[teilgelöst] eMail auf Web-Seite verbergen? Sicherheit mit JavaScript???

    Hallo,

    gibt es eine vernünftige Art auf einer Web-Seite eine eMail Adresse gegen Bots zu schützen?
    Mal abgesehen von dem Text als Bild.

    Hintergrund:
    Da immer wieder Leute an mich herantreten um Seiten per FF.au3 zu "zerlegen" (dies leider oft zu zweifelhaften Zwecken) und ich gerade selbst meine Seite umbaue und gerade vor der Frage stehe:

    Klartext eMail? = Spamflut
    Kontaktformular? = kommt aufs gleiche raus, nur vielleicht etwas besser zu filtern
    Grafik? = Adressen zum Abtippen sind lästig und Bots mit OCR gibts auch zu genüge
    Per JavaScript verschlüsseln? = "WerbeTrick" von Homepagefricklern. Warum?

    Habs gerade selber getestet, ein nicht mal 50 Zeilen (Includes nicht gezählt) AutoIt-Programm kann alle Addressen auf Seiten mit:
    "Diese E-Mail Adresse ist gegen Spam Bots geschützt"
    (in google 1.070.000 Treffer) einfachst und schnell dekodieren (nein den Quelltext behalt ich)
    im Schnitt bei 10 Adressen pro Seite - hmm [scherz] hey ich werd reich und geh Adressen sammeln :D [/scherz]

    Da stellt sich mir ne andere Frage, was macht man mit so einer offensichtlichen Sicherheitslücke? Wie geht man damit um?
    Ist wahrscheinlich ein offenes Geheimniss, aber daß man nach nicht mal 30min Arbeit an die "geschützten" eMail Adressen von über 1 Million deutschen Seiten rankommt, die dem Irrglauben unterliegen ihre Adressen seien "geschützt", ist irgendwie erschreckend - ok das Script würde einige Tage zum Sammeln brauchen ... dennoch ?(8|

    [EDIT]
    Ein Mittel zum Verschlüsseln habe ich nun:
    https://autoit.de/index.php?page=Thread&threadID=11838

    Nur bleibt weiterhin die Frage offen wie die anderen paar Millionen Seiten von diesem unzureichenden Schutz abzubringen sind?

    Einmal editiert, zuletzt von Stilgar (7. Mai 2009 um 10:28)

    [ironie]Bin begeistert[/ironie]
    Wie soll den so eine Feld-Wald und Wiesen Verschlüsselung (JavaScript escapter String) einen Bot daran hindern den "codierten" Text zu lesen? :rolleyes:
    Man ließt einfach die komplette Seite mit unencode ein bzw. den textContent der DOM-Node und gut ... da muß man nicht mal was erfinden. :D

    Hast du dir schon mal das Script auf den betroffenen Seiten angeschaut, bei denen mir das "Problem" aufgefallen ist? Da ist es auch mehr als einfach wieder an den Klartext ranzukommen, obwohl der Aufwand dort etwas größer ist. Kann es nur leider nicht anzeigen, da das Forum die "Codierung" im Klartext anzeigt.

    Außerdem wollte ich für die Ausgabe JavaScript auf alle Fälle vermeiden und habe eine Lösung die auch ohne Auskommt, meine Adresse:

    Code
    <!-- P28+H'dUFIR -->t<span class="LMFFgoEwySFtoTWPkvk">&#x68;</span><span class="LMFFgoEwySFtoTWPkvk">o</span><span class="LUwThqFfmuVRtC">8[1&#x0063;&#x006B;81&#x0076;7k&#x0066;1b&#x0065;68g&#x007B;&#x0073;F679z1</span>rs<span class="LUwThqFfmuVRtC">Lauftoleranz</span>t<span class="LMFFgoEwySFtoTWPkvk">&#x0065;</span><span class="LUwThqFfmuVRtC">Briefbomber</span>n<!-- YipmzH6qh|:Xo64wn3H2 -->.&#x77;<span class="LUwThqFfmuVRtC">1gm&#x0070;Q&#x0076;8x7&#x007B;&#x0074;h&#x0041;[o&#x0068;9|8T9</span>i<!-- Sequenzmodus -->l<span class="LMFFgoEwySFtoTWPkvk">&#x006C;</span><span class="LUwThqFfmuVRtC">B77&#x005A;&#x0069;BAb71U11&#x0041;</span>er<span class="LMFFgoEwySFtoTWPkvk">&#x74;</span>&#x40;<!-- 2bXGTePUvK/qiEcM9qmzpUu -->g<span class="LUwThqFfmuVRtC">Y&#x007A;&#x0050;K&#x0049;968z68&#x005A;A9</span>m&#x0078;<span class="LMFFgoEwySFtoTWPkvk">&#x2E;</span>d<span class="LMFFgoEwySFtoTWPkvk">&#x0065;</span>


    nur zur Verwirrung :D

    [EDIT]
    Ich hatte doch gestern schon die Lösung gepostet:
    https://autoit.de/index.php?page=Thread&amp;threadID=11838

    Einmal editiert, zuletzt von Stilgar (6. Mai 2009 um 14:58)

    Tut mir leid wenn du das nun falsch aufgefaßt hast.

    Ich hatte auch im ersten Post darauf hingewiesen das Verschlüsselung mit JavaScript ein Witz ist und du schlägst mir anschließend etwas noch einfacheres vor ...

    Wenn du Ironie nicht erträgst wirst du also beleidigend? ...
    (Sarkasmus != Ironie)

    Hast du schon mal einen eMail Crawler ausprobiert bevor du solche Behauptungen aufstellst?
    Ich habe das die letzten Tage intensiv getan um zu testen wie die arbeiten.
    JavaScript und Escape Sequenzen sind kein Mittel gegen deren Ausleseversuche. Diese Dinger laden sogar alle Archive von deiner Seite und analysieren deren Inhalt. Auch PDFs und sonstige Dokumente sind davor leider nicht sicher und ich hatte bestimmt nicht die besten Crawler testen können.

    Einmal editiert, zuletzt von Stilgar (7. Mai 2009 um 10:29)

    So, jetzt kommt mein OT-Senf:

    Zitat von FirePanther

    das was du gepostet hast ist sarkastisch und sarkasmus is ne beleidigung


    Warum hast du dann extra eine Sarkasmus-Box in deinem Forum??

    MfG. tobi_girst

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »tobi_girst« (Morgen, 25:63)

    Hallo Stilgar,
    Du befindest Dich im selben Dilemma wie die Viren/Antiviren-Schreiber. Bei Dir ist es der Kampf Verschlüsseler gg Crawler.
    Wer gewinnt?
    Bei Viren ist das Problem sehr einfach zu lösen, aber es ist ein Politikum. Ohne Viren keine hochbezahlten Antiviren-Programmierer, für Männer vom Schlage eines Mr. Gates wäre es eine der leichtesten Übungen, das Problem für alle Zeiten aus der Welt zu schaffen, aber es wird mit diesem "Problem" sehr viel Geld verdient....ich würde gerne wissen in welcher Höhe Gelder fliessen, damit das Viren-"Problem" NICHT aus der Welt geschafft wird.

    Zu Deiner Frage, wie man damit umgeht....
    Kopfschütteln! Und sich wichtigerer Arbeit zuwenden!
    Mal im Ernst, du machst Dir Gedanken über E-Mailadressen von Leuten, die voller Begeisterung ihre gesamten persönlichen Daten wie Namen, Adressen, Bilder, Videos, Lebensgeschichte usw. für jedermann zugänglich veröffentlichen. Und sich dabei überhaupt nichts denken. Die haben auch absolut keine Ahnung, woher die vielen Spammails täglich herkommen. Vielen ist das auch völlig egal!
    Wie soll man jemanden schützen, der seine Mailadresse in jede 2. Inputbox auf allen weltweiten Webseiten einträgt?

    Ich habe seit 1991 eine private Emailadresse SPAMFREI, seit 1997 eine eigene Firma mit div. spamfreien Emailadressen, jetzt sag mir bitte, was mache ich falsch, daß ich keine Spammails bekomme? Komischerweise geht es einigen meiner Bekannten genauso, bis zu 20 private Mails am Tag und kein Spam? Komisch, daß die von Dir angesprochenen Bots diese Adressen nicht finden......

    ciao
    Andy

    Andy:

    Hallo,

    ich bin mir der Lage sehr wohl bewußt und da ich seit der Existenz von gmx dort immer noch die gleiche Adresse verwende, bekomme ich seltsamer Weise relativ wenig Spam und auf die meiner Domain kommt seit 10 Jahren fast gar nichts an.

    In diesen Crawlern, lassen sich gezielt Adressen auf Seiten sammeln, die bestimmte Themen beinhalten und Kriterien erfüllen, also ganz wahllos wird Spam anscheinend doch nicht immer verteilt.
    Da wird eine private Homepage oder eine kleinere Firma kaum ins Gewicht fallen bzw. kein interessantes Ziel darstellen, also nicht unbedingt komisch wenn man spamfrei bleibt, wenn man denn normal mit seiner Adresse umgeht.
    Übel wird's wahrscheinlich, wenn man auf einer großen List landet die weiterverkauft wird ..

    Um die Leute die ihr ganzes Privatleben im Netz ausbreiten habe ich mir auch keine Gedanken gemacht, vielmehr um Firmen.

    Mir ist halt nur wie Eingangs erwähnt aufgefallen, als ich nach einer Tarnmöglichkeit gesucht habe (mir ging es mehr um die Impressumsanschrift als die eMail), daß es verhältnismäßig einfach ist an Millionen von gültigen eMail-Addressen zu kommen, die zumeist auf Firmen-, oder UNI-Homepages stehen. Dort wird wahrscheinlich der Mail-Server (Spam-Filter) der am meisten belastete Rechner sein :)
    (Ich hatte leider auch schon das zweifelhafte Vergnügen solche Server zu betreuen, es ein Graus wie die geflutet werden und das war vor 8 Jahren ich möchte gar nicht wissen wie das heute ist.)
    Das Dumme an der Sache dazu ist, daß jede von diesen Seiten das gleiche CMS (Joomla!) verwendet und dessen spamCloak modul ist einfach - unzureichend, gelinde ausgedrückt.

    Und zum Gewinnen gegen die Crawler:
    Noch funktioniert meine Methode, da nach dieser der Crawler gar nicht "auf den ersten Blick" weis ob in diesem Datenmüll eine Adresse steckt und der Aufwand da ran zu kommen ist relativ groß. Die Crawler müßten entweder die CSS styles auf ihre Eigenschaften untersuchen oder zu jedem Span den computedStyle auslesen und dann irgendwie die Spans zu einer Adresse zusammensetzen, denn auch über den normalen DOM-textContent liefert das Ganze nur Datenmüll. :D
    d.h. selbst mit der Suche im Browser wirst du den Text, den du auf der Seite siehst, nicht finden :P

    War zumindest recht witzig das Proggi erfolgreich gegen ein paar Crawler antreten zu lassen ...
    Immerhin interessanter als den 2 Millionsten Bildanzeiger, Mp3-Player ... also praktisch - das Rad neu zu erfinden.

    Und wie schon gesagt: JavaScript ist nutzlos, da die Crawler einfach die Seite nach der JavaScript-Berechnung analysieren. Wer wissen möchte wie das geht, zerlegt einfach mal das FF-AddOn "HTML Validator".

    Sooo versessen bin ich nun wieder nicht darauf, da was ändern zu wollen, ich schick ne mail an Jommla!, wenn die es ändern wollen gut, wenn nicht - Problem derer die es verwenden :D

    Jetzt aber raus hier, bei dem Wetter vor dem PC zu sitzen - das ist wahre Zeitverschwendung :)

    Grüße
    Stilgar