Hallo Leute,
mich beschäftigt gerade eine kleine HTML-Frage, die ich mit Google aber nicht 100% sicher beantworten kann...
Ich habe ein Formular inkl. Submit-Button, welcher beim Laden der Page aber das Attribut "disabled" bekommt. Der User kann den Button somit nicht klicken bzw. das Formular nicht abschicken.
Frage: Können Spambots das Formular trotzdem submitten?
Hintergrund: Ich möchte die Mechanik in einen Spamschutz einbauen, was ich mir aber sparen kann, wenn Bots das "disabled" nicht interessiert...
Danke für Eure Hilfe und
MfG, dpf_dd
Hallo,
Wir haben in letzter Zeit festgestellt, dass die Kommunikation via Slack viel schneller und zielführender ist als ein Beitrag im Forum. Aufgrund der neuen und besseren Möglichkeiten der Kommunikation haben wir uns entschlossen das Forum nur noch als Archiv zur Verfügung zu stellen. Somit bleibt es weiterhin möglich hier nach Lösungen zu suchen. Neue Beiträge können nicht mehr erstellt werden.
Wir empfehlen, für deine Fragen/Probleme Slack zu nutzen. Dort sind viele kompetente Benutzer aktiv und beantworten jegliche Fragen, gerne auch von REDAXO-Anfängern! Slack wird von uns sehr intensiv und meistens "rund um die Uhr" benutzt
Selbst einladen kannst Du dich hier: https://redaxo.org/slack/
Wir haben in letzter Zeit festgestellt, dass die Kommunikation via Slack viel schneller und zielführender ist als ein Beitrag im Forum. Aufgrund der neuen und besseren Möglichkeiten der Kommunikation haben wir uns entschlossen das Forum nur noch als Archiv zur Verfügung zu stellen. Somit bleibt es weiterhin möglich hier nach Lösungen zu suchen. Neue Beiträge können nicht mehr erstellt werden.
Wir empfehlen, für deine Fragen/Probleme Slack zu nutzen. Dort sind viele kompetente Benutzer aktiv und beantworten jegliche Fragen, gerne auch von REDAXO-Anfängern! Slack wird von uns sehr intensiv und meistens "rund um die Uhr" benutzt
Selbst einladen kannst Du dich hier: https://redaxo.org/slack/
Re: Submit-Button "disabled" - Spamschutz?
ja. bau nen honeypot oder recaptcha ein und gut ist.dpf_dd hat geschrieben:Frage: Können Spambots das Formular trotzdem submitten?
Re: Submit-Button "disabled" - Spamschutz?
Hallo Ingo, danke für deinen Input, reCaptcha... ein schönes Stichwort, denn ich habe bereits einen Google reCaptcha v2 eingebaut.
Folgende Idee hatte ich:
1) Formular-Submitbutton lädt "disabled"...
2) User klickt auf "Ich bin kein Roboter" und verifiziert den reCaptcha...
3) Eine reCaptcha-Callbackfunktion setzt den Submitbutton auf "enabled" (bzw. entfernt das disabled-Attribut)
4) Der User kann erst JETZT den Button klicken und das verifizierte Formular abschicken.
Das Ganze ist bereits so im Einsatz und funktioniert auch. Spam bekomme ich keinen, aber das muss nix heißen... Der Google reCaptcha ist leider ziemlich mies dokumentiert, was die Rückgabe des Verifizierungs-Hashes angeht - von daher hatte ich nach anderen Lösungen gesucht ohne auf den Google reCaptcha zu verzichten (denn der ist schon ziemlich cool in Hinsicht auf Usability).
Folgende Idee hatte ich:
1) Formular-Submitbutton lädt "disabled"...
2) User klickt auf "Ich bin kein Roboter" und verifiziert den reCaptcha...
3) Eine reCaptcha-Callbackfunktion setzt den Submitbutton auf "enabled" (bzw. entfernt das disabled-Attribut)
4) Der User kann erst JETZT den Button klicken und das verifizierte Formular abschicken.
Das Ganze ist bereits so im Einsatz und funktioniert auch. Spam bekomme ich keinen, aber das muss nix heißen... Der Google reCaptcha ist leider ziemlich mies dokumentiert, was die Rückgabe des Verifizierungs-Hashes angeht - von daher hatte ich nach anderen Lösungen gesucht ohne auf den Google reCaptcha zu verzichten (denn der ist schon ziemlich cool in Hinsicht auf Usability).
Re: Submit-Button "disabled" - Spamschutz?
1. mach ein textfeld
2. versteck das textfeld per inline css
3. schreib dir ne xform validierung für das textfeld
Spambots füllen alles aus, was nicht bei 3 auf dem Baum ist. Bestmögliche Usability.
2. versteck das textfeld per inline css
3. schreib dir ne xform validierung für das textfeld
Code: Alles auswählen
class rex_xform_validate_honeypot extends rex_xform_validate_abstract
{
function enterObject()
{
if($this->params["send"]=="1" && is_array($this->obj_array))
{
foreach($this->obj_array as $Object)
{
if($Object->getValue() != "")
{
$this->params["warning"][$Object->getId()] = $this->params["error_class"];
$this->params["warning_messages"][$Object->getId()] = $this->getElement(3);
}
}
}
}
function getDescription()
{
return "honeypot -> honeypot (verstecktes textfeld, dass leer sein muss), beispiel: validate|honeypot|label|Dieses Feld leer lassen";
}
function getDefinitions()
{
return array(
'type' => 'validate',
'name' => 'honeypot',
'values' => array(
array( 'type' => 'select_name', 'label' => 'Name' ),
array( 'type' => 'text', 'label' => 'Fehlermeldung'),
),
'description' => 'Feld muss leer sein, sonst Fehler',
'famous' => false
);
}
}
Re: Submit-Button "disabled" - Spamschutz?
Hmkay, die Honeypot-Technik ist bewährt und die kenne ich auch. Kann ich problemlos einbauen, das wäre der schnellste Weg - ist aber eigentlich auch unnötig wenn der Captcha seinen Dienst tut.
Ich suche einfach technisch einen Weg, die reCaptcha-Callbackfunktion für die Verifizierung zu nutzen. "disabled" (Ursprungsfrage) scheint also ins Leere zu laufen. Aber irgendeinen Zweck muss der Hash von reCaptcha ja haben, wenn ein User erfolgreich bestätigt, dass er kein Bot ist. Ich habe also einen Hash, aber was damit tun?
Nunja, ich verschwinde dann mal in die Google Dokumenationen in der Hoffnung noch was zu finden
Ich suche einfach technisch einen Weg, die reCaptcha-Callbackfunktion für die Verifizierung zu nutzen. "disabled" (Ursprungsfrage) scheint also ins Leere zu laufen. Aber irgendeinen Zweck muss der Hash von reCaptcha ja haben, wenn ein User erfolgreich bestätigt, dass er kein Bot ist. Ich habe also einen Hash, aber was damit tun?
Nunja, ich verschwinde dann mal in die Google Dokumenationen in der Hoffnung noch was zu finden
Re: Submit-Button "disabled" - Spamschutz?
Warum willst du denn zusätzlich zum Honeypot noch ein Captcha einbauen?dpf_dd hat geschrieben:Hmkay, die Honeypot-Technik ist bewährt und die kenne ich auch. Kann ich problemlos einbauen, das wäre der schnellste Weg - ist aber eigentlich auch unnötig wenn der Captcha seinen Dienst tut.
Re: Submit-Button "disabled" - Spamschutz?
Es ist ein sehr spezieller Kunde, der eigentlich selbst keine Ahnung hat - aber es unbedingt so haben will wie er es kennt. Und er kennt halt nur Google reCaptcha. Der Kunde meint, dass viele User das als Sicherheitsmerkmal wahrnehmen und deswegen möchte er das auch habenIngo hat geschrieben:Warum willst du denn zusätzlich zum Honeypot noch ein Captcha einbauen?
Da ich bei diesem Projekt nur für die Umsetzung zuständig bin und auch nur dafür bezahlt werde, hinterfrage ich da jetzt nicht sein Denken...
-
Phoebus Ryan
- Beiträge: 164
- Registriert: 27. Okt 2014, 15:57
Re: Submit-Button "disabled" - Spamschutz?
Okay, dann nimm aber nur das reCaptcha und nicht zusätzlich noch ein Honeypot-Verfahren und sonstiges. Für die reCaptcha gibts viele Beispiele im Netz. Die offizielle Doku ist nicht immer die richtige Anlaufstelle da sie oft unvollständig oder unnötig kompliziert ist.
Re: Submit-Button "disabled" - Spamschutz?
Ich habe die Doku für YForm entsprechend ergänzt:
https://github.com/yakamara/redaxo_yfor ... mschutz.md
Feedback willkommen!
https://github.com/yakamara/redaxo_yfor ... mschutz.md
Feedback willkommen!