Wer in der letzten Zeit meinen Blog und die Kommentare verfolgt hat, wird verärgert festgestellt haben, dass sich unerfreulich viel SPAM in den Kommentaren fand – für Designer-Klamotten und sonstigen Schwachsinn den kein normaler Mensch braucht und der mit Sicherheit nicht zu der Klientel passt, die diesen Blog aboniert hat oder liest. Anfänglich habe ich es noch als „passiert leider auch mir“ hingenommen und habe manuell gelöscht …

Nun dachte ich eigentlich, dass ich mit der eingebauten Sicherheitsfunktion von MyBloggie hier recht gut gegen solchen Schwachsinn gewappnet zu sein. Immerhin muss jeder ja ein kleines Captcha lösen. Wie es mir erschien war das aber wohl mittlerweile in die Jahre gekommen und dementsprechend geknackt. Zugegeben – es war wirklich einfach, keine großartig verschwurbelten Zahlen oder Zeichenfolgen, einfach nur eine kleine Grafik, die es abzutippen galt.

Nun gut, was macht der geneigte und genervte Admin? – Erster Blick: Gibts ein Update, dass ich übersehen habe und möglicherweise schon tut was ich brauche. Leider Fehlanzeige – irgendwie scheint das MyBloggie-Projekt nicht mehr groß gepflegt zu werden, was ich etwas schade finde. Aber es ist ja OpenSource und in PHP geschrieben, von daher: werfen wir doch mal einen Blick in den Code, vielleicht lässt sich da ja etwas machen.

Beim Code hat es mich dann erst mal etwas Mühen gekostet, ihn auf meinem Testsever überhaupt zum Laufen zu bewegen, denn man verwendete noch ganz altmodisch die kurzen Einleitungstags für PHP

<? PHPCode kommmt hier dazwischen ?>

anstelle der mittlerweile üblichen und „sichereren“ langen Ausführung:

<?php  PHPCode kommmt hier dazwischen ?>

Gut, das war dann also mal zum Warmwerden, und ein paar Regex-Schubsereien sind auch immer mal wieder ganz gutes Gehirn-Jogging.

Richtig ärgerlich wurde es dann beim eigentlich Code für das Captcha – ich habe es mir angeschaut und mir war klar: Wenn ich es will, kann ich mir mit wenig Aufwand einen Bot basteln, der mir die notwendigen Berechnungen quasi synchron gegen rechnet. Das hat man davon, wenn die Zeit als Grundlage für die Zeichenfolge herhalten muss. Der nächste Fehler: Der erzeugte Code wird zwar pseudo-verschlüsselt, landet aber direkt im HTML-Formular und wird beim Abesenden mitgeschickt 😯 – noch einfacher geht es ja kaum. Da der Quellcode frei verfügbar ist, kann jeder sich anschauen wie es gemacht wird und kann sogar noch vor dem Absenden prüfen ob die Zeichenfolge die er ausgerechnet hat auch passt – mit heutiger Rechenleistung kann man das natürlich auch für eine etwas größere Zeitspanne sehr zügig machen bis man einen Treffer landet. Ich weiß nicht ob die Angreifer das so gemacht haben, aber wenn ich es machen müsste, würde ich es so versuchen. Auch musste ich feststellen: Die Bilder für die einzelnen Zeichen der Zeichenfolge sind hardcodiert hinterlegt, ändern sich also nicht bei jedem Aufruf. Sonst hätte man ja auch einfach mal die Bilder entsprechend austauschen können oder für jeden Buchstaben zumindest mal einen ganzen Satz mit verschiedenen Verzerrungen und Verkippungen nehmen können.

Also nix mit mal eben was einbauen, damit der Unfug aufhört. Nun stellt sich der geneigte Administrator natürlich die Frage: Selbst was entwickeln oder gibt es möglicherweise fertige Lösungen die man verwenden kann und die nur drauf warten eingebaut zu werden oder sich zumindest einfach adaptieren lassen.
Natürlich gibt es sowas – leider nicht als Plug and Play-Lösung oder Modul für MyBloggie. Ich habe mich für das Recaptcha-Projekt entschieden, es ist recht einfach einzubinden und gut dokumentiert. Auch wenn da partiell Google mit drinsteckt. Die Auslagerung hat auch andere Vorteile: Dort beschäftigen sich Profis mit dem Thema und es gibt immer wieder Verbesserungen, die man automatisch eingebaut bekommt, ohne nochmals den Code dafür anfassen zu müssen. Also definitiv besser als jede Lösung die ich mir zeitraubend aus den Fingern gesaugt hätte.

Der Einbau in MyBloggie ist denn auch kein Hexenwerk – der Code ist halbwegs vernünftig dokumentiert und so findet man relativ schnell die Stelle an der es um das Captcha geht – den alten Code stilllegen (nicht löschen) und dann die von reCaptcha gestellte Bibliothek einbinden und die notwendigen Funktionsaufrufe gemäß der ausführlichen Anleitung aus dem Beispiel tätigen, fertig ist der Lack.

Ich werde das jetzt die nächsten Tage mal testen und sehen wie gut es funktioniert – ich hoffe mal, es ist jetzt erst mal Ruhe mit Blog-Spam. Und einen schönen Gruß an die Leute die es nötig haben sich solche Bots einfallen zu lassen: Könnt ihr eure Kreativität nicht sinnvoller einsetzen – viele Projekte im Web warten nur darauf angegangen zu werden – es ist ja nichts dagegen einzuwenden Sicherheitslücken zu suchen und auch zu finden – nur sollte man dann auch den Mut haben eine Lösung öffentlich zu machen, wie man diese Dinger abstellt. Die Webgemeinde wird es danken.

So hilfreich manche Erweiterung der diversen Browser ja sein mag, man sollte es immer mit Maß und Ziel betreiben. Einige Plugins sind sicherlich nützliche Helfer für den jeweiligen Benutzer, aber wenn man nur noch Toolbars hat, und dadurch Anzeigfläche für den Browser verloren geht, dann wird es lästig. Von Geschwindigkeitsproblemen und möglichen Sicherheitslücken mal ganz zu schweigen.

Besonders lästig ist die Praxis, dass in letzter Zeit immer mehr Software noch zusätzliche Toolbars von irgendwelchen Suchmaschinenanbietern mit installieren will – meist sogar vorausgewählt. Da wird dem Kunden dann ein kostenloser Zusatznutzen versprochen. Ich weiß ja nicht was die Anbieter der Software treibt, aber ich empfinde es einfach nur noch als nervig. Lasst den Krempel der nicht direkt zu betreffenden Software gehört doch bitte einfach weg – wenn ich eine Toolbar brauche, dann installiere ich mir die als mündiger Benutzer schon selbst. Wenn ich eine Software installiere, dann will ich genau diese Software und keine andere installieren – was hat bitte eine Suchmaschine mit einem CD-Brennprogramm zu tun oder mit einer Grafiksoftware (für die man auch noch Geld bezahlt hat)? Helfen wird mir die Toolbar sicherlich im laufenden Betrieb wenig …

Zeit, dass Software wieder nach dem alten Unix-Motto geschrieben wird: „Do one thing and do it right“ – mach genau eine Sache und mach sie richtig. Für alles andere gibt es mehr als genügend Programmier und Skriptsprachen, die sind dafür gedacht den Arbeitsfluss zu automatisieren, wenn mehrere Programme miteinander zusammenarbeiten.

Was tun mit nicht teilweise mehr funktionsfähiger Hardware die eigentlich zu schade zum Entsorgen ist: Kleinanzeigen sind da eine hilfreiche Sache, mittlerweile gibts das ja auch im Netz (Sperrmüll liest ja heute kaum noch ein Mensch). In den Staaten habe ich da gute Erfahrungen mit Craigslist gemacht – in Deutschland gibt es mittlerweile auch Angebote von ebay.

Ich habe beides jetzt mal getestet und prompt bei Craigslist eine interessante Erfahrung gemacht: Da hat mich doch tatsächlich jemand kontaktiert, wohlgemerkt in Englisch (was für mich kein Thema ist und wem ich das Ding nun eigentlich verkaufe ist mir doch egal). Es war aber doch etwas merkwürdig, denn er wollte unbedingt per Western Union bezahlen, was ich abgelehnt habe, da dieser Service doch reichlich suspekt ist und in vielen Foren und Fällen vor der Verwendung gewarnt wird – auch wenn er wirklich weltweit funktioniert.
Normalerweise ist es bei Craigslist auf Abholungsbasis, sprich man ist auf solche Dinge gar nicht erst angewiesen: Ware gegen Geld direkt, das spart auch Versandkosten.
Auffällig war dann wirklich, dass man penetrant nach Kontodaten gefragt hat – auch nach dem Hinweis: Bitte normale Überweisung oder im Notfall Paypal. Außerdem nannte man noch nicht mal eine Adresse …

Ich habe mich erst mal stur gestellt und eine Adresse eingefordert – denn ohne die kommt man ja nicht an die Versandkosten ran (ich hätte natürlich einfach mal ein paar hundert EUR angeben können). Als man mir dann eine Adresse in Nigeria nannte war klar: Das wird nix und man versucht hier auf ziemlich dreiste Art und Weise und noch dazu verdammt plump an die Kontodaten heran zu kommen. Gut, dass ich die nicht preisgegeben habe. Ich habe jetzt sehr höflich aber bestimmt die Lieferung abglehnt …
Hier mal ein Auszug aus der letzten Mail:
[quote]
My pastor just mail me now with one of the assistant arch bichop in
Nigeria. Here is the address i wan to ship it to my arch bishop in
Nigeria so add the shipping money. so send me the total cost with your
full bank details

This is the address:

Fakunle Kayode G
Address: No 23 Sango Poly Road
City :Ibadan,
STATE: Oyo
Zip Code: 23402
Country: Nigeria

On 10/20/10, Kai Schlachter <murphy@murphyslantech.de> wrote:
> > You still did not tell me where to ship. Without that information I will
> > not be able to calculate the full amount.
> > Please provide me with an complete address for the calculation.
> >
> > And what do you mean by verifying the account? With wire transfer you
> > send the money and if the account is valid, it will be put directly in
> > my account. Otherwise the money will be send back to you. I will only
> > get the shipment en route after complete payment. As already noted: I
> > have been fooled once.
> >
> > I must admit, that your behavior is at least a bit suspicious and I will
> > not take any risks. If I get the conclusion, that you are trying to
> > trick me, I will not hesitate to report you to the craiglist maintainers
> > and/or the police. You do not even seem to bother in sending your full
> > name or any proof of identity, which makes your offer even more
> > suspicious. I hope you can understand that.
> >
> > C.U. Kai Schlachter
> > PGP-fingerprint: 8640 43BF 0807 8349 67F4 C0CE CBA9 83BA 197B 3ED4
> >
> >
> > Am 20.10.2010 17:39, schrieb bobby alex:
>> >> Yes i am well pleased with the wire transfer so get back to me with
>> >> your full bank details so i will make the payment. the account will be
>> >> verify before you can cash the money so get back to me with the bank
>> >> details.
>> >> On 10/20/10, Kai Schlachter <murphy@murphyslantech.de> wrote:
>>> >>> Hi,
>>> >>>
>>> >>> Sorry to inform you: Due to abuse and fraud I am not willing to use
>>> >>> Western Union as transfer agent.
>>> >>> Best is to bring the money in cash (I have no problems with foreign
>>> >>> currencies such as US$ or British pound or swiss CHF – nothing else!)
>>> >>> upon pickup.
>>> >>> I will also accept wire-transfers to my account (IBAN & SWIFT) or as a
>>> >>> last resort, payments via Paypal.
>>> >>>
>>> >>> How do you want to receive this item and where should I ship it, if you
>>> >>> are not going to pick it up? Depending on the shipping address I will
>>> >>> have to charge you with the shipping costs of an insured and traceable
>>> >>> shipment (UPS,DHL,TNT).
>>> >>>
>>> >>> Sorry for the inconvenience but I have been fooled once, and I do not
>>> >>> tend to make mistakes twice.
>>> >>>
>>> >>> Please provide me with the details on how you would like to make your
>>> >>> payment and where you would like the package to be shipped. I will then
>>> >>> provide you with the amount money to send.
>>> >>>
>>> >>> I am not sure if you are aware that I am shipping from Europe and not
>>> >>> the US.
>>> >>>
>>> >>> C.U. Kai Schlachter
>>> >>> PGP-fingerprint: 8640 43BF 0807 8349 67F4 C0CE CBA9 83BA 197B 3ED4
>>> >>>
>>> >>>
>>> >>> Am 20.10.2010 17:02, schrieb bobby alex:
>>>> >>>> get back to me with your full details so i can send the money to you
>>>> >>>> asap through western union.
>>> >>>
>> >>
>> >>
> >

— I am interested in the available item i am really in need on this item for Christmas.
[/quote]

Ich kann nur eindrücklich jeden davor warnen auf solche Angebote einzugehen – bei solchen Geschäften ist nur Bares Wahres … und selbst da sollte man wissen wie man ggf. das Geld auf Echtheit prüft, solchen Gaunern muss man auch leider zutrauen, dass sie einen dazu hernehmen Falschgeld in Umlauf zu bringen.

Ich muss mir mal noch überlegen ob ich den Betrugsversuch jetzt nicht einfach mal bei der Polizei aktenkundig machen soll – in Deutschland wird die Verfolgung ins Leere laufen, aber die Häufung solcher Einträge kann ggf. helfen diesen Sumpf endlich mal trocken zu legen.

BTW: Die Hardware steht weiterhin zum Verkauf – wer Interesse hat, einfach melden …

Ich arbeite derzeit wieder aktiv an diversen Website-Projekten für einige Kunden – meistens nichts wirklich großes, aber Kleinvieh macht bekanntlich auch Mist.

Nunja, ich gebe zu, zu meiner Zeit hat man sehr viel mit Tabellen hantiert, da die Layout-Mechanismen noch nicht so ausgefeilt waren, als dass man damit hätte vernünftig arbeiten können, außerdem sind Tabellen einfach praktisch, wenn man mit PHP arbeitet.
Aber man will sich ja neuen Techniken nicht verschließen und es hat sich ja auch einiges getan in Sachen CSS.

Aber wirklich intuitiv und praktikabel ist was anderes – runde Ecken wird es erst mit der nächsten Generation des Standards geben, und auch das Positionieren von Elementen ist noch immer ein heiteres Raten – immerhin sind die Unterschiede zwischen den Browsern nicht mehr so gravierend wie ich das teilweise noch erlebt habe.
Naja mal sehen wie sich das weiter entwickelt.