Spam sul sito web ... applicabile a guestbook, blog, etc

[serzio]

Questa volta vediamo come utilizzare un utilissimo servizio offerto (gratuitamente) da stopforumspam.com che mantiene una lista aggiornata di spammers segnalati dagli iscritti, tra cui il nostro forum.

Se non si ha la pretesa di voler attivare il servizio di notifica (servizio con cui si possono aggiungere segnalazioni al database) oppure query multiple o complesse, il suo uso è molto semplice.

Prendiamo in considerazione solo quattro tipi di possibili basilari richieste in relazione al parametro da verificare:

• Indirizzo IP con una chiamata a http://www.stopforumspam.com/api?ip=A.B.C.D
• Indirizzo email con una chiamata a http://www.stopforumspam.com/api?email=qwerty(at)asdfg.zxc
• Nickname con una chiamata a http://www.stopforumspam.com/api?username=qwertyuiop
• Parametri multipli con una chiamata a http://www.stopforumspam.com/api?ip=A.B.C.D&email=qwerty(at)asdfg.zxc

La sintassi per le risposte è la seguente:

Codice:

Only registered users can see contents. Please click here to Register or Login.

che praticamente corrisponde a quanto mostrato in figura:

[ Guests cannot view attachments ]

Nell'implementazione pratica, descrivo solo il primo caso in quanto gli altri sono praticamente identici. Il codice da inserire all'inizio di ciascuna pagina php povrà essere simile al seguente:

Codice:

Only registered users can see contents. Please click here to Register or Login.
Questo codice fa uso del comando header() che per funzionare ha bisogno di essere eseguito prima che venga generato qualsiasi output e quindi è necessario che venga inserito all'inizio della pagina. Il suo inserimento può avvenire in diversi modi, ma le pagine dovranno avere estensione PHP, ovviamente:

• sulla singola pagina, se non si vuole post-editare

• post-editando ed inserendo il codice all'inizio di ciascuna delle pagine che si vogliono proteggere

Purtroppo website non ci consente di inserire codice personalizzato da eseguire sull'intero sito web ma prima dell' <HEAD> così come non è possibile farlo direttamente sulla pagina del blog e pertanto in questi due casi risulta necessario editare il file esportato.
In realtà ci sarebbe il trucchetto di inserirlo direttamente all'inizio del file x5engine.php visto che il suo include precede qualsiasi altra operazione nelle pagine che contengono il blog, anche se lo sconsiglio.

PS.
Un ringraziamento particolare a stesil che con la sua disponibilità si dimostra, come al solito, preziosa per la revisione dei post, del codice e tanto altro ancora.

[GDR]

Peccato che non basta ancora....

grierousyprog (cfawregrei@gmail.com)
In addition to an excellent chance for long-term pain relief and minimizing the need for repeat surgeries, with excision you get buy tramadol online no prescription PAINR RELIEF TIPS. buy cheap tramadol no prescription Vocalzone is recommended for relief of irritations due to excessive speaking, singing or smoking.

[serzio]

Peccato che non basta ancora....

grierousyprog (cfawregrei@gmail.com)
In addition to an excellent chance for long-term pain relief and minimizing the need for repeat surgeries, with excision you get buy tramadol online no prescription PAINR RELIEF TIPS. buy cheap tramadol no prescription Vocalzone is recommended for relief of irritations due to excessive speaking, singing or smoking.

E' probabile che sia un IP non ancora segnalato, a me è capitato solo una o due volte in diversi mesi. Ad ogni modo puoi aggiungere il controllo sull'email utilizzando nella $url la sintassi http://www.stopforumspam.com/api?ip=A.B.C.D&email=qwerty(at)asdfg.zxc

Puoi anche inserire una riga per l'invio dell'alert con i dettagli via email all'indirizzo per la moderazione che non ti consiglio di evitare. Il controllo migliore lo hai con la verifica su stopforumspam in aggiunta alla moderazione.

[serzio]

Relazione tra Spam e IP statico

Nessuna, o praticamente trascurabile.

Traendo spunto da un post letto "in rete", in prima battuta, giustifico la mia prima affermazione con un esempio.

Su www.serzio.it non ci sono siti web raggiungibili dalla homepage, se non la pagina di cortesia standard, ed ovviamente non ha indirizzo ip statico ... è un topweb di tophost .... e quindi hosting condiviso senza ip statico.

Ci sono, invece, diversi guestbook e blog interni, tutti relativi a miei "esperimenti" e quasi tutti soggetti a spam pur non avendo contenuti apprezzabili. Perchè?

I motivi sono almeno due:

• i miei guestbook e blog sono quasi tutti raggiungibili da qualsiasi ricerca online in quanto dotati di backlink
• la scansione dei siti web utilizza i record ptr .... un esempio in figura

[ Guests cannot view attachments ]

Se la ricerca dei gb e blog su internet fosse basata su ip statici, sarebbero ben pochi i siti affetti dal problema e sicuramente i miei non lo sarebbero. Esattamente come la stragrande maggioranza dei gb e blog su internet.

Inoltre, eseguendo il tracciamento della navigazione di uno spammer sul sito web, si vede chiaramente che il punto d'ingresso quasi mai è la homepage, come sarebbe se si accedesse tramite ip, ma è sempre una pagina interna.

[milux]

Vi riporto qui il link ad un articolo molto interessante sullo spam nel guestbook che forse vale la pena di provare..


http://www.karlrupp.net/en/computer/how_to_fight_guestbook_spam

[serzio]

Vi riporto qui il link ad un articolo molto interessante sullo spam nel guestbook che forse vale la pena di provare..


http://www.karlrupp.net/en/computer/how_to_fight_guestbook_spam

Ottimo articolo, utile per i suoi numerosi spunti di riflessione, ma un pochino più invasivo nella sua implementazione. Rimane comunque un ottimo punto di partenza per valutare i comportamenti degli spammers e le relative contromisure.

[essedi]

Non mi ritengo uno sprovveduto, eppure non sono riuscito a capire dove e come inserire il codice in un progetto realizzato con EVO 9.

[serzio]

Non mi ritengo uno sprovveduto, eppure non sono riuscito a capire dove e come inserire il codice in un progetto realizzato con EVO 9.

Probabilmente la mia è stata una descrizione molto superficiale ... comunque ... nel primo post del topic ho indicato un pezzettino di codice in php che va inserito prima dell' HEAD in evo9, esattamene come indicato nella jpg allegata. Puoi trascurare la parte con la descrizione della sintassi XML, non è importante.

[essedi]

Non mi ritengo uno sprovveduto, eppure non sono riuscito a capire dove e come inserire il codice in un progetto realizzato con EVO 9.

Probabilmente la mia è stata una descrizione molto superficiale ... comunque ... nel primo post del topic ho indicato un pezzettino di codice in php che va inserito prima dell' HEAD in evo9, esattamene come indicato nella jpg allegata. Puoi trascurare la parte con la descrizione della sintassi XML, non è importante.

Intanto grazie per la risposta.

Entrando nel merito, la tua descrizione non è superficiale, ma troppo professionale, tecnica: dà per scontato che il lettore abbia la preparazione necessaria per capire senza troppe spiegazioni. Per inciso, io trovo che questa è la caratteristica della quasi totalità degli interventi degli esperti di questo forum.

Faccio riferimento a due tue affermazioni.

"Purtroppo website non ci consente di inserire codice personalizzato da eseguire sull'intero sito web ma prima dell' <HEAD> così come non è possibile farlo direttamente sulla pagina del blog e pertanto in questi due casi risulta necessario editare il file esportato.

non capisco perché il codice non può essere inserito direttamente nella pagina del guestbook, avendo questa estensione php.

"In realtà ci sarebbe il trucchetto di inserirlo direttamente all'inizio del file x5engine.php visto che il suo include precede qualsiasi altra operazione nelle pagine che contengono il blog, anche se lo sconsiglio."

perché la sconsigli? Faccio presente che ho comunque modificato il file x5engine.php per applicare le personalizzazioni di Stesil.

[serzio]

Probabilmente la mia è stata una descrizione molto superficiale ... comunque ... nel primo post del topic ho indicato un pezzettino di codice in php che va inserito prima dell' HEAD in evo9, esattamene come indicato nella jpg allegata. Puoi trascurare la parte con la descrizione della sintassi XML, non è importante.

Intanto grazie per la risposta.
Entrando nel merito, la tua descrizione non è superficiale, ma troppo professionale, tecnica: dà per scontato che il lettore abbia la preparazione necessaria per capire senza troppe spiegazioni. Per inciso, io trovo che questa è la caratteristica della quasi totalità degli interventi degli esperti di questo forum.

Se alcuni interventi non fossero ben comprensibili, mi rendo conto che questo potrebbe accadere, sarebbe sicuramente possibile discuterli.

Faccio riferimento a due tue affermazioni.
Purtroppo website non ci consente di inserire codice personalizzato da eseguire sull'intero sito web ma prima dell' <HEAD> così come non è possibile farlo direttamente sulla pagina del blog e pertanto in questi due casi risulta necessario editare il file esportato.
non capisco perché il codice non può essere inserito direttamente nella pagina del guestbook, avendo questa estensione php.

Giusto, è in php e pertanto avrebbe le caratteristiche per poter essere modificato. Il problema è che icm, fino a quache release fa, ha mantenuto il "motore" del database in un file "a tenuta stagna" non modificabile direttamente sul disco rigido. Si trattava di file zippati,  rinominati e con una sorta di signature all'interno, che se modificati non venivano più riconosciuti come widgets. Ultimamente, invece, questa cosa appare cambiata ed in effetti penso che si potrebbe valutare qualche modifica direttamente sul disco rigido per vederla esportata al posto dell'originale.

In realtà ci sarebbe il trucchetto di inserirlo direttamente all'inizio del file x5engine.php visto che il suo include precede qualsiasi altra operazione nelle pagine che contengono il blog, anche se lo sconsiglio.
perché la sconsigli? Faccio presente che ho comunque modificato il file x5engine.php per applicare le personalizzazioni di Stesil.

Le modifiche al file x5engine.php, al guestbook.php, al blog ed altri, se effettuate direttamente sul disco rigido, possono essere immuni alle ripetute esportazioni e consentirci di evitare gli edit post-esportazione. Ma ad ogni upgrade dell'applicativo (website) verrebbero sovrascritte e difficilmente noi ci ricorderemmo immediatamente di riapportare le dovute modifiche che oltretutto dovrebbero essere verificate per garantirne il funzionamento. Questa cosa potrebbe portare a malfunzionamenti per un certo periodo ai vari siti web e quindi secondo me non utilizzabile efficientemente da chi non è molto pratico per realizzare le verifiche per proprio conto.

[essedi]

Giusto, è in php e pertanto avrebbe le caratteristiche per poter essere modificato. Il problema è che icm, fino a quache release fa, ha mantenuto il "motore" del database in un file "a tenuta stagna" non modificabile direttamente sul disco rigido. Si trattava di file zippati,  rinominati e con una sorta di signature all'interno, che se modificati non venivano più riconosciuti come widgets. Ultimamente, invece, questa cosa appare cambiata ed in effetti penso che si potrebbe valutare qualche modifica direttamente sul disco rigido per vederla esportata al posto dell'originale.

Quindi si potrebbe inserire il codice nella Scheda Esperto della pagina del Guestbook, prima del tag HTML. Questa sarebbe la soluzione più indolore, perché il codice sarebbe conservato anche nelle successive esportazioni. Ma può darsi che ho capito male.
 

Le modifiche al file x5engine.php, al guestbook.php, al blog ed altri, se effettuate direttamente sul disco rigido, possono essere immuni alle ripetute esportazioni e consentirci di evitare gli edit post-esportazione. Ma ad ogni upgrade dell'applicativo (website) verrebbero sovrascritte e difficilmente noi ci ricorderemmo immediatamente di riapportare le dovute modifiche che oltretutto dovrebbero essere verificate per garantirne il funzionamento. Questa cosa potrebbe portare a malfunzionamenti per un certo periodo ai vari siti web e quindi secondo me non utilizzabile efficientemente da chi non è molto pratico per realizzare le verifiche per proprio conto.

 Per le modifiche di Stesil al Guestbook, seguo questa prassi:
 

• la prima volta che creo il Guestbook apporto le modifiche al file x5engine.php e le salvo come x5engineA.php;
• nella cartella RES rinomino (per ogni evenienza) x5engine.php in x5engine0.php
• copio x5engineA.php nella cartella RES e lo rinomino in x5engine.php
• ad ogni successiva esportazione rieseguo i passi 2 e 3

Fino ad ora ha funzionato. Se non dovesse essere valida la soluzione della Scheda Esperto, si potrebbe inserire in testa al file x5engineA.php anche il tuo codice. Cosa ne pensi?

 

[serzio]

Giusto, è in php e pertanto avrebbe le caratteristiche per poter essere modificato. Il problema è che icm, fino a quache release fa, ha mantenuto il "motore" del database in un file "a tenuta stagna" non modificabile direttamente sul disco rigido. Si trattava di file zippati,  rinominati e con una sorta di signature all'interno, che se modificati non venivano più riconosciuti come widgets. Ultimamente, invece, questa cosa appare cambiata ed in effetti penso che si potrebbe valutare qualche modifica direttamente sul disco rigido per vederla esportata al posto dell'originale.

Quindi si potrebbe inserire il codice nella Scheda Esperto della pagina del Guestbook, prima del tag HTML. Questa sarebbe la soluzione più indolore, perché il codice sarebbe conservato anche nelle successive esportazioni. Ma può darsi che ho capito male.

Hai capito perfettamente. 

Le modifiche al file x5engine.php, al guestbook.php, al blog ed altri, se effettuate direttamente sul disco rigido, possono essere immuni alle ripetute esportazioni e consentirci di evitare gli edit post-esportazione. Ma ad ogni upgrade dell'applicativo (website) verrebbero sovrascritte e difficilmente noi ci ricorderemmo immediatamente di riapportare le dovute modifiche che oltretutto dovrebbero essere verificate per garantirne il funzionamento. Questa cosa potrebbe portare a malfunzionamenti per un certo periodo ai vari siti web e quindi secondo me non utilizzabile efficientemente da chi non è molto pratico per realizzare le verifiche per proprio conto.

 Per le modifiche di Stesil al Guestbook, seguo questa prassi:
 

• la prima volta che creo il Guestbook apporto le modifiche al file x5engine.php e le salvo come x5engineA.php;
• nella cartella RES rinomino (per ogni evenienza) x5engine.php in x5engine0.php
• copio x5engineA.php nella cartella RES e lo rinomino in x5engine.php
• ad ogni successiva esportazione rieseguo i passi 2 e 3

Fino ad ora ha funzionato. Se non dovesse essere valida la soluzione della Scheda Esperto, si potrebbe inserire in testa al file x5engineA.php anche il tuo codice. Cosa ne pensi?

Per le "modifiche" al guestbook, devi lavorare come suggerito da stesil. Attualmente non c'e' altra soluzione che io conosca.

[essedi]

Giusto, è in php e pertanto avrebbe le caratteristiche per poter essere modificato. Il problema è che icm, fino a quache release fa, ha mantenuto il "motore" del database in un file "a tenuta stagna" non modificabile direttamente sul disco rigido. Si trattava di file zippati,  rinominati e con una sorta di signature all'interno, che se modificati non venivano più riconosciuti come widgets. Ultimamente, invece, questa cosa appare cambiata ed in effetti penso che si potrebbe valutare qualche modifica direttamente sul disco rigido per vederla esportata al posto dell'originale.

Quindi si potrebbe inserire il codice nella Scheda Esperto della pagina del Guestbook, prima del tag HTML. Questa sarebbe la soluzione più indolore, perché il codice sarebbe conservato anche nelle successive esportazioni. Ma può darsi che ho capito male.

Hai capito perfettamente. 

Le modifiche al file x5engine.php, al guestbook.php, al blog ed altri, se effettuate direttamente sul disco rigido, possono essere immuni alle ripetute esportazioni e consentirci di evitare gli edit post-esportazione. Ma ad ogni upgrade dell'applicativo (website) verrebbero sovrascritte e difficilmente noi ci ricorderemmo immediatamente di riapportare le dovute modifiche che oltretutto dovrebbero essere verificate per garantirne il funzionamento. Questa cosa potrebbe portare a malfunzionamenti per un certo periodo ai vari siti web e quindi secondo me non utilizzabile efficientemente da chi non è molto pratico per realizzare le verifiche per proprio conto.

 Per le modifiche di Stesil al Guestbook, seguo questa prassi:
 

• la prima volta che creo il Guestbook apporto le modifiche al file x5engine.php e le salvo come x5engineA.php;
• nella cartella RES rinomino (per ogni evenienza) x5engine.php in x5engine0.php
• copio x5engineA.php nella cartella RES e lo rinomino in x5engine.php
• ad ogni successiva esportazione rieseguo i passi 2 e 3

Fino ad ora ha funzionato. Se non dovesse essere valida la soluzione della Scheda Esperto, si potrebbe inserire in testa al file x5engineA.php anche il tuo codice. Cosa ne pensi?

Per le "modifiche" al guestbook, devi lavorare come suggerito da stesil. Attualmente non c'e' altra soluzione che io conosca.

Grazie Serzio. Quindi seguirò il primo metodo (Scheda Esperto).

[essedi]

Un'altra domanda. Questo sistema risolve solo il problema dello spam, non quello dello svuotamneto doloso del guestbook?

[serzio]

Un'altra domanda. Questo sistema risolve solo il problema dello spam, non quello dello svuotamneto doloso del guestbook?

Parzialmente esatto. Dipende da chi proviene la stringa malefica che invalida il file XML che contiene i commenti.

Per il problema dello "svuotamento" devi far riferimento alla soluzione postata da stesil del topi dell' "XML injection" nella sezione dei bacherozzi. Tieni presente che con gli ultimi aggiornamenti di website il problema NON è stato risolto completamente, ma la soluzione di stesil è attualmente la migliore.