Skal det ta et døgn å bli bruker på utfor.com?

Jeg vil gjerne by på noen deler på utfor.com, men får ikke logget meg inn. Feilmeldingen sier at jeg må vente på godkjennelse fra admin. Skal dette ta et døgn?

Får vel vinke farvel til de delene gitt...

Alle brukere på Utfor.com må manuelt godkjennes av admin (Erik), de har vært fælt plaget av spambots der. Dette KAN gå kjapt, eller et par dager. Du får smøre deg med tålmodighet, og håpe på at delene ikke ryker ut.

Ok, skjønner. Får håpe det ikke går for fort i svingene og delene går...

Er ikke ønskelig fra oss i utfor.com at vi må gjøre det på denne måten. Men hver uke er det rundt 50 spambots som registrerer seg, disse vil vi ikke ha i forumet.

Du og resten av brukerne som hadde registrert seg nå er godkjent.

Eirik

Det har jeg full forståelse for. Takk for at jeg ble funnet verdig, jeg lover å ikke spamme for mye ;-)

Litt OT, men hvorfor har dere ikke lagt inn noen form for captcha på registreringen på utfor-forumet? Det er snakk om en snau time med PHP-scripting for å stoppe alle spambot'er nærmest en gang for alle (eller i hvertfall inntil noen setter seg ned og lager en spambot dedikert til å lage falske brukere på utfor)...

CAPTHCA bilder sitter det flere tusen mennesker verden over og løser for spammerne hver dag. Hvordan?
Spammerne har satt opp gratis pornoservere, der man kun trenger å skrive inn "løsningen" på en CAPTCHA for å få tilgang. Hvor er disse CAPTCHAene hentet fra? Fra hjemmesider som benytter CAPTCHA for registrering.

På denne måten får spammere en database på "hva er løsningen til hvilket bilde", som de laster inn i en server. Når en spam bot skal registrere seg på en server, så sender den CAPTCHAen den for som challenge inn til denne serveren, og hvis den er registrert - så får den svaret tilbake i løpet av få sekunder.

Det er til og med laget trojanere for dette arbeidet:

http://www.eweek.com/c/a/Security/Striptease-Used-to-Recruit-Help-in-Cracking-Sites/

Genialt.

Social enginering er og blir hackermetode #1.

Absolutt.
Og det er det få bedrifter som tar innover seg.
De fleste har et veldig sunt forhold til sikring av servere, server applikasjoner osv. Men klientsikkerheten, hva klienter får besøke på internett og hente ned etc er det fortsatt mange som ikke forstår viktigheten av.

Og det er jo gjerne klientene i et nettverk som har den enkleste tilgangen til sensitiv informasjon (pluss at man får kredittkort, påloggingsinfo og annen snacks på kjøpet). Så de fleste hackere i dag forsøker først og fremst å lure brukere til utføre handlinger slik at man får lagt inn sin malware på deres maskiner.

Da er det dårlige Captcha-systemer. Metoden du beskriver vil for det første ikke fungere mot systemet jeg har laget - mitt bruker flyktige engangskoder, en enkel refresh, så er akkurat den kombinasjonen av kode og løsning slettet fra databasen, og en ny tilfeldig generert dukker opp.

For det andre krever det at noen setter opp ett slikt system for å høste inn løsninger fra akkurat din side. Er forumet på utfor.com stort nok til at en script kid gidder å sette opp ett dedikert system rettet kun mot å opprette flest mulig falske brukere (som uansett må valideres via e-post) på utfor.com?

Jeg tør vedde på at jeg skulle klart å stoppe spam-plagen på utfor.com. Tør du vedde mot?

Var det ikke hotmail og googles sine Captcha-systemer som ble cracket,og derfor mange problemer i det siste?

Captcha-systemer blir vel sikkert mer sofistikerte fremover, før noen cracker det også..(evig kamp på internett)

Spam er no dritt, med mindre det er denne det er snakk om(en liten klassiker) ..

Veddemålet taper jeg nok. Har flere SMF funksjoner som er bedre til å sortere ut spambots/uønskede brukere. Disse funksjonene skulle jeg gjerne ha hatt i forumet, men nå er serveren hos Fri Flyt og det er deres tekniskansvalige som tar seg av slikt, skal gjøres, men tar dessverre tid.

En annen grunn til at vi må ha det såpass manuelt er noen enkelte som bare skal lage faen. Når vi hadde åpen registrering var det en bruker som gikk inn for å ødelegge forumet ved å spamme overalt. Når denne brukeren ble bannlyst lagde han seg en ny. Og sånn fortsatte det.

Jøss! Man lærer så lenge man lever!

Men sliter terrengsykkel.no med spammingen ang utfor.com?
jeg syntes at det er rart at utfor.com er så utsatt, mens terrengsykkel.no
er "lettere" å regstistere seg. Kommer det av dotcom-adressen?

Men hvordan/hva faen skal spam-folka med en slik brukerkonto hos utfor.com?

ventle: Jeg er skeptisk.(!)
Har du noen beskyttelse mot OCR-programvare? Det er lett å progge random bokstaver/tall i et bilde, og å generere tusenvise tilfeldige bilder, det vanskelige er å få tilstrekkelige diffuse resultater. Og hvordan skal du beskytte deg fra (fri)villige pornosurfere?

Det er ihvertfall slikt jeg har lest meg frem til hos wikipedia. Prøv å overbevis meg! ;-)

Det enkleste løsningen er kanskje å begrense antall connection fra et sted (=spammingstedet) og så blokkere IP adressen hvis de lager flere enn to-tre brukerkontoer?

Vil da spammere lære av den feilen, så de vil omgå den ved
å bare lage EN brukekonto.... :-(
Nei, dette er noe som jeg må analyseres og studere for å forstå oppførselen før jeg kan si noe mer:
http://www.projecthoneypot.org/
http://en.wikipedia.org/wiki/Honeypot_(computing)
http://www.rustylime.com/show_article.php?id=676
http://blog.wired.com/27bstroke6/2007/04/project_honey_p.html

His du stikker fingeren i jorda, så tror jeg du antagelig kan tenke deg at de fleste hjemmesider som benytter CAPTCHA, laster ned en ferdig løsning for dette og installerer.

utfor.com, som flere hundre tusen andre hjemmesider på internett, har ikke tid eller ressurser til å skaffe en utvikler til å lage sin egen CAPTCHA løsning. Og de som ligger der ute er sårbare for dette...for da går de samme bildene igjen på forskjellige sider. Så databasen blir gyldig for mange sites.

De nye løsningene som erstatter CAPTCHA derimot, ser lovende ut. F.eks. ASSIRA fra Microsoft. Helt genial idè:

http://research.microsoft.com/en-us/um/redmond/projects/asirra/

Er det meg du vil vedde med? Og da tror jeg du har lyst til å definere spam først ;-) utfor.com har mange former for spam...

Nei, men som sagt, for at dette skal være ett problem, må spammerne sette opp en løsning som er utviklet spesielt for å ta knekken på nettopp utfor.com. Akkurat nå tipper jeg det er bot'er som vet hvordan registreringsskjemaet i SMF ser ut (eller fyller inn random informasjon som tilfeldigvis passer). Hotmail.com er såpass stort at det faktisk har noe for seg å lage en bot som knekker hindrene deres - jeg tviler på at spammerne gidder å sette seg ned for å ta utfor.com, SÅ stor er siden tross alt ikke.

Edit - rettelse, jeg har faktisk også en løsning som selv OCR-programmer vil slite med. Her er det HTML-kode, og ikke bilder, som brukes for å vise koden. Fargene i bildet er også tilfeldig generert, og man kan fort utvide koden til å generere tilfeldige lyse flekker i de mørke feltene som danner skriften.



Det er riktig, men av grunner som nevnt over, har jeg ikke hatt behov for å lage diffuse bilder i det hele tatt, fordi spammerne ikke gidder å lage en spesiell bot for å ta knekken på små sider.



Som nevnt i forrige post, kodene jeg bruker fungerer kun en gang, og er borte igjen bare ved en enkelt refresh (for sikkerhets skyld er alle koder bare gyldige en viss tid etter de ble generert, for eksempel 15 eller 20 minutter). I tillegg, også her er man avhengig at spammeren kjører i gang dette innhøstingsapparatet kun for å ta din side, fordi captcha-løsningen er unik og det dermed ikke går an å benytte samme bot for å høste inn fra en haug sider.

Man kan ta det ett steg videre, og knytte hver kode/løsning til PHP_SESSID, slik at koden er ubrukelig hvis ikke løsningen skrives inn under samme sesjon som koden ble generert.

En langt enklere måte, som vil være ganske sikker på en mindre side som er ganske uinterresant for spammere, er å stille et enkelt kontrollspørsmål (gjerne tilfeldig generert fra en liste over slike spørsmål). Jeg var her om dagen innom en side som spurte "hva er 8+2?", og skrev inn "10" og fikk dermed adgang. En automatisk bot vil ikke forstå dette hvis den ikke er programmert spesielt for det, og nok en gang, jeg tviler på at utfor.com er store nok til at det er interresant.

En ny ide som jeg har tenkt å prøve ut snart, er å generere tilfeldige feltnavn, skjemanavn og til og med tilfeldig target-adresse i skjemaet som skal fylles ut, og så legge inn ett skjult spor (usynlig for både bruker og evt. bot) som gjør at scriptet skjønner hvilket felt som inneholder hvilken informasjon. For å ta det enda ett steg videre kan man mikse rekkefølgen på feltene, slik at bot'ene selv ved å lese HTML-koden vil ha problemer med å komme rundt dette hinderet.



Jeg har faktisk hatt en lignende løsning oppe og gå, og den ble egentlig ikke den helt store suksessen. Husker ikke helt i farten hvordan jeg gjorde det, men det var en funksjon som fort avslørte at det var en bot inne i bildet, og dermed ble IP-adressen blokkert umiddelbart. Det hadde omtrent ingen effekt på mengden spam, flere tusen IP-er ble blokkert i løpet av kort tid, men spammerne skiftet IP hele tiden, og lot seg ikke engang bremse av det. Jeg har tro på at du blokkerer flere "lovlige" enn uønskede brukere med en slik funksjon.

Eirik, tilbakevendende troll bør man kunne klare å stoppe ved å først blokkere e-postadresse (validering via e-post er en forutsetning) og så evt. IP-adresse hvis trollet viser seg å ha en haug gyldige e-postadresser (IP-blokkering er dessverre en mindre effektiv løsning da det ikke er alt for vanskelig å bytte den.

Som tidligere administrator av utfor.com, kan jeg fortelle at softwaren som benyttes tilbyr mange slike funksjoner, og disse ble også brukt i stor utstrekning.

Men trollene følte da egentlig at det ble en utfordring der de ville lure systemet, og skaffet seg enorme lister over åpne internett proxyer, registrerte et stort antall epostkontoer og begynte å gå inn på forumet via skolene sine...som gjorde at vi sperret hele skoler.

Det med skoler ble derimot en fordel, for da skjønte veldig mange andre medlemmer hvem som skapte krøll...og real life justice kunne trå i kraft.

Et kort blikk på kost/nytte derimot, gjorde at man fort så at manuel godkjenning var det enkleste. :-)

Hva slags e-postadresser brukte de? Ville det hatt noen nytte å blokkere hele e-postdomener, for eksempel ingen e-postadresser som sluttet på @sau.com ville blitt godtatt?

De brukte tid på å registrere flere hotmail kontoer. Men dette er 2-3 år siden. Er ikke administrator mer nå, og vet ikke hva status på slike troll er i dag.

Framleis problem med å verte godkjent på utfor.com?
Eg registrerte med på laurdag; framleis ikkje godkjent.

Nokon her som har direktelinje til godkjenningsansvarlig..? (Eg har sendt PM til EirikE, men ser ikkje ut til at han er så aktiv her for tida..)

EG har ventet 3 uker nå på godkjenning. KLAGER !

Såså! Det er ikke noen menneskerett å bli raskt ekspedert på utfor.com - det kan jo hende at de stakkars kara som admer der er på ferie

Alle kanke ha ferie samtidig skjønner'u:)