Abo
  1. Foren
  2. Kommentare
  3. Politik/Recht
  4. Alle Kommentare zum Artikel
  5. › Bundestagswahl 2017: Viagra…

und was sagen die Piraten?

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. und was sagen die Piraten?

    Autor: Füchslein 21.09.17 - 13:13

    die müssten das doch können, oder?

  2. Re: und was sagen die Piraten?

    Autor: phade 21.09.17 - 13:39

    Wordpress mit Zwangs-https-Umleitung ist ja schonmal was. Offensichtlich ein Serverhousing mit dedizierter IP.

    https://www.piratenpartei.de/wp-login.php
    ist zwar frei erreichbar, aber durch ein WP Security-Plugin geschuetzt. Nach ein paar Versuchen wurde meine IP gleich brav gesperrt.

    Unter https://www.piratenpartei.de/liesmich.html gibt es "nuetzliche" Infos. Zumindest nach dem Text (aus dem vorbildlich die Versionnummer entfernt wurde) ist WP demnach eine aktuelle 4.7.xer Version (der Rest des Textes ist aber gleich).

    Offensichtlich schonmal technisch wesentlich besser als bei den anderen Parteien.

    liesmich.html, readme.html und license.txt koennte man vielleicht noch per htaccess verbieten.

  3. Re: und was sagen die Piraten?

    Autor: KuJo 21.09.17 - 14:53

    Füchslein schrieb:
    --------------------------------------------------------------------------------
    > die müssten das doch können, oder?

    Da wurden wahrscheinlich keine Schwachstellen gefunden ... also nicht berichtenswert.

  4. Re: und was sagen die Piraten?

    Autor: nachgefragt 22.09.17 - 11:12

    Die robots.txt könnte auch ein paar mehr Regeln z.B. gegen BadBots haben.
    Alle eMail-Adressen sind nicht "obfuscated", wurden also vermutlich schon gespidert und werden nicht mehr von Spam verschont bleiben.



    1 mal bearbeitet, zuletzt am 22.09.17 11:13 durch nachgefragt.

  5. Re: und was sagen die Piraten?

    Autor: phade 22.09.17 - 11:37

    badbots ignorieren zumeist auch die robots.txt, macht kaum Sinn, die zu pflegen.
    Im Gegenteil: man weist die "Bösen" gleich noch auf interressante Verzeichniss hin.

    badbots lassen sich besser mit z.B. fail2ban blockieren.

    eMailsearchbots sind zumeist auch schon intelligenter als man vermutet. Security by Obscurity hilft da kaum noch.
    Sinnvolle Antispamlösungen helfen da deutlich mehr.

  6. Re: und was sagen die Piraten?

    Autor: xwolf 22.09.17 - 11:58

    Die Mailadressen werden auf der zentralen Piraten-Website in voller Absicht *nicht* verkrüppelt. Wenn das ein Autor doch mal auf irgendeiner Seite tut, bekommt er recht schnell eine virtuelle Schelle vom aktuellen Beauftragten der Website :))
    Man kann sicher sein, daß alle üblichen "Tricks" längst von den Spam-Spidern beherrscht werden. Die einzigen, die unter solch ein Mist leiden, sind normale Menschen, die eine Mailadresse in einem eigenen Mailclient kopieren wollen.

    Und über sicher Obscurity von Mailadressen mit einem üblichen Format (weil Menschen müssen sich die Mailadressen ja auch merken können) vorname.nachname@domain oder bekannter-googlebarer-nickname@domain brauchen wir nicht mehr reden :)

  7. Re: und was sagen die Piraten?

    Autor: nachgefragt 22.09.17 - 12:04

    Naja es lässt sich schon sehr viel über die robots.txt abfangen. Fail2Ban fruchtet ja auch erst nachdem der Bot das erste Mal da war. Da ist es dann manchmal auch schon zu spät.
    Beides macht schon Sinn.



    1 mal bearbeitet, zuletzt am 22.09.17 12:05 durch nachgefragt.

  8. Re: und was sagen die Piraten?

    Autor: phade 22.09.17 - 12:06

    Nicht wenn man eine grössere Anzahl von Servern mit unterschiedlichen Inhalten zur Verfügung hat und die Bösen dann für alle Server sperrt.

  9. Re: und was sagen die Piraten?

    Autor: nachgefragt 22.09.17 - 12:09

    Ich bin nicht sicher ob wir von der selben Sache Reden.

    So sieht das Ergebniss aus wenn man einen Honeypot dazu aufstellt.


    Ein Verweis auf Bots die zb mit JS unkenntlich gemachte email-Adressen mit hoher Erfolgsrate wieder lesbar macht würde mich schon interessieren, wenn du da was hast.



    1 mal bearbeitet, zuletzt am 22.09.17 12:14 durch nachgefragt.

  10. Re: und was sagen die Piraten?

    Autor: xwolf 22.09.17 - 12:11

    In der Tat hat Hanno auch die Piraten-Websites getestet. Ich weiß nicht wieviele und welche das insgesamt waren, aber bei der Bundeswebsite wurde kein Fehler entdeckt.

    Bei 3 Seiten von 2 KVs und einem Kandidaten, die nicht "zentral" und auch nicht von Agenturen sondern von Ehrenämtlern privat gehostet werden, hat Hanno uns über veraltete CMS-Versionen informiert. Bei ein paar Hundert Websites finde ich das gar nicht mal so schlecht.

    Macht den Fail für die anderen Parteien aber größer: Piraten mit Ehrenämtler, die nebenher die Websites betreiben, machen es besser als Parteien, die dafür Agenturen beauftragten und fest angestelltes Personal haben.

    Viagra wurde bei Piraten nicht gefunden. Wäre auch von der Zielgruppe verfehlt .
    Kann aber sein, daß auf ein paar Seiten Rezepte für Vogelfutter (Hanf) zu finden sind :)

  11. Re: und was sagen die Piraten?

    Autor: nachgefragt 22.09.17 - 12:12

    Dann hat halt nur der zu erst besucht Server die Arschkarte... klasse.
    Ich sag ja nur das Fail2Ban auch keine Wundersalbe ist, nicht das es nicht nützlich ist.

    Ob sie Fail2Ban am laufen haben, können wir aber gar nicht sehen und wird vll sogar schon genutzt. Das die robots.txt aber so ziemlich alles zulässt ist allerdings eindeutig erkennbar und nicht sonderlich ratsam.



    2 mal bearbeitet, zuletzt am 22.09.17 12:13 durch nachgefragt.

  12. Re: und was sagen die Piraten?

    Autor: tha_specializt 22.09.17 - 12:14

    xwolf schrieb:
    --------------------------------------------------------------------------------
    > Die Mailadressen werden auf der zentralen Piraten-Website in voller Absicht
    > *nicht* verkrüppelt.

    Und somit wird mit voller Absicht Inkompetenz bewiesen

    > Man kann sicher sein, daß alle üblichen "Tricks" längst von den
    > Spam-Spidern beherrscht werden.

    Man kann sicher sein dass das kompletter Unfug ist - ich möchte mal gerne einen bot/spider sehen der ein fragmentiertes, mit zufälligen Mustern durchzogenes BILD korrekt interpretieren kann dessen Anzeige durch ein reCaptcha geschützt ist - das kostet einiges an Rechenzeit UND die manuelle Eingabe des captchas.

    >Die einzigen, die unter solch ein Mist leiden, sind normale Menschen,

    Wenn du unter dem Anklicken eines reCaptcha "leidest" dann ... wäre es evtl. besser, den Rechner zu verkaufen und sich wieder dem Fernseher und dem Musikantenstadl zu widmen.

    > die eine Mailadresse in einem eigenen Mailclient kopieren wollen.

    Da muss nix kopiert werden, ein sauber erstelltes E-Mail Adressen - Sicherungssystem öffnet den lokalen mail-client mit der korrekt vorausgefüllten Adresse mit einem einzigen Mausklick ... und zwar nach dem Lösen des reCaptcha.

    > Und über sicher Obscurity von Mailadressen mit einem üblichen Format (weil
    > Menschen müssen sich die Mailadressen ja auch merken können)

    Du merkst dir Adressen statt deine Adressenliste deines mailclients zu nutzen? Tja, das Internet ist nichts für dich.

    > vorname.nachname@domain oder bekannter-googlebarer-nickname@domain brauchen
    > wir nicht mehr reden :)

    .... Was? Soll dieser Satz irgendeinen Sinn ergeben?

  13. Re: und was sagen die Piraten?

    Autor: xwolf 22.09.17 - 12:51

    Jupp, das kann man so testen.
    Aber leider zeigt dieser Test eben nicht, wieviele Menschen z.B. mit Screenreader dir in solchen Fällen keine Mails mehr senden können, weil deren Clients diese nicht mehr korrekt interpretieren kann.

    Schau mal auf eine andere Statistik: Deine Website wird am Tag von wievielen Bots besucht (von denen du mal die der großen Suchmaschinen abziehst)?
    Und von wievielen Menschen?
    ca 5% der Menschen haben gesundheitliche/körperliche Einschränkungen, die sie zwingt Screenreader zu verwenden. Das ist aber nicht alles: Weitere Menschen haben entweder Situationsbedingt oder auch aufgrund von körperlichen Einschränkungen keine Maus oder können diese nicht bedienen.

    Kurzum: Wenn ich daher Verfahren wie Captcha verwende, schließe ganz sicher ich Menschen von der Bedienung aus (und bitte nicht das Argument "kontern" indem man auf die Vorlesefunktion von Captcha verweist. Nein, das ist keine Lösung).

    Und Mailadressen via CSS auf Display: none setzen? Ganz schlecht: display:none macht den Inhalt eben auch und gerade für Screenreader unsichtbar. (Wenn man das schon mit CSS machen will, dann bitte mit position: absolute; top: -1000em; left: -1000em; ).


    Und wofür das ganze? Um ein paar dumme Bots davon abzuhalten, Adressen zu greppen, die eh schon bekannt sind? Die auch eigentlich kein Geheimnis sein sollen?
    Und weil ein paar Empfänger keine gute Spamerkennung haben?
    Hier geht es ja schließlich nicht um irgendwelche Privatsites, sondern um Mailadressen von Leuten und Kontakten, die bekannt sein sollen.

    tl;dr: Der Nutzen ist zu gering, die damit verursachten Probleme sind viel zu groß.

  14. Re: und was sagen die Piraten?

    Autor: nachgefragt 22.09.17 - 13:16

    xwolf schrieb:
    --------------------------------------------------------------------------------
    > Jupp, das kann man so testen.
    > Aber leider zeigt dieser Test eben nicht, wieviele Menschen z.B. mit
    > Screenreader dir in solchen Fällen keine Mails mehr senden können, weil
    > deren Clients diese nicht mehr korrekt interpretieren kann.
    Ne, bin mir ziemlich sicher, dass (aktuelle) Screenreader da kein Problem mit haben, da sie dir im Normalfall die gerenderte Seite vorlesen sollten, nicht den herruntergeladenen HTML Quelltext. Da war vor 10 Jahren sicher anders.
    Bei abgeschalteten Javascript wird der JS ansatz natürlich nicht gehen, allerdings gibt es immer mehr Seiten die ohne JS gar nicht mehr nutzbar sind; egal ob mit, oder ohne Screenreader. Du siehst ja in der Grafik, dass selbst banale Abänderungen einen großen Einfluss auf die Spamflut haben.
    Richtig implementiert, sollte der normale Anwender gar nicht bemerken, dass eine eMail Adresse für Bots unkenntlich gemacht wurde.
    Aber wie gesagt ich bin mir nicht sicher ob wir überhaupt von der selben Sache reden. (Gut, die meisten unserer Seiten stellen Kunden uA hochauflösende Bilder bereit, da sind Blinde wohl eher selten.)


    > Schau mal auf eine andere Statistik: Deine Website wird am Tag von
    > wievielen Bots besucht (von denen du mal die der großen Suchmaschinen
    > abziehst)?
    > Und von wievielen Menschen?
    > ca 5% der Menschen haben gesundheitliche/körperliche Einschränkungen, die
    > sie zwingt Screenreader zu verwenden. Das ist aber nicht alles: Weitere
    > Menschen haben entweder Situationsbedingt oder auch aufgrund von
    > körperlichen Einschränkungen keine Maus oder können diese nicht bedienen.
    Also auf unseren (betreuten) Servern kommt so gut wie gar kein BadBot vorbei; obwohl es mittlerweile zwar diverse zich Tausend gib, lassen sich die meisten immernoch problemlos mit einer robots.txt vertreiben.
    http://www.botreports.com/badbots/index.shtml
    Merkwürdige abfragen kommen meist aus China, Russland oder der Türkei, haben meist aber nichts mit BadBots zu tun.
    Wir haben schon einige Seiten online, mit diversen Tausend aufrufen pro Tag, aber ich habe bis her noch nicht eine Problemmeldung bezüglich eines Screenreaders erhalten.

    > Kurzum: Wenn ich daher Verfahren wie Captcha verwende, schließe ganz sicher
    > ich Menschen von der Bedienung aus (und bitte nicht das Argument "kontern"
    > indem man auf die Vorlesefunktion von Captcha verweist. Nein, das ist keine
    > Lösung).
    Captcha ist eine Maßnahme (vermutlich die extremste). Ein einfaches ersetzen von 2 Zeichen verringert allerdings den Spam schon auf ein drittel. Wie gesagt habe ich in den letzten 10 Jahren noch nicht eine Beschwerde diesbezüglich gehabt, verwende aber auch keine Captchas.


    > Und Mailadressen via CSS auf Display: none setzen? Ganz schlecht:
    > display:none macht den Inhalt eben auch und gerade für Screenreader
    > unsichtbar. (Wenn man das schon mit CSS machen will, dann bitte mit
    > position: absolute; top: -1000em; left: -1000em; ).
    Nein eben nicht. Ein aktueller Screenreader sollte das vorlesen was hinterher (gerendert) bei rauskommt, nicht das was du runterlädst. Das würde auf einigen Seiten auch zu argen Problemen anderer Art führen.

    > Und wofür das ganze? Um ein paar dumme Bots davon abzuhalten, Adressen zu
    > greppen, die eh schon bekannt sind? Die auch eigentlich kein Geheimnis sein
    > sollen?
    > Und weil ein paar Empfänger keine gute Spamerkennung haben?
    > Hier geht es ja schließlich nicht um irgendwelche Privatsites, sondern um
    > Mailadressen von Leuten und Kontakten, die bekannt sein sollen.
    Wir erstellen ausschließlich B2B Seiten, nichts desto trotz freut sich die IT unserer Kunden schon darüber, das Sie weniger Mist zu filtern haben. Ich möchte bezweifeln das ein Großteil der Adressen gespidert wurden, da ein paar Kunden gar keinen eigenen Spam filter haben.

    > tl;dr: Der Nutzen ist zu gering, die damit verursachten Probleme sind viel
    > zu groß.
    Kann ich absolut nicht bestätigen. Kommt vielleicht auf den Nutzerkreis an.
    Hier kommt es zu 0 Problemen bei beachtlichem Nutzen.


    Offen bleibt:

    nachgefragt schrieb:
    --------------------------------------------------------------------------------
    > Ein Verweis auf Bots die zb mit JS unkenntlich gemachte email-Adressen mit
    > hoher Erfolgsrate wieder lesbar macht würde mich schon interessieren, wenn
    > du da was hast.



    15 mal bearbeitet, zuletzt am 22.09.17 13:36 durch nachgefragt.

  15. Re: und was sagen die Piraten?

    Autor: xwolf 22.09.17 - 14:18

    Hi
    > > Aber leider zeigt dieser Test eben nicht, wieviele Menschen z.B. mit
    > > Screenreader dir in solchen Fällen keine Mails mehr senden können, weil
    > > deren Clients diese nicht mehr korrekt interpretieren kann.
    > Ne, bin mir ziemlich sicher, dass (aktuelle) Screenreader da kein Problem
    > mit haben, da sie dir im Normalfall die gerenderte Seite vorlesen sollten,
    > nicht den herruntergeladenen HTML Quelltext. Da war vor 10 Jahren sicher
    > anders.

    Ähm jain. Hier kann man mit einem sicheren "Kommt drauf an" antworten :)
    Das Problem ist, daß gängige Screenreader durchaus JS können. Sie können document.write und co.
    Wo es dann Probleme gibt, ist onlick(), onHover und co.
    Also dann, wenn du eine Interaktion machen willst, die eine Funktion aufruft und dabei auf eine Positionierung eines Pointers oder der Tabposition beruht. Das passiert dann in der Regel nicht, da erstmal alles eingelesen und interpretiert und "dargestellt". Zum Beispiel auch in Linklisten.

    Viele Screenreader arbeiten dabei mit der Engine des Standardbrowsers. Das ist leider oft noch der IE. Mit all seinen lieben Schwächen.
    Du erkennst sie daher auch nicht immer serverseitig.

    > Bei abgeschalteten Javascript wird der JS ansatz natürlich nicht gehen,
    > allerdings gibt es immer mehr Seiten die ohne JS gar nicht mehr nutzbar
    > sind; egal ob mit, oder ohne Screenreader. Du siehst ja in der Grafik, dass
    > selbst banale Abänderungen einen großen Einfluss auf die Spamflut haben.
    > Richtig implementiert, sollte der normale Anwender gar nicht bemerken, dass
    > eine eMail Adresse für Bots unkenntlich gemacht wurde.

    +1

    Die Grafik kommt allerdings aus aus dem Jahr 2008. Eine andere Evaluation war 2012.
    Ggf. wäre eine neue Evaluation sinnvoll. Die müsste aber einen Vergleichswert haben mit Mailadressen, die in aktiven Gebrauch sind, aber auf keiner Webseite aufgeführt sind und also gar nicht geschützt sind.


    > Aber wie gesagt ich bin mir nicht sicher ob wir überhaupt von der selben
    > Sache reden. (Gut, die meisten unserer Seiten stellen Kunden uA
    > hochauflösende Bilder bereit, da sind Blinde wohl eher selten.)
    >

    Ich glaub wir reden schon von derselben Sache, aber mit unterschiedlicher Prioritätensetzung.
    Für mich ist letztlich alles was irgendwie im Internet publiziert wird, auch kopierbar, speicherbar, interpretierbar und kann wieder geändert und weiterverwendet werden. Vielleicht gibt es noch nicht DEN Bot, der alle Verfahren umschifft, aber für mich ist das nur eine Frage ob das geht, sondern ob jemand sich die Mühe macht.
    Wenn der "Bedarf" groß genug wird, wird sicher jemand, der damit Geld verdienen kann, ein Verfahren programmieren.
    Die Berichte, dass grafische Captchas beispielsweise über gewiefte Umwege von nichtsahnenden Menschen oder auch über kommerzielle Angebote von echten Menschen gelöst werden, kennen wir ja alle.



    >
    > > Schau mal auf eine andere Statistik: Deine Website wird am Tag von
    > > wievielen Bots besucht (von denen du mal die der großen Suchmaschinen
    > > abziehst)?
    > > Und von wievielen Menschen?
    > > ca 5% der Menschen haben gesundheitliche/körperliche Einschränkungen,
    > die
    > > sie zwingt Screenreader zu verwenden. Das ist aber nicht alles: Weitere
    > > Menschen haben entweder Situationsbedingt oder auch aufgrund von
    > > körperlichen Einschränkungen keine Maus oder können diese nicht bedienen.
    >
    > Also auf unseren (betreuten) Servern kommt so gut wie gar kein BadBot
    > vorbei; obwohl es mittlerweile zwar diverse zich Tausend gib, lassen sich
    > die meisten immernoch problemlos mit einer robots.txt vertreiben.
    > www.botreports.com
    > Merkwürdige abfragen kommen meist aus China, Russland oder der Türkei,
    > haben meist aber nichts mit BadBots zu tun.
    > Wir haben schon einige Seiten online, mit diversen Tausend aufrufen pro
    > Tag, aber ich habe bis her noch nicht eine Problemmeldung bezüglich eines
    > Screenreaders erhalten.
    >

    Vielleicht täusche ich mich ja auch oder überbewerte das Problem. Aber durch Kontakte mit der WAI-Szene weiß ich von vielen Betroffenen, dass die durchaus damit Probleme haben.


    > Captcha ist eine Maßnahme (vermutlich die extremste). Ein einfaches
    > ersetzen von 2 Zeichen verringert allerdings den Spam schon auf ein
    > drittel. Wie gesagt habe ich in den letzten 10 Jahren noch nicht eine
    > Beschwerde diesbezüglich gehabt, verwende aber auch keine Captchas.
    >

    Jupp, wenn ich muss, verwende ich auch ein simples mathematisches Rätsel, a la
    "Wieviel ist eins plus 3? Schreibe das Ergebnis als Zahl: "
    Davon ein paar viele Kombinationen via Random ausgewählt.

    Bei der Piratenwebsite wurde aber im März zum ersten mal das simple System ausgehebelt. Ein Bot (ich weiß noch nicht welcher) scheint in der Lage zu sein, dieses Rätsel zu erkennen und zu lösen.


    > > Und Mailadressen via CSS auf Display: none setzen? Ganz schlecht:
    > > display:none macht den Inhalt eben auch und gerade für Screenreader
    > > unsichtbar. (Wenn man das schon mit CSS machen will, dann bitte mit
    > > position: absolute; top: -1000em; left: -1000em; ).
    > Nein eben nicht. Ein aktueller Screenreader sollte das vorlesen was
    > hinterher (gerendert) bei rauskommt, nicht das was du runterlädst. Das
    > würde auf einigen Seiten auch zu argen Problemen anderer Art führen

    Gegenrede: Die Verschiebung des Contents ausserhalb des Viewports der Desktop-Ansicht ist gängiges Mittel der Wahl um Text für Screenreader sichtbar zu lassen, für den Desktop aber unsichtbar zu machen.
    https://webaim.org/techniques/css/invisiblecontent/


    > > Mailadressen von Leuten und Kontakten, die bekannt sein sollen.
    > Wir erstellen ausschließlich B2B Seiten, nichts desto trotz freut sich die
    > IT unserer Kunden schon darüber, das Sie weniger Mist zu filtern haben. Ich
    > möchte bezweifeln das ein Großteil der Adressen gespidert wurden, da ein
    > paar Kunden gar keinen eigenen Spam filter haben.
    >

    Leute ohne Spam-Filter?
    Das macht mich etwas fassungslos. Du meinst serverseitig UND auch clientseitig?

    > > tl;dr: Der Nutzen ist zu gering, die damit verursachten Probleme sind
    > viel
    > > zu groß.
    > Kann ich absolut nicht bestätigen. Kommt vielleicht auf den Nutzerkreis
    > an.

    Vielleicht ist es das. Die Nutzer, mit denen ich zu tun hab, wollen ja eine öffentliche Sichtbarkeit und Verbreitung ihrer Kontaktdaten.

    > nachgefragt schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Ein Verweis auf Bots die zb mit JS unkenntlich gemachte email-Adressen
    > mit
    > > hoher Erfolgsrate wieder lesbar macht würde mich schon interessieren,
    > wenn
    > > du da was hast.

    Kein Bot, aber ein Proof of concept:
    http://decrypt.ronliskey.com/
    (unten sind auch einfache JS-Methoden dabei).


    Hier ist noch einer, wo jemand es methodisch angeht:
    http://www.jacobward.co.uk/reverse-engineering-javascript-encryption-functions-to-scrape-email-addresses/
    Proof auch hier: Es geht. Es ist nur eine Frage des Aufwands.

    Sobald es sich also finanziell lohnt, ein entsprechendes Skript oder eine Library bereit zu stellen und es Kunden (Spam-Adresskäufer) gibt, dann werden sich auch früher oder später Leute finden, die das machen.



    2 mal bearbeitet, zuletzt am 22.09.17 14:33 durch xwolf.

  16. Re: und was sagen die Piraten?

    Autor: nachgefragt 22.09.17 - 15:04

    xwolf schrieb:
    --------------------------------------------------------------------------------
    > Ähm jain. Hier kann man mit einem sicheren "Kommt drauf an" antworten :)
    > Das Problem ist, daß gängige Screenreader durchaus JS können. Sie können
    > document.write und co.
    > Wo es dann Probleme gibt, ist onlick(), onHover und co.
    > Also dann, wenn du eine Interaktion machen willst, die eine Funktion
    > aufruft und dabei auf eine Positionierung eines Pointers oder der
    > Tabposition beruht. Das passiert dann in der Regel nicht, da erstmal alles
    > eingelesen und interpretiert und "dargestellt". Zum Beispiel auch in
    > Linklisten.
    >
    > Viele Screenreader arbeiten dabei mit der Engine des Standardbrowsers. Das
    > ist leider oft noch der IE. Mit all seinen lieben Schwächen.
    > Du erkennst sie daher auch nicht immer serverseitig.
    Eine eMail Obfuscator durch ein onClick oder onHover schein mir aber auch schon leicht abgehoben. IE wird bei unseren Kunden und deren Kunden Gott sei dank nicht mehr in der Version 6 benutzt. Mit Edge habe ich eigentlich weniger Schmerzen, auch wenn er ein paar Eigenheiten hat. Wobei die Probleme dann eigentlich jeden betreffen, nicht nur Screenreader-Nutzer.

    > Die müsste aber einen
    > Vergleichswert haben mit Mailadressen, die in aktiven Gebrauch sind, aber
    > auf keiner Webseite aufgeführt sind und also gar nicht geschützt sind.
    Den Satz verstehe ich nicht.

    > Ich glaub wir reden schon von derselben Sache, aber mit unterschiedlicher
    > Prioritätensetzung.
    > Für mich ist letztlich alles was irgendwie im Internet publiziert wird,
    > auch kopierbar, speicherbar, interpretierbar und kann wieder geändert und
    > weiterverwendet werden. Vielleicht gibt es noch nicht DEN Bot, der alle
    > Verfahren umschifft, aber für mich ist das nur eine Frage ob das geht,
    > sondern ob jemand sich die Mühe macht.
    > Wenn der "Bedarf" groß genug wird, wird sicher jemand, der damit Geld
    > verdienen kann, ein Verfahren programmieren.
    > Die Berichte, dass grafische Captchas beispielsweise über gewiefte Umwege
    > von nichtsahnenden Menschen oder auch über kommerzielle Angebote von echten
    > Menschen gelöst werden, kennen wir ja alle.
    Aber in wie weit ist das hier relevant? Ich habe nur festgestellt, dass auf der Seite eMail Adressen im Klartext stehen was definitiv problematischer ist, als eine zuvor angeprangerte, erreichbare liesmich.txt. Ich habe auch nie behauptet, dass man eine 100% Sicherheit vor Spam oder BadBot bekommen kann, ich habe behauptet, das minimale Anpassungen den Spam drastisch reduzieren können. Wenn das für die auf der Piraten-Seite stehenden email Adressen eh egal ist, ist das auch oke. Vll haben sie ja auch einen sehr guten Filter und vertrauen ausschließlich auf den.


    > Vielleicht täusche ich mich ja auch oder überbewerte das Problem. Aber
    > durch Kontakte mit der WAI-Szene weiß ich von vielen Betroffenen, dass die
    > durchaus damit Probleme haben.
    Kann ich mir auch gut vorstellen, wenn es falsch umgesetzt wird kanns das bestimmt nerven. Allerdings werden diese Leute vermutlich noch über ganz andere Dinge Stoplern als über ungekenntlich gemachte email Adressen. Ein nicht nutzbares Menü wird sich zumindest nicht durch einen Anruf klären lassen, im gegensatz zu einer eMail Adresse.

    > Gegenrede: Die Verschiebung des Contents ausserhalb des Viewports der
    > Desktop-Ansicht ist gängiges Mittel der Wahl um Text für Screenreader
    > sichtbar zu lassen, für den Desktop aber unsichtbar zu machen.
    > webaim.org
    aber das ist hier ja gar nicht ziel. auch nicht beim "display:none".
    Sowohl sehende als auch nicht sehende sollen die email sehen/hören, nur die Bots halt nicht.

    > Leute ohne Spam-Filter?
    > Das macht mich etwas fassungslos. Du meinst serverseitig UND auch
    > clientseitig?
    Mich in der Tat auch aber da habe ich wenig Einfluss drauf. Ich meine Serverseitig. Was auf deren Rechnern geschieht weiß ich nicht. Sind halt eher kleine Firmen dann, aber einige.


    > Kein Bot, aber ein Proof of concept:
    > decrypt.ronliskey.com
    > (unten sind auch einfache JS-Methoden dabei).

    naja oke das teil ist jetzt schon extrem simple.

    Um mal das JS Beispiel zu nehmen:

    crackLilio = function (s) {
    var start = s.indexOf("linkTo_UnCryptMailto(\'") + 2;
    var stop = s.indexOf("\')");
    var r = s.substr(start, stop);
    var n = 0;
    for( i = 0; i < s.length; i++) {
    n = s.charCodeAt( i );
    if( n >= 8364 ) {
    n = 128;
    }
    r += String.fromCharCode( n - 1 );
    }
    return r;
    }

    Sowas für jede Funktion mit beliebigen Namen und beliebigen Inhalt zu schreiben ist schon was etwas anderes. Es gibt quasi noch gegen unendlich viele Möglichkeiten die sich so nicht "entschlüsseln" lassen.



    3 mal bearbeitet, zuletzt am 22.09.17 15:15 durch nachgefragt.

  17. Re: und was sagen die Piraten?

    Autor: nachgefragt 22.09.17 - 15:35

    nachgefragt schrieb:
    --------------------------------------------------------------------------------
    > xwolf schrieb:
    > ---------------------------------------------------------------------------
    > > Die müsste aber einen
    > > Vergleichswert haben mit Mailadressen, die in aktiven Gebrauch sind,
    > aber
    > > auf keiner Webseite aufgeführt sind und also gar nicht geschützt sind.
    > Den Satz verstehe ich nicht.

    Wenn du wissen willst wieviel Spam bei einer Adresse ankommt, die nicht im Internet zu finden ist: Bei einer nicht auf der internet Seite ersichtlichen info@domain.de habe ich in den letzten 5 Jahren 3 Spammails festgestellt. Email Adressen "geraten" werden von den Spammern extrem wenig. Dafür sind email Adressen zu leicht zu finden, als dass sie jemand auf gut Glück mit einer Rainbowtable zusammenwürfeln würde, wobei man es sicherlich auch nicht ausschließen kann.
    Alle 3 Spammails wollten SEO Dienste verkaufen btw.



    3 mal bearbeitet, zuletzt am 22.09.17 15:44 durch nachgefragt.

  18. Re: und was sagen die Piraten?

    Autor: 486dx4-160 25.09.17 - 01:19

    nachgefragt schrieb:
    --------------------------------------------------------------------------------
    > Ob sie Fail2Ban am laufen haben, können wir aber gar nicht sehen und wird
    > vll sogar schon genutzt. Das die robots.txt aber so ziemlich alles zulässt
    > ist allerdings eindeutig erkennbar und nicht sonderlich ratsam.

    robots.txt ist doch nur eine freundliche Empfehlung an die Bots der großen Suchmaschinenfirmen, bestimmte URIs nicht in ihren Index aufzunehmen. Das ist ein SEO-Feature, kein Sicherheitsmerkmal. Die Dateistruktur einer Wordpress-Installation ist außerdem nicht so schwer herauszufinden.

  19. Re: und was sagen die Piraten?

    Autor: benurb 29.09.17 - 18:49

    486dx4-160 schrieb:
    > robots.txt ist doch nur eine freundliche Empfehlung an die Bots der großen
    > Suchmaschinenfirmen, bestimmte URIs nicht in ihren Index aufzunehmen. Das
    > ist ein SEO-Feature, kein Sicherheitsmerkmal. Die Dateistruktur einer
    > Wordpress-Installation ist außerdem nicht so schwer herauszufinden.

    Wow, danke. Das hat echt lange gedauert. Eine robots.txt als Sicherheitsfeature hilft ungefähr so viel wie ein Schild "Bitte nicht einbrechen" an der Haustür. Und kann einen ähnlichen Effekt haben, nämlich, dass die bösen Buben oder Bots erst recht interessiert sind.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Anzeige
Stellenmarkt
  1. Carl Büttner GmbH & Co. KG, Bremen
  2. ACTINEO GmbH, Köln
  3. Bezirksamt Lichtenberg von Berlin, Berlin
  4. BASF Business Services GmbH, Ludwigshafen

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Blu-ray-Angebote
  1. 27,99€ (Vorbesteller-Preisgarantie)
  2. Einzelne Folge für 2,99€ oder ganze Staffel für 19,99€ kaufen (Amazon Video)
  3. 49,99€ mit Vorbesteller-Preisgarantie


Haben wir etwas übersehen?

E-Mail an news@golem.de


Krack-Angriff: Kein Grund zur Panik
Krack-Angriff
Kein Grund zur Panik
  1. Neue WLAN-Treiber Intel muss WLAN und AMT-Management gegen Krack patchen
  2. Ubiquiti Amplifi und Unifi Erster Consumer-WLAN-Router wird gegen Krack gepatcht
  3. Krack WPA2 ist kaputt, aber nicht gebrochen

Flettner-Rotoren: Wie Schiffe mit Stahlsegeln Treibstoff sparen
Flettner-Rotoren
Wie Schiffe mit Stahlsegeln Treibstoff sparen
  1. Hyperflight China plant superschnellen Vactrain
  2. Sea Bubbles Tragflächen-Elektroboote kommen nach Paris
  3. Honolulu Strafe für Handynutzung auf der Straße

Cybercrime: Neun Jahre Jagd auf Bayrob
Cybercrime
Neun Jahre Jagd auf Bayrob
  1. Antivirus Symantec will keine Code-Reviews durch Regierungen mehr
  2. Verschlüsselung Google schmeißt Symantec aus Chrome raus
  3. Übernahme Digicert kauft Zertifikatssparte von Symantec

  1. Windows 10: Fall Creators Update macht Ryzen schneller
    Windows 10
    Fall Creators Update macht Ryzen schneller

    Berichten in Foren und bei Reddit zufolge soll das Windows 10 Fall Creators Update mehr Geschwindigkeit aus den Ryzen-Prozessoren herausholen. Das stimmt aber nur dann, wenn der Nutzer zuvor die AMD-Software nicht aktualisiert hat.

  2. Gesundheitskarte: T-Systems will Konnektor bald ausliefern
    Gesundheitskarte
    T-Systems will Konnektor bald ausliefern

    Nach langer Verzögerung hat T-Systems den Konnektor fertiggestellt, der Arztpraxen mit der zentralen Telematik-Infrastruktur verbindet. Jetzt muss die Betreibergesellschaft Gematik noch zustimmen.

  3. Galaxy Tab Active 2: Samsungs neues Ruggedized-Tablet kommt mit S-Pen
    Galaxy Tab Active 2
    Samsungs neues Ruggedized-Tablet kommt mit S-Pen

    Nach drei Jahren bringt Samsung einen Nachfolger seiner extra stoßfesten Tablets für den professionellen Bereich: Das Galaxy Tab Active 2 ist wie sein Vorgänger hart im Nehmen und kommt in der neuen Version mit einem aktiven Eingabestift, wie ihn auch die Note-Smartphones verwenden.


  1. 22:38

  2. 18:00

  3. 17:47

  4. 16:54

  5. 16:10

  6. 15:50

  7. 15:05

  8. 14:37