Trackback-Spam

Update: Es ist nun eine Deluxe-Version der Deluxe-Version im Einsatz. 😀

Nun taucht auch die Trackback-URL nicht mehr in Quelltext auf, Olaf hat mir die Lösung rübergebeamt. Danke. :)

Nicht nur hier hatte ich schon das Thema Trackback-Spam angesprochen. Wir hatten, um dem vorzubeugen, die Permalinkstruktur geändert. Problem: Sobald die Crawler anfangen, die Trackback-URL direkt zu scannen, und nicht nur die Artikel-URL und bekannte Trackback-Möglichkeiten einfach anhängen, wäre die Lösung sinnlos. Und so musste ein zusätzlicher Schutz her. Der ist nun gegeben.

Nehmen wir als Beispiel mal den Jenny Gillespie-Artikel. Die Trackback-URL ist nicht mehr direkt verlinkt, ein Anker wurde gesetzt, unten links in der Sidebar haben wir nun einen neuen Punkt — Trackback. Dort gibt es nun eine Verlinkung — Trackback-URL anzeigen lassen (Javascript on). Wenn diese nun geklickt wird, klappt ein Feld auf — mit der Trackback-URL.

fixmbr.de

Kleiner Nachteil: Javascript muss angeschaltet sein, damit kann ich aber leben. Damit gehört Trackback-Spam der Vergangenheit an. :)

… hoffe ich zumindest … 😉

Wie wurde es realisiert?

In der sidebar.php wurde folgender Code eingefügt:

<script type="text/javascript">
//<![CDATA[
function trackback_spam() {
parentelem = document.getElementById("whateveryouwant");
if (document.getElementById("tb_fixmbr")) { remove_spam(); }
var innerelement = document.createElement("textarea");
innerelement.setAttribute("readonly","readonly");
innerelement.setAttribute("id","tb_fixmbr");
innerelement.setAttribute("onclick","this.form.tb_fixmbr.select(); this.form.tb_fixmbr.focus();");
elementtext = document.createTextNode('<?php echo get_permalink() ?>tb_fixmbr/');
innerelement.appendChild(elementtext);
parentelem.appendChild(innerelement);
}

function remove_spam() {
var d = document.getElementById("whateveryouwant");
var fixmbr = document.getElementById("tb_fixmbr");
d.removeChild(fixmbr);
}
//]]>
</script>

Die Verlinkung zum Aufklappen wie folgt:

<ul>
<h1 id="tb_fixmbr">Trackback</h1>
<li id="side_zeilen180"><a class="master" href="javascript:trackback_spam();" mce_href="javascript:trackback_spam();">Trackback-URL anzeigen lassen (Javascript on)</a>
<form action="#" id="whateveryouwant">
</form>
</li>
</ul>

Somit ist alles wunderbar. :)

, ,

15 Antworten zu “Trackback-Spam”

  1. Chris sagt:

    Mit Hilfe von Carsten läuft nun die Deluxe-Variante. :)

    Ein Formularfeld, beim einfachen Klick — wie z. B. bei YouTube — wird gleich die kpl. URL markiert.

    Danke. :)

  2. Dr.Thodt sagt:

    Noch was, beim IE (aber leider auch nur da!) wird die URL beim anklicken auch automatisch in die Zwischenablage kopiert. 😉 Sei denn, der Chris hat das Feature wieder entfernt *fg*

  3. Chris sagt:

    Nö, hab ich nicht. 😀

  4. korvin sagt:

    Man könnte anstelle von JS zu benutzen, eine Grafik erzeugen, die die URL beinhaltet. Finde ich schöner, als JS zu usen, ist aber eine Geschmacksfrage.….

  5. Anderer Gregor sagt:

    Aeh … kann mir mal wer erklaeren, wieso das vor Spammern schuetzen soll? «hidden» ist eine CSS-Eigenschaft, d.h. alles, was kein CSS unterstuetzt (also alles, was direkt auf dem HTML-Quellcode arbeitet, wie wohl die meisten Spambots) bekommt den Link direkt und ohne jedes Javascript zu sehen. Was man ueberigens leicht mit «lynx» und Co ueberpruefen kann.
    Also schuetzt dieser «Schutz» genau davor, dass Nicht-Spammer den Link sehen …

  6. Chris sagt:

    Dummes Zeuch Gregor. Du hast schon auch den verlinkten Artikel gelesen, ja? Wenn nicht, gleich bitte wieder weitergehen. Den habe ich nicht zum Spaß verlinkt.

    In Verbindung mit der Änderung des Permalinks der Trackback-URL ist es der wirksamste Spamschutz gegen TB-Spam überhaupt.

    Hinter dem Wort Trackback ist (auch im Quelltext) nun nicht mehr die betreffende URL verlinkt — die TB-URL taucht jetzt im Quelltext wie zig andere — ohne jeglichen Bezug — auf.

    Heißt: Sie kann nicht mehr automatisch ausgelesen werden. Demnächst bitte auch die Verlinkungen lesen, welche Maßnahmen bereits getroffen wurden — in dem Artikel hatte ich nämlich eine weitere Maßnahme angekündigt, diese hier.

    Danke.

  7. Dr.Thodt sagt:

    Die URL als Grafik anzeigen zu lassen ginge sicher auch. Hat aber den entscheidenen Nachteil, dass sich eine solche nicht mehr markieren/kopieren lässt. Ergo wäre da jedes mal Handarbeit angesagt. Ausserdem ist GD auch nicht jedermanns Sache.

  8. Chris sagt:

    Es gibt schon ne neue Lösung, ich schreib da gleich oben was zu… :)

  9. Dr.Thodt sagt:

    Ich hab langsam den Eindruck Spambekämpfung ist eher ein Prozess als das es dafür eine Lösung gibt…

  10. Oliver sagt:

    Ein endloser Kampf ohne wirkliche Gewinner.

  11. Chris sagt:

    Sehe ich geringfügig anders, oder hast Du in der letzten Woche hier TB-Spam gelöscht?

  12. Oliver sagt:

    Temporäre Gewinne imo, ich betrachte es insgesamt über die Jahre und nicht über einen Monat beispielsweise.
    Die Leute legen ebenso zu und es ist auch nur eine Frage der Zeit — sie mögen zwar blöd in ihren Absichten sein, aber haben ein gewaltiges knowhow, imo wäre es auch genauso seltsam zu sagen meine heute erstellte Software wäre 100% sicher für alle Zeiten. Wobei Zeit im Inet kein wirklicher Begriff ist und hält lange oft nur Stunden bedeuten kann.
    Man muß es eben relativ sehen, der Spam von gestern läßt uns auch nur müde lächeln, der Spam von morgen läßt manche vielleicht verzweifeln.
    Geht ein Monat gut, dann trifft eine Flut von neuerlicher Spam ein — wie? Gute Frage, jenseits unseren knowhows, ergo wird wieder gekonnt gebastelt, man gewinnt wieder … auf Zeit.

  13. Chris sagt:

    Sie sind nicht nur nicht blöd, es sind üble Abzocker, die zudem richtig Kohle mit der Shayze machen.

    Und ich lerne ein wenig dabei, Javascript und son Gedöns. 😀

    Ansonsten bekommen Leute mehrere Tausend Spam-Kommentare pro Tag, da kann man bei uns doch schon von Erfolg sprechen. Da kommt zur Zeit im Schnitt nichtmal einer.

    Sönst könnte ich das auch alles sein lassen, Aksimet installieren — und gut. 😉

  14. Anderer Gregor sagt:

    Okay, mein «Dummes Zeuch» bezog sich anscheinend auf die Vorgehensweise vor dem Update. Jetzt scheint die TB-URL tatsaechlich nicht mehr direkt hinter dem Wort «TRACKBACK» zu finden zu sein. So lange also nicht genug andere Blogs das Gleiche machen, wodurch es sich fuer die vermaledeiten Spammer lohnt, sich diesen Security-By-Obscurity-Ansatz mal genauer anzusehen, solltest Du jetzt wieder ein Weilchen Ruhe haben.

    Allerdings ist es auf Dauer vielleicht etwas kontraproduktiv, die Nutzung von Trackback-Links zu sehr zu erschweren … das foerdert nur die Motivation, stattdessen einfach die normale URL zu kopieren (mal ernsthaft: Wer wuerde da z.B. ein Bild abtippen, wenns auch ein Copy&Paste der Browserzeile tut — zumindest aus der eigenen Sicht?)

    Zumal es ja ohnehin nur so lange eine gute Idee ist, Blogs mit eingeschaltetem JS zu lesen, bis es der naechste Kommentar mit XSS durch die Bloggingsoftware geschafft hat …

  15. Chris sagt:

    Gregor, ich weiß ja nicht, ob Du blind bist oder nicht lesen kannst, aber

    Jetzt scheint die TB-URL tatsaechlich nicht mehr direkt hinter dem Wort ?TRACKBACK? zu finden zu sein.

    Genau das war vorher auch schon der Fall — nur jetzt in der von mir genannten «Deluxe-Version» taucht die TB-URL überhaupt nicht mehr im Quelltext auf. Davor, und das sollte die von Dir oben kritisierte Maßnahme erreichen, war es schon so, dass die TB-URL nicht mehr hinter dem Wort Trackback hinterlegt war.

    Allerdings ist es auf Dauer vielleicht etwas kontraproduktiv,

    Aha, man soll die Verbrecher also machen lassen, scheiß drauf, weil, wenn man sich wehrt, wissen sie sich wiederum zu wehren — sorry, aber was ist das denn für eine Argumentation.

    das foerdert nur die Motivation, stattdessen einfach die normale URL zu kopieren

    Und, wo ist das Problem, so mache ich es auch, in 95% der Fälle bei allen Verlinkungen usus — schon mal was von Pingback gehört?

    Zumal es ja ohnehin nur so lange eine gute Idee ist, Blogs mit eingeschaltetem JS zu lesen, bis es der naechste Kommentar mit XSS durch die Bloggingsoftware geschafft hat ?

    Man, man, man, was hat jetzt der erste Satz mit dem zweiten zu tun? Rein gar nichts.

    Der erste Satz spielt darauf an, mit oder ohne JS zu surfen, der zweite spielt darauf an, dass nun eine Sicherheitslücke hier in der Blogosftware aufgetan wurde.

    Zwei Sachen, die nichts, aber auch gar nichts miteinander zu tun haben. Auch die Comment-Preview ist z. B. JS, andere Sachen ebenso.

    Mit der einen oder anderen Lösung bin ich auch nicht 100%-ig zufrieden, aber sie erfüllen ihren Zweck, um mehr gehts nicht.

    Lieber Gregor: Wenn man sich zu Wort meldet, sollte man sich besser auskennen, und seien es nur die Begebenheiten vor Ort.

    Ich möchte nochmal Carsten und Olaf danken. Ich danke Euch für die freundliche und zuvorkommende Hilfe.

    Die Comments sind hier nun aber dicht.

RSS-Feed abonnieren