang man dynamische IPs wie lange nutzen darf, bzw. ist es eigentlich schon, nur die Grenzen sind zu unscharf formuliert.

Manuelle Prüfung erfordert am Ende auch wieder die IP über einen Dienst zu prüfen, wäre ja auch schon wieder Mist. Und StopForumSpam passiv zu nutzen wäre ein Stück weit (ohne dich persönlich angreifen zu wollen!) asozial. Ich gebe nichts, aber ich nutze was andere gegeben haben...

Oh man, in was für ner verquirlten Welt leben wir heute nur. SkyNET ist doch eh nicht aufzuhalten.

 

[Kirby]

Manuelle Prüfung erfordert am Ende auch wieder die IP über einen Dienst zu prüfen, wäre ja auch schon wieder Mist.

Wieso das?

Manuelle Prüfung hieße für mich:
Ich schaue mir ohne Nutzung weiterer Dienste die vorliegenden Daten an.
Bin ich nach Sichtung der Daten hinreichend sicher dass es kein Spam-Account ist schalte ich diesen frei:
Bin ich hingegen der Ansicht dass es mit hoher Wahrscheinlichkeit ein Spam-Account ist, dann lehne ich den Account ab.
Bin ich mir unschlüssig mache ich eines von beidem oder schreibe dem User dass ich weitere Daten prüfen möchte um zu entscheiden ob der Account freigeschaltet wird, dann liegt es beim User dies zuzulassen oder nicht.
Lässt er es nicht zu kannst Du halt keine Entscheidung treffen.

Eine manuelle Weitergabe der Daten also z.B. Eingabe der IP-Adresse bei SFS, etc. ist ja im Grunde nichts anderes als API-Nutzung, halt nur nicht automatisiert und für jeden (inwiefern das einen Unterschied macht müsste ein Jurist beurteilen).

Und StopForumSpam passiv zu nutzen wäre ein Stück weit (ohne dich persönlich angreifen zu wollen!) asozial. Ich gebe nichts, aber ich nutze was andere gegeben haben...

Kann man sicherlich so sehen, andererseits werden die Daten ja explizit zum Download angeboten, ist also nichts was man "hintenherum" machen würde

 

[Teralios]

Kann man sicherlich so sehen, andererseits werden die Daten ja explizit zum Download angeboten, ist also nichts was man "hintenherum" machen würde

Zu mal das gerade in PHP durchaus auch die "performantere" Alternative ist. Ein paar Daten in der Datenbank speichern und mit den richtigen Indizies gegenprüfen geht schneller, als das über eine API abzurufen.

 

[Kirby]

Zu mal das gerade in PHP durchaus auch die "performantere" Alternative ist. Ein paar Daten in der Datenbank speichern und mit den richtigen Indizies gegenprüfen geht schneller, als das über eine API abzurufen.

Ja. Und "at Sacle" ist es auch weniger belastend für die StopForumSpam-Infrastrukttur.
Wenn da ein großes Forum viele (Bot) Registrierungsanfragen pro Tag kriegt sind 1-24 Downloads/Tag weniger belastend als vielleicht hunderte API Calls.

 

[otto]

Ich schaue mir ohne Nutzung weiterer Dienste die vorliegenden Daten an.
Bin ich nach Sichtung der Daten hinreichend sicher dass es kein Spam-Account ist schalte ich diesen frei:

Ok, was hab ich denn ohne IP und ohne sonstige Daten?

• Benutzername
• Email

Damit kannst du ohne Gegenprüfung (z.B. StopForumSpam) leider bei leibe nicht mehr sicher entscheiden ob es ein Spamer ist oder ein richtiger Nutzer. Ich hatte schon zur Genüge Spamer mit Benutzernamen wie "Gerd" oder "Isolde" und augenscheinlich deutscher Email (vermutlich gehackt oder eben irgendwie hier registriert) wo jedoch IP und auch andere Dienste den Account klar als Spamer identifizierten.
Daher : wie willst du ausschließlich anhand Benutzername und Email sehen, ob es ein Spamer ist oder nicht?

Bin ich mir unschlüssig mache ich eines von beidem oder schreibe dem User dass ich weitere Daten prüfen möchte um zu entscheiden ob der Account freigeschaltet wird, dann liegt es beim User dies zuzulassen oder nicht.
Lässt er es nicht zu kannst Du halt keine Entscheidung treffen.

Das kannst du in Hobby-Foren quasi vergessen...

• es gibt keinen der die Zeit dafür hat
• die meisten neuen Benutzer haben keinen Bock z.B. 24h zu warten ob sie denn mal freigeschalten werden
• das fragen nach weiteren Daten... nach welchen denn? Und was sagt dazu die DSGVO dann wieder?

Kann man sicherlich so sehen, andererseits werden die Daten ja explizit zum Download angeboten, ist also nichts was man "hintenherum" machen würde

Ich sag ja nicht es sei illegal (hinten rum) ich sag es konkreter: ich seh es als moralisch verwerflich und doppelzüngig an solche Dienste manuell zu nutzen aber gleichzeitig die automatische Nutzung zu verteufeln UND gleichzeitig im Endeffekt nichts dazu beizutragen.

Kann ja sein, das es daran liegt dass ich diesbezüglich anders aufgewachsen und erzogen wurde, aber ich könnte das so halt nicht machen. Scheint heut aber immer gesellschaftsfähiger zu werden es genau so zu machen. Nutzen aus allem ziehen und möglichst wenig bis nichts dafür tun/zahlen müssen. Auch das, eher allgemeine Kritik.

Ja. Und "at Sacle" ist es auch weniger belastend für die StopForumSpam-Infrastrukttur.
Wenn da ein großes Forum viele (Bot) Registrierungsanfragen pro Tag kriegt sind 1-24 Downloads/Tag weniger belastend als vielleicht hunderte API Calls.

Du hast den "Zwinker-Smilie" vergessen, oder? Ich hoffe ernsthaft, dass das nicht ein ernstgemeintes Argument zwecks Rechtfertigung sein sollte.


Offenbar sind wir als Forenbetreiber auf solche externen Dienste in irgendeiner Form angewiesen, aber gleichzeitig tun einige so als würde as System dahinter funktionieren wenn wir alle nur noch nehmen würden, statt auch etwas dazu beizutragen. Muss ich nicht gut finden, und finde ich auch nicht gut.