it-swarm.com.de

Wird durch das Verbieten von "Bad Bot" -Benutzeragenten über .htaccess eine zusätzliche Schutzschicht gegen das Abschaben von E-Mail-Adressen über das vorhandene Captcha hinaus geschaffen?

Ich habe die Sicherheits-/Schutzmaßnahmen für die von mir verwalteten Websites überprüft (eine für eine kleine Beratungsfirma, die andere für einen gemeinnützigen Kunstverein) und bin auf das Thema Bad-Bot-Schutz gestoßen ( Artikel ). Ich habe nicht die Ressourcen, um viel Zeit oder Geld für eine selbst erstellte Lösung auszugeben (z. B. einen maßgeschneiderten Honeypot). Deshalb habe ich Apache Ultimate Bad Bot Blocker entdeckt. Meine Frage ist also, ob es tatsächlich nützlich/hilfreich ist und nicht die Leistung beeinträchtigt (Hinzufügen von 8000 Zeilen in der Datei htaccess oder virtual Host und 5000 Zeilen in der Datei robot.txt).

Meine Skepsis beruht beide auf der Tatsache, dass dies offensichtlich öffentliche Informationen sind, so dass jeder "schlechte Bot" -Schreiber natürlich keinen der in dieser Liste vorhandenen User Agents oder Referrer verwenden würde. Ich behaupte nicht, dass die Informationen falsch sind, aber ich gehe davon aus, dass diese ex-post gesammelt werden, dh durch Honeypots oder andere Mittel, aber jeder "schlechte Bot" würde diese Parameter nur für ein paar Tage verwenden und dann mit anderen Parametern fortfahren , welche sind anfangs nicht auf dieser Liste?

Dieser aktuelle (2018) Artikel erklärt auch, warum es Zeit- und Ressourcenverschwendung ist, schlechte Bots zu verhindern.

Irgendwelche realen Ratschläge, was zu tun ist?

4
Peter K.

Um Ihre Frage zu beantworten, nein, ich halte es nicht für eine gute Lösung, wenn Sie so viele Zeilen in htaccess usw. hinzufügen. Wie Sie vermutet haben, blockieren Sie nur bereits erkannte Bots.

Es ist effizienter, eine Liste wie spamcop https://www.spamcop.net/fom-serve/cache/291.html und Apache Spamassasin https: //spamassassin.Apache) zu verwenden. org / direkt auf Mailserverebene, um Sie vor eingehendem Spam zu schützen.

Am Ende ist das Gehirn in Kombination mit den verfügbaren Werkzeugen Ihr bester Schutz. Leider müssen Sie Ressourcen aufwenden, um langfristig sicher zu sein.

1. Begrenzen Sie die Anzahl der auf den Websites angezeigten E-Mails.

Wenn möglich, wechseln Sie zu einem Übermittlungsformular, in dem der Besucher seine E-Mail-Adresse eingibt und Sie mit ihm Kontakt aufnehmen, anstatt eine E-Mail im Klartext anzuzeigen. Wenn dies nicht möglich ist, stellen Sie sicher, dass nur eine E-Mail auf der Website angezeigt wird, und überwachen Sie den Posteingang wie ein echter Webmaster. Wenn Sie Spam oder infizierte E-Mails erhalten, stellen Sie sicher, dass Sie die in dieser E-Mail enthaltenen Informationen einem Spamfilter hinzufügen, damit zukünftige E-Mails mit denselben Merkmalen in Zukunft vollständig ignoriert werden. Dies erfordert etwas Übung, funktioniert aber sehr gut. Sie werden erstaunt sein, wie vorhersehbar die meisten Spam-Mails sind. Mit der Zeit erhalten Sie immer weniger "schlechte" E-Mails. Achten Sie jedoch darauf, legitime E-Mails nicht zu blockieren und zu sinnvolle Filter zu erstellen.

2. Informieren Sie die E-Mail-Benutzer.

Sie können "schlechte Bots" niemals vollständig stoppen (sie sind überhaupt nicht schlecht, sie sind großartig, aber die Leute, die sie verwenden, sind schlecht) und Sie können endlose Ressourcen dafür aufwenden. Andererseits ist es einfacher, die Benutzer der mit Ihren Servern verbundenen E-Mails zu informieren. Stellen Sie sicher, dass sie verstehen, dass sie niemals einen Anhang öffnen oder auf eine Datei klicken oder sogar eine herunterladen dürfen, es sei denn, sie haben zuvor bestätigt, dass sie den Absender kennen und eine solche Datei erwarten, und sind selbst dann misstrauisch. Wenn eine E-Mail unerwartet ist, öffnen Sie sie nicht, sondern leiten Sie sie nach Möglichkeit an Sie als Webmaster weiter. Es ist einfacher, Menschen über den sicheren Umgang mit E-Mails zu unterrichten, als Hacker daran zu hindern, infizierte E-Mails zu senden.

3. Mach dir keine Sorgen, aber sei ernsthaft mit der Sicherheit.

Gehen Sie nicht paranoid herum und sorgen Sie sich um schlechte Bots und dergleichen. Sie brauchen sich keine Sorgen zu machen, es sei denn, Sie haben etwas zu stehlen. Wenn Sie etwas Wertvolles haben, lernen Sie, wie Sie es schützen können. Machen Sie Backups. Speichern Sie Backups auf externen Servern in anderen Rechenzentren. Nehmen Sie die neueste Version von Skripten ernst und behalten Sie die Sicherheitspatches usw. usw. im Auge. Bleiben Sie auf dem Laufenden!

2
Don King