Google recaptcha en toch spam

Status
Niet open voor verdere reacties.

damnsharp

Terugkerende gebruiker
Lid geworden
6 jan 2012
Berichten
1.385
Goedemorgen,
Op een eenvoudige html site van een klant heb ik een Google recaptcha ingesteld.
Toch krijgt de klant veel spam. Hij stuurde een bericht door en dat is afkomstig van het contactformulier.
Ik begrijp niet waarom hij toch veel spam erop krijgt.

kemp-bv.nl/contact_nl.php

Diversen, o.a. Aar en bron hebben mij indertijd geholpen recaptcha in te stellen.
 
Laatst bewerkt door een moderator:
Hoe is de implementatie?

Ikzelf gebruik 'V3 invisible' en die laat niks meer door. Blijkbaar is jouw gebruikte versie al 'gekraakt'. Je hoeft bij de nieuwe ook niemand meer op vinkjes te laten drukken.
 
Laatst bewerkt:
Ah dan snap ik het. Ik ga op zoek naar v3 code.
 
Oké. Hopelijk lukt het.

De werking is totaal anders, en het werkt nu ook aan de hand van een bepaalde drempel-waarde, net als bij SpamAssassin. En je hebt links of rechtsonder een verplicht logo van ReCaptcha.
 
met een WP site lukt met het zo maar html site... dat zal inderdaad wel een klusje worden

eigenlijk moet de klant eens over naar WP of iets anders, site is gruwelijk ouderwets maar de klant is zelf ook nogal ouderwets. Als het werkt, dan werkt het toch? :)
 
Gewoon de handleiding of manuals lezen, en het lukt wel.
Ikzelf ben niet zo van de WordPress, en heb mijn eigen CMS gebouwd die ik blijf ontwikkelen. Uitgebreid, en lightweight.
Ook dat hoeft met basiskennis van PHP niet lastig te zijn.

En met de opkomst van composer en losse pakketten is functionaliteit toevoegen al helemaal een eitje. Zo gebruik ik al phpMailer, Smarty (tpl) two factor authentication, Verot uploader onder meer via Composer, en het is eenvoudig in een handomdraai te updaten.
 
Laatst bewerkt:
Dank je Aar. Leuk en knap dat je een eigen CMS hebt gebouwd. :thumb:
 
Het voordeel is dat je weet hoe het werkt, en dat je niet zoals bij Wordpress moet werken met plugin's en hooks.
 
Nadeel van ReCaptcha v1/v2/v3 (en andere captchas) is dat er veel bypass software is. Even googelen en je vindt zo 4 programma's. Je kan ook mbv een tutorial zelf in Python de code schrijven.

Afgezien van (spam) email via het contactformulier is de klant vaak zelf de oorzaak omdat hij/zij hetzelfde emailadres gebruikt om zich overal op allerlei websites te registeren.

Validatie op een minimaal aantal tekens in een invulveld en een correcte emailadres notatie werkt niet omdat elke spam email hieraan voldoet. Een honeypot werkt ook niet omdat via de css/style te "zien" is dat het een honeypot is.

Zelf redeneer ik anders. Iemand die spam stuurt

... doet dit (volgens mijn ip2geo) fysiek vanuit een ander land.
De ip2geo oplossing heb je eerder gezien :D

... gebruikt (behalve bij phishing) geen Nederlandstalige tekst.
Ben ik mee bezig geweest. Is bij mij niet full proof omdat er in de tekst gezocht moet worden naar NL "stop" woorden.

... gebruikt soms niet-westerse tekens zoals Ž Ÿ Ð Ñ ý
Met regex kan je alleen deze tekens toestaan: x09-x0D, x20-x7E, en áàäâÄçÇéèëêÉíìïîóòöôÖúùüûÜ€‘’„“”…‰
Daarmee voorkom je emails met tekens als Ð Ñ ý

... wil heel graag linkje(s) en emailadres(sen) in de tekst zetten.
Doorloop in php met een loopje alle invulvelden en kijk met een regex of er http(s): ftp(s): www. // \\ of @ in de tekst staat. Alleen het invulveld "emailadres" krijgt een andere regex want daar mag de @ natuurlijk wel in staan. Zet dan onder het formulier "Linkjes in de tekst zijn niet toegestaan".
 
Laatst bewerkt:
Ik ben zelf niet zo van de vele drempels. Geregeld maak ik wel eens meedat berichten geweigerd worden door overijverige spamfilters. En met ReCaptcha V3 krijg ik geen spam binnen, en anders kan je de spamwaarde zo aanpassen.

Hoe ik het zou doen:
- Recaptcha
- En als die bypassed wordt, met IP2Country wat proberen.
 
eigenlijk moet de klant eens over naar WP of iets anders, site is gruwelijk ouderwets maar de klant is zelf ook nogal ouderwets. Als het werkt, dan werkt het toch? :)
Ik heb bij een klant waar ik een html website voor gemaakt hebt, ook ReCaptcha en het werkt.

Even een topic van mij waar wordt uitgelegd hoe te werk te gaan met beveiligen van een html website (one-page), aangezien ik dat ook niet helemaal wist. De heren en dames hier hebben mij toen geholpen. https://www.helpmij.nl/forum/showthread.php/961237-One-page-website-beveiligen-hoe

edit: je kan een klant niet verplichten om een WP website te nemen. Je hebt hele mooie html website, kijk maar eens naar deze die ik gemaakt heb voor een klant https://glasheldercoach.nl/
Deze heeft ook ReCaptcha, zie rechts beneden in de hoek.
Je vind html website voorbeelden hier: https://templatemo.com/
(maar als je zoekt vind je er meerdere)
 
Laatst bewerkt:
Je zou ook gewoon simpelweg CloudFlare kunnen gebruiken. Die blokkeert al een hoop spammers.
 
Dat klopt helemaal, heb op mijn 4 eigen websites die bij Cloudflare "staan" nooit spam!
 
Je moest eens weten hoe rustig mijn access.log werd, die dagelijks duizenden keren vervuild werd met login-pogingen :).
 
3 kleine functies die je kan gebruiken in een eenvoudige php pagina. Vooral error_char en error_url houden bij mij veel troep tegen. Het berichtje over ip2geo heb ik iets aangepast. Bij registratie geven ze 1000 gratis IP checks per dag.

PHP:
// *** True if $text contains 'not allowed' characters
function error_char ($text='') {
  $whiteChar = "áàäâÄçÇéèëêÉíìïîóòöôÖúùüûÜ€‘’„“”…‰•";
  $reg = "/^([\x09-\x0D]|[\x20-\x7E]|[" . $whiteChar . "])*$/";
  return (preg_replace($reg, '', $text) !== '');
}

// *** True if $text contains url
function error_url ($text='') {
  $reg = "/https?:|ftps?:|www|\/\\\\|\\\\\/|\/\/|\\\\/i";
  return (preg_replace($reg, '', $text) !== $text);
}

// *** True if $text is not a valid x@yy.zz emailaddress 
function error_email ($text='') {
  if (!filter_var($text, FILTER_VALIDATE_EMAIL)) return true;
  return ( (strlen($text) < 7) || (strpos($text, '.', strpos($text, '@')) < 4) );
}
 
Ik vraag me af hoe jij het voor elkaar krijgt om met ReCaptcha nog spam te krijgen, die je met die functies nog moet weren? :D
Ik krijg geen spam meer door sinds ReCaptcha V3.
 
"Nooit meer spam" werd ook beloofd bij reCaptcha v1, en later bij v2, en nu bij v3. Er is software die ze alle 3 weet te omzeilen, kwestie van tijd dat spam ook bij v3 bij iedereen weer gaat binnendruppelen :d

Ik lees net de prijs van een online anti-captcha service, o.a. Recaptcha v1/v2/v3. Prijs $ 5 per 1.000 aanvragen :mad: reCaptcha v3 omzeilen is ook zelf te maken met bijvoorbeeld de PyPasser class en dit stukje code maar deze code is erg simpel en vangt niet 100% af. De grote spam applicaties doen dat wel. Het is altijd een wedstrijd tussen spam en antispam :rolleyes:


Logisch is de email functie niet tegen spam. Het lijkt erop dat TS helemaal geen validatie heeft op de belangrijkste velden in het formulier. Daarom heb ik deze erbij gedaan.
 
Laatst bewerkt:
Maar heb je ook spam die door de V3 captcha heen gaat, of wil je het voor zijn?

Want het zal mij niks verbazen dat Google, ontwikkelaar van ReCaptcha, bij eventueel misbruik van de Captcha de kop in zal drukken door het aanpassen van hun algoritme. Er zit niet voor niets een threshold in met een waarde die je kan aanpassen.

Uiteraard is het logisch dat er invoercontrole nodig is op je velden.
Ikzelf gebruik hier deze class voor: https://github.com/SandroMiguel/verum-php
 
Laatst bewerkt:
Er zit niet voor niets een threshold in met een waarde die je kan aanpassen.
Van de Online Service: "We test our workers for their recaptcha "score" and put them in 3 groups (queues): 0.3, 0.7 and 0.9. Each might have slightly different pricing due to the number of idle workers."

Neemt niet weg dat reCaptcha een makkelijke en snelle oplossing is. reCaptcha v4 zal al in ontwikkeling zijn vermoed ik.

Uiteraard is het logisch dat er invoercontrole nodig is op je velden.
Ikzelf gebruik hier deze class voor: github.com/SandroMiguel/verum-php
Mooie class! Voor gebruikers invoerfouten, toch?

Op een eenvoudige html site van een klant heb ik een Google recaptcha ingesteld.
Toch krijgt de klant veel spam. Hij stuurde een bericht door en dat is afkomstig van het contactformulier.
@damnsharp Werkt de reCaptcha nu?
 
Laatst bewerkt:
Van de Online Service: "We test our workers for their recaptcha "score" and put them in 3 groups (queues): 0.3, 0.7 and 0.9. Each might have slightly different pricing due to the number of idle workers."

Neemt niet weg dat reCaptcha een makkelijke en snelle oplossing is. reCaptcha v4 zal al in ontwikkeling zijn vermoed ik.
Dat hoeft misschien niet eens. Als de werking van V3 prima is, maar het detectiealgoritme wat fouten heeft, dan kan die op de achtergrond worden verbeterd.
Mooie class! Voor gebruikers invoerfouten, toch?
Dat klopt. Invoervalidatie!
 
Status
Niet open voor verdere reacties.
Steun Ons

Nieuwste berichten

Terug
Bovenaan Onderaan