Optimale Bot-Erkennung

[FoXMorayn]

Ein Bot kann i.d.R. gar kein JS! Wie soll das funktionieren?
JS Event bedeuten ja meistens, dass etwas am Monitor passiert. Aber der Bot hat keinen Monitor, keine Maus, keine Interaktion. google hat zwar eine rudimentäre JS Erkennung eingebaut, weil so viele Leute ihre Inhalte mit AJAX einbauen, aber selbst das dürfte nur bei exakt definierten Rahmenbedingungen funktionieren

genau das ist der sinn der sache, ein bot kann kein mouseover event erzeugen ;)
also kommt jeder besucher, der kein mouse event erzeugt auf die blackliste für den counter.


ich behaupte, google nutzt einen feingetunten v8 motor, um den selben dom wie der browsernutzer zu erzeugen.
webkit + v8 js engine: siehe google webseiten vorschau und den dort markierten vorschautext.

 

[struppi]

ich behaupte, google nutzt einen feingetunten v8 motor, um den selben dom wie der browsernutzer zu erzeugen.
webkit + v8 js engine: siehe google webseiten vorschau und den dort markierten vorschautext.

Das mag schon sein. Aber woher soll der Bot Wissen, was ein Anweder tut? Zumal, wenn der Event keine neue Seite aufruft sondern z.b. einen Text zeigt oder sonstwas. JS und Suchmaschinenbots erfordern eine KI die es noch nicht gibt.

Aber was du mit dem mousmove Event möchtest im zusammenhang mit dem Thread Inhalt ist mir nicht klar.

 

[FoXMorayn]

kein mousemove event -> sicherlich kein normal-user -> keine statistik
besucher mit screenreadern usw. tauchen dann auch nicht in der statistik auf. find ich aber nicht schlimm, die haben kein javascript und man kann eh keinen sale tracken...
absolut die beste zahl wenn es um relevante besucher geht. klickmuster erkennung halte ich für unwesentlich besser, aber viel komplizierter.

wenn ich so drüber nachdenke würde ich das größe trackingsystem nutzen das es gibt um vergleichbare werte zu haben. frag ich jemanden: "wie hoch ist deine besucherzahl mit analytics ?" bekomm ich eine zahl die ich nachvollziehen und vergleichen kann.
entwickel ich mein eigenes tracking, erzeuge ich zahlen die eine schlechte vergleichbarkeit aufweisen.
vergleich: piwik - afillinet. bis zu 200%! unterschied bei den klickraten. also nicht selber denken, sondern etwas vergleichbares nutzen.

 

[struppi]

kein mousemove event -> sicherlich kein normal-user -> keine statistik

Naja, ich bin einer von vielen Millionen NoScript Usern, was ist mit Smartphones? Feuern die Mouseevents? Behinderte, die keine Maus nutzen und es gibt sicher noch mehr Konstellationen wo kein mousemove gefeuert wird.

Nutzt Google Analytics nicht auch JS? Insofern könnte das den Unterschied zu deinen Zahlen erklären.

 

[Wustersoss]

kein mousemove event -> sicherlich kein normal-user -> keine statistik

Wie kommst du darauf, das alle, die Javascript blocken bevor sie sich eine Seite ansehen keine normalen User sind.

Es geht dir hier auch um einen ganz anderen Ansatz, nämlich das Sale-Tracking. Der Thread beschäftigt sich aber mit Bot-Traffic im allgemeinen. Wenn du das nur über dein Formular erkennst können Bots die auf deine Bilder oder dein Content aus sind oder dich sonst wie ägern wollen und deshalb Formulare gar nicht besuchen, weiterhin ihr Unwesen treiben.

Es macht natürlich aus deiner Sicht keinen Sinn Leute zu zählen die als Kunden nicht in Betracht kommen, was ich durchaus nachvollziehen kann, aber sperren würde ich die nicht gleich. Ich schaue mir Seiten immer erst einmal ohne Javascript an und wenn ich etwas kaufen will, nehme ich dann sogar einen anderen Browser, weil ich sogar Cookies abgeschaltet habe stell dir das mal vor - keine Trackingcookies - und mir das zu umständlich ist jedes mal Cookies einzuschalten, zu löschen und zu kontrollieren. Richtig gute Seiten, die mein volles Vertrauen geniessen, kommen dann auch mal auf meine Cookiewhitelist, da erlaube ich dann neben dem Setzen von Cookies auch Javascript und Flash.

Aber solche Typen wie mich willst du ja als Kunde auch gar nicht, weil ich ein Sicherheitszertifikat und eine verschlüsselte Verbindung voraussetze bevor ich überhaupt Daten von mir, die über Nickname und E-Mail hinausgehen rausgebe. Schade eigentlich das du das Sicherheitskonzept nicht verstanden hast.

 

[FoXMorayn]

javascript ist standard. wer kein javascript aktiviert hat muss auch in keiner statistik auftauchen. google macht es mit analytics vor!

... und hier ist auch ein möglicher grund:
so wie ich es verstanden habe möchte man von bot generierte seitenaufrufe aus der statistik ausschließen.

zahlenbeispiel:

89 reguläre standard besucher
10 bots
1 user ohne javascript

macht 100 insgesamt, davon 11 ohne javascript

die 10 bots splitte ich mal in 8 reguläre suchmaschinen bots und in 2 spambots
für die 8 bots können wir eine erkennung per useragent anwenden. für die 2 spambots können wir es nur versuchen und müssen eine erkennung z.b. per botfalle nutzen.

der eine user ohne javascript interessiert mich in einer statistik nicht, warscheinlich hat dieser cookies deaktiviert und surft mit erinem textbrowser und sieht keine werbung.
auch wenn es mir nicht um werbung geht, kann ich gerne auf diesen user verzichten
in einer statistik würden mit der normalen user-agent methode 3 weitere user auftauchen. nutze ich z.b. die mousemove variante, schließe ich zwar einen echten user aus, aber auch zwei bots. da fällt mir die wahl nicht schwer.

google geht den weg und sperrt alle bots aus der statistik. langsam aber sicher kann man davon ausgehen, dass bots aber auch javascript unterstützen, daher halte ich die mousemove methode für gar keine schlechte idee!
eine anbindung an eine ip-sperre für nicht "mousemove-user" sollte hier auch nicht das thema sein, aber halte ich nicht für sinnvoll.


unterstelle mir bitte nichts, sondern erklär mir das sicherheitskonzept hinter deinen gedanken. vllt kann ich dir dann folgen.

 

[Wustersoss]

javascript ist standard. wer kein javascript aktiviert hat muss auch in keiner statistik auftauchen. google macht es mit analytics vor!

Ja das stimmt, da gegen habe ich auch gar nichts gesagt und ist mir bewusst. Schon der Eröffnungsthread und die Überschrift macht jedoch klar worum es eigentlich geht, nämlich Bots zu erkennen und sie vom crawling der Webseite abzuhalten.

Du sprichst von Statistiken und wie man zählt, das sind doch 2 völlige verschiedene Paar Schuhe.

Das Sicherheitskonzept von dem ich spreche ist das, welches ich anwende, in dem ich Javascript von vornherein abschalte und ggf. je nach Vertraulichkeit der Webseite wieder einschalte. Das mache ich wie viele andere auch, die das so machen, damit ich mir nicht unerwartet einen Virus oder ähnliches einfange. Durch HTML ist jedenfalls noch kein Virus verbreitet worden, durch Javascript wird aber schon mal Schadsoftware verbreitet oder man wird auf andere Webseiten geleitet. Auch sieht man mit abgeschaltetem Javascript ein Grossteil der Werbung nicht und kann sich auf den Content der Seite konzentrieren.

Wenn du nun jemanden auf deiner Webseite nur deshalb aussperrst weil er aus Sicherheitsgründen erst einmal mit abgeschalteten Javascript surft, dann verwerst du dir unter Umständen einen Kunden. Das hat jetzt auch wieder nichts mit der Zählweise zu tun.

Ich hoffe ich konnte das jetzt einigermassen klar darstellen ohne das du mich missverstehst.

Ich möchte noch kurz auf Statistiken und Zählweisen eingehen, wenn wir schon beim Thema sind. Die Anzahl der Besucher, egal wie man sie jetzt zählt ist eigentlich nicht so relevant, sondern nur die Anzahl der Besucher die dir auch Umsatz bringen.
Was nützt es dir wenn du Gartengeräte verkaufst und unheimlich viel Besucher auf deiner Seite hast die sich eigentlich für Blumensträussse interessieren. Du hast dann evtl. viele Besucher nur leider keinen Umsatz.

Das man Bots hier nicht mitgezählt haben möchte ist auch klar.

 

[struppi]

Durch HTML ist jedenfalls noch kein Virus verbreitet worden, ..

Das stimmt so nicht ganz. Es gab mal eine IE Lücke, wo mit Hilfe eines Bildes dir Schadsoftware auf den Rechner installiert wurde. Dazu wurde ein Bild mit einem Skript ausgestattet, beim betrachten der Seite mit diesem Bild startete der IE den Faxviewer: heise online - Weitere Details zur WMF-Lücke [Update]
Unangenehmes Ding, hatte ich auch (mein einziger Virus bisher), da half auch kein abgeschaltetes ActiveScripting.

Zum Thema: Wer es sich halt leisten kann, der sperrt halt die Leute aus, wenn er unbedingt möchte. Da es im Netz für fast alles Alternativen gibt, ist das auch nicht weiter schlimm (für den User).

 

[FoXMorayn]

es geht nicht um aussperren von usern. es geht um das ausschließen aus statistiken, schon die ganze zeit und im ganzen thread.

demnach sperrt man euch nicht für webseiten, sondern kümmert sich einfach garnicht um euch. ihr seid die menge, die ich als abweichende tolleranz bei der boterkennung in kauf nehmen würde. gleichgesetzt mit spambots und screenreadern, was technisch keinen unterschied macht.

 

[sysop]

Mein Anliegen ist nicht spezifisch ausgelegt auf aussperren oder crawlen verhindern sondern mehr hinsichtlich Zahlenwahrheit was Besucher angeht.

Mit Statisiken kann man ja machen was man will, z.B. lassen sich aus Besuchszahlen ja auch Analysen ableiten, die z.B. einen Kauferfolg herleiten. Bei 100 Besuchern von denen 2 kaufen, die Bots aber mitgezählt werden, ergibt sich z.B. ein ganz anderer Kauferfolg als 100 Besucher die keine Bots enthalten und 2 kaufen (das ist bitte nur ein Beispiel).

Im letzten Fall kann ich eine Erfolgsstatistik meiner Webseite ableiten, im ersten Fall sagt das garnix.
Würden im ersten Fall 98 Bots und nur 2 echte User meine Seite besuchen und beide würden kaufen, wäre der Unterschied sichtbar signifikant.

Was man also mit einer guten Boterkennung alles anfangen könnte...
Hintergrund meiner Frage ist ausserdem, festzustellen, ob es sich auszahlen würde ein Tool zur Erfassung von Bots als neues Projekt anzufangen oder nicht und natürlich, welche Methoden man zur Boterkennung einsetzen könnte.

Ich finde die Ansätze interessant und es liesse sich da sicher einiges kombinieren. So könnte man z.B. den Einsatz von JS mit einer Useragent Erkennung kombinieren um Besucher die ohne JS die Seite besuchen von Bots zu trennen. Als Schnellentscheidung könnte eine IP-Erkennung oder Useragent Identifikation jede weitere aufwändige Erkennung überflüssig machen.

Und man könnte natürtlich auch argumentieren, dass man UA-Switcher im Browser verwenden kann. Schwierig wird es wohl dann, wenn man entscheiden muss, was eine zu vernachlässigende Grösse ist.
Bei 100.000 Besuchern sind 5 Fehlentscheidungen wahrscheinlich nicht relevant, bei 10 Besuchern mit den selben 5 Fehlentscheidungen sieht das schon anders aus.

Schön, dass das Thema wohl doch für mehr als nur einen (also mich) interessant zu sein scheint.

 

[FoXMorayn]

ein aktuelles zahlenbeispiel:

ich hab von gestern auf heute 42 spameinträge in einem wordpressblog bekommen. piwik zeigt mir jedoch nur 4 besucher von gestern und zwei von heute an. dazu erhalte ich das klickverhalten und eine klickrate aller banner, sowie einen wert für die verweildauer.
damit kann ich etwas anfangen.


wenn ich mir den webalizer von diesem monat anschaue:

23.24% Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
15.96% Mozilla/5.0 (compatible; MJ12bot/v1.4.0; http://www.majestic1
9.13% Mozilla/5.0 (compatible; Googlebot/2.1; +Google
4.01% Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) Speedy Spider
3.72% Mozilla/5.0 (Windows NT 6.1; WOW64; rv:8.0) Gecko/20100101 Fi
2.29% Mozilla/5.0 (compatible; Ezooms/1.0; [email protected])
1.45% Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.
1.34% Pixray-Seeker/1.1 (Pixray-Seeker; [email protected])
1.28% Mozilla/5.0 (Windows NT 5.1; rv:8.0) Gecko/20100101 Firefox/8
1.21% Java/1.6.0_29
1.17% Mozilla/5.0 (compatible; AhrefsBot/1.0; +http://ahrefs.com/ro
1.11% Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Tri
1.05% findlinks/2.0.2 (+FindLinks - Nextlinks
0.92% Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bi
0.87% Mozilla/5.0 (compatible; SEOkicks-Robot +http://www.seokicks.
[...]


88.90% Deutschland
6.59% Netzwerke (NET)
1.54% Unbekannte Adressen
1.24% Firmen (COM)
0.50% Oesterreich
0.27% Schweiz
0.14% Russische Foederation
0.11% Niederlande
0.10% Slowakei
0.09% Mexiko
0.06% Litauen
0.06% Italien
0.05% Brasilien
0.04% Kolumbien
0.04% Taiwan
0.04% China
0.03% Spanien
0.03% Indonesien
0.03% Suedafrika
0.03% Australien
0.03% Kanada
0.02% Ukraine
0.01% Polen
0.01% Luxemburg
0.01% Ungarn
0.01% Organisationen (ORG)
0.00% Alte Arpanet-Adressen
0.00% USA-Univers./Schulen
0.00% Tschechien
0.00% Japan
[...]

die ersten 6 länder kann ich nachvollziehen, den rest vermute ich zum größten teil als nicht erkannte spambots. wenn ich diese in meiner statistik hätte, wären wir hier warscheinlich bei dem fall 5 besucher, davon 5 spambots.
(bedacht sei, dass ich 42 spamkommentare verteilt auf 2 tage bei bis jetzt insgesamt 6 echten besuchern gezählt habe. in der statistik vom webalizer ist auch noch ein anderes projekt enthalten, bei dem ich keine spambots feststellen konnte, da keine möglichkeit besteht, dass sich diese bemerkbar machen.)

ich schaue mir gerne werte wie die verweildauer und aktionen pro besucher an. gestern waren es z.b. 20s verweildauer. würde ich bots mit tracken, würde ich das projekt sofort dicht machen, weil es dann nach den zahlen wohl niemanden auch nur einen hauch interessiert. sehr fieß sind die spambots.

die erkannten useragents sehe ich da ganz locker, diese können ohne probleme separat gewertet werden.

 

[Asterixus]

Ich habe angefangen, eine Boterkennung zu entwickeln, habe aber wegen zu hoher Komplexität der Angelegenheit aufgehört. Die Scriptdauer wird dadurch fast verdreifacht und ich habe noch nicht alle Ideen ausgeschöpft. Man sollte sich seine access.log-Datei (o. Ä. für andere Webserver als Apache) anschauen. Man erkennt sofort, wann es sich um Bots handelt.

Kleiner Auszug aus einem kleinen Server.

151.24.86.156 - - [13/Dec/2011:13:48:17 +0100] "\xa7\xdf\xa7\xda\xb3\x03\x13" 501 219
189.112.51.150 - - [13/Dec/2011:15:19:16 +0100] "HEAD / HTTP/1.0" 200 -
80.254.117.184 - - [13/Dec/2011:17:26:26 +0100] "\"r\x0f\xab0D\x9d\x1d\x82\xe7\xd3UK\xb8" 501 231
178.18.18.120 - - [15/Dec/2011:00:19:36 +0100] "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 403 243
178.18.18.120 - - [15/Dec/2011:00:19:36 +0100] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 404 226
178.18.18.120 - - [15/Dec/2011:00:19:36 +0100] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 404 226
178.18.18.120 - - [15/Dec/2011:00:19:37 +0100] "GET /pma/scripts/setup.php HTTP/1.1" 404 219
178.18.18.120 - - [15/Dec/2011:00:19:37 +0100] "GET /myadmin/scripts/setup.php HTTP/1.1" 404 223
178.18.18.120 - - [15/Dec/2011:00:19:38 +0100] "GET /MyAdmin/scripts/setup.php HTTP/1.1" 404 223
188.165.247.215 - - [16/Dec/2011:00:08:39 +0100] "HEAD / HTTP/1.0" 200 -
87.8.141.96 - - [16/Dec/2011:18:55:17 +0100] "\x92t\x9b\x9e7" 501 217
188.165.247.215 - - [16/Dec/2011:21:00:17 +0100] "HEAD / HTTP/1.0" 200 -
91.213.203.203 - - [16/Dec/2011:23:38:02 +0100] "CONNECT 91.213.203.203:6667 HTTP/1.0" 405 235
91.213.203.203 - - [16/Dec/2011:23:43:02 +0100] "CONNECT 91.213.203.203:6667 HTTP/1.0" 405 235
91.213.203.203 - - [16/Dec/2011:23:48:02 +0100] "CONNECT 91.213.203.203:6667 HTTP/1.0" 405 235
91.213.203.203 - - [16/Dec/2011:23:53:02 +0100] "CONNECT 91.213.203.203:6667 HTTP/1.0" 405 235
2.107.80.214 - - [18/Dec/2011:00:46:10 +0100] "-" 408 -
61.190.172.2 - - [18/Dec/2011:12:36:41 +0100] "GET /user/soapCaller.bs HTTP/1.1" 404 216
184.168.110.64 - - [18/Dec/2011:13:19:27 +0100] "HEAD / HTTP/1.0" 200 -
119.6.105.80 - - [18/Dec/2011:13:38:57 +0100] "HEAD / HTTP/1.0" 200 -
89.247.118.102 - - [18/Dec/2011:16:34:13 +0100] "\xbc\x11\xb8?7\x10B\xf3z\x93P\xd4\xdf\x1d\xd3\xf70HJs\xce#\xe3o\\j\xe3\x1e" 501 240
220.226.103.254 - - [18/Dec/2011:20:16:48 +0100] "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 403 243
220.226.103.254 - - [18/Dec/2011:20:16:48 +0100] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 404 226
220.226.103.254 - - [18/Dec/2011:20:16:49 +0100] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 404 226
220.226.103.254 - - [18/Dec/2011:20:16:49 +0100] "GET /pma/scripts/setup.php HTTP/1.1" 404 219
220.226.103.254 - - [18/Dec/2011:20:16:50 +0100] "GET /myadmin/scripts/setup.php HTTP/1.1" 404 223
220.226.103.254 - - [18/Dec/2011:20:16:50 +0100] "GET /MyAdmin/scripts/setup.php HTTP/1.1" 404 223

Aus diesem Verhalten kann man erkennen: Die meisten bösen Bots suchen nach Exploits. Es sind meistens dieselben. Solche IPs kann man dann auch getrost aus "richtige User" ausschließen. Clients, die 501 und zu viele 403-Errors verursachen ebenfalls. Clients, die zu schnell Seiten aufrufen, sind auch böse.

Sich ausschließlich auf JS zu stützen, geht nicht.

Was ich analysieren konnte, ist, dass der Googlebot der einzige Bot ist, der CSS-Dateien ab und zu lädt, dabei sendet er aber jedes Mal seinen User-Agent. Erstbesucher, die CSS-Dateien nicht laden, sind meistens Bots. Problem bei Bildern, JS-Dateien und CSS-Dateien ist das Caching.

Und weil's so schön ist: von heute Morgen.

221.174.50.137 - - [26/Dec/2011:00:33:57 +0100] "GET /muieblackcat HTTP/1.1" 404 210
221.174.50.137 - - [26/Dec/2011:00:33:58 +0100] "GET //index.php HTTP/1.1" 404 207
221.174.50.137 - - [26/Dec/2011:00:33:58 +0100] "GET //admin/index.php HTTP/1.1" 404 213
221.174.50.137 - - [26/Dec/2011:00:33:59 +0100] "GET //admin/pma/index.php HTTP/1.1" 404 217
221.174.50.137 - - [26/Dec/2011:00:34:00 +0100] "GET //admin/phpmyadmin/index.php HTTP/1.1" 404 224
221.174.50.137 - - [26/Dec/2011:00:34:01 +0100] "GET //db/index.php HTTP/1.1" 404 210
221.174.50.137 - - [26/Dec/2011:00:34:02 +0100] "GET //dbadmin/index.php HTTP/1.1" 404 215
221.174.50.137 - - [26/Dec/2011:00:34:02 +0100] "GET //myadmin/index.php HTTP/1.1" 404 215
221.174.50.137 - - [26/Dec/2011:00:34:03 +0100] "GET //mysql/index.php HTTP/1.1" 404 213
221.174.50.137 - - [26/Dec/2011:00:34:04 +0100] "GET //mysqladmin/index.php HTTP/1.1" 404 218
221.174.50.137 - - [26/Dec/2011:00:34:05 +0100] "GET //typo3/phpmyadmin/index.php HTTP/1.1" 404 224
221.174.50.137 - - [26/Dec/2011:00:34:06 +0100] "GET //phpadmin/index.php HTTP/1.1" 404 216
221.174.50.137 - - [26/Dec/2011:00:34:06 +0100] "GET //phpMyAdmin/index.php HTTP/1.1" 404 218
221.174.50.137 - - [26/Dec/2011:00:34:07 +0100] "GET //phpmyadmin/index.php HTTP/1.1" 404 218
221.174.50.137 - - [26/Dec/2011:00:34:08 +0100] "GET //phpmyadmin1/index.php HTTP/1.1" 404 219
221.174.50.137 - - [26/Dec/2011:00:34:09 +0100] "GET //phpmyadmin2/index.php HTTP/1.1" 404 219
221.174.50.137 - - [26/Dec/2011:00:34:09 +0100] "GET //pma/index.php HTTP/1.1" 404 211
221.174.50.137 - - [26/Dec/2011:00:34:10 +0100] "GET //web/phpMyAdmin/index.php HTTP/1.1" 404 222
221.174.50.137 - - [26/Dec/2011:00:34:11 +0100] "GET //xampp/phpmyadmin/index.php HTTP/1.1" 404 224
221.174.50.137 - - [26/Dec/2011:00:34:12 +0100] "GET //web/index.php HTTP/1.1" 404 211
221.174.50.137 - - [26/Dec/2011:00:34:13 +0100] "GET //php-my-admin/index.php HTTP/1.1" 404 220
221.174.50.137 - - [26/Dec/2011:00:34:13 +0100] "GET //websql/index.php HTTP/1.1" 404 214
221.174.50.137 - - [26/Dec/2011:00:34:14 +0100] "GET //phpmyadmin/index.php HTTP/1.1" 404 218
221.174.50.137 - - [26/Dec/2011:00:34:15 +0100] "GET //phpMyAdmin/index.php HTTP/1.1" 404 218
221.174.50.137 - - [26/Dec/2011:00:34:16 +0100] "GET //phpMyAdmin-2/index.php HTTP/1.1" 404 220
221.174.50.137 - - [26/Dec/2011:00:34:17 +0100] "GET //php-my-admin/index.php HTTP/1.1" 404 220
221.174.50.137 - - [26/Dec/2011:00:34:17 +0100] "GET //phpMyAdmin-2.2.3/index.php HTTP/1.1" 404 224
221.174.50.137 - - [26/Dec/2011:00:34:18 +0100] "GET //phpMyAdmin-2.2.6/index.php HTTP/1.1" 404 224
221.174.50.137 - - [26/Dec/2011:00:34:19 +0100] "GET //phpMyAdmin-2.5.1/index.php HTTP/1.1" 404 224
221.174.50.137 - - [26/Dec/2011:00:34:20 +0100] "GET //phpMyAdmin-2.5.4/index.php HTTP/1.1" 404 224
221.174.50.137 - - [26/Dec/2011:00:34:21 +0100] "GET //phpMyAdmin-2.5.5-rc1/index.php HTTP/1.1" 404 228
221.174.50.137 - - [26/Dec/2011:00:34:21 +0100] "GET //phpMyAdmin-2.5.5-rc2/index.php HTTP/1.1" 404 228
221.174.50.137 - - [26/Dec/2011:00:34:22 +0100] "GET //phpMyAdmin-2.5.5/index.php HTTP/1.1" 404 224
221.174.50.137 - - [26/Dec/2011:00:34:23 +0100] "GET //phpMyAdmin-2.5.5-pl1/index.php HTTP/1.1" 404 228
221.174.50.137 - - [26/Dec/2011:00:34:24 +0100] "GET //phpMyAdmin-2.5.6-rc1/index.php HTTP/1.1" 404 228
221.174.50.137 - - [26/Dec/2011:00:34:24 +0100] "GET //phpMyAdmin-2.5.6-rc2/index.php HTTP/1.1" 404 228
221.174.50.137 - - [26/Dec/2011:00:34:25 +0100] "GET //phpMyAdmin-2.5.6/index.php HTTP/1.1" 404 224
221.174.50.137 - - [26/Dec/2011:00:34:26 +0100] "GET //phpMyAdmin-2.5.7/index.php HTTP/1.1" 404 224
221.174.50.137 - - [26/Dec/2011:00:34:27 +0100] "GET //phpMyAdmin-2.5.7-pl1/index.php HTTP/1.1" 404 228

Solche Verhaltensweisen fliegen sehr schnell auf und die meisten Bots sind so nett und hinterlassen sofort ihre Spuren :)

 

[FoXMorayn]

da wärn wir dann bei klickmuster erkennung. schon recht interesannt, wie gezielt nach offenen lücken auf dem server gesucht wird. die sache lässt sich sicherlich über einen cronjob und blacklisten lösen.
vorrausgesetzt man hat zugriff auf die logs.

Sich ausschließlich auf JS zu stützen, geht nicht.

warum?

 

[Asterixus]

Weil die Statistik verfälscht sein kann. Er will keine potentiellen Kundendaten, er will die Statistik über alle Benutzer.
Ich halte von dieser Randgruppe der JavaScript-Deaktivierer auch nicht viel und wenn's nach mir ging, würde JavaScript nichts mehr deaktivierbares sein. Aber es gibt immer noch Leute, die wirklich der Meinung sind, JavaScript könne ohne Benutzererlaubnis Viren installieren. Andere halten sich für höchsterfahrene Menschen, weil sie gegen den Strom schwimmen.

 

[Wustersoss]

Hallo Asterixus,

Aber es gibt immer noch Leute, die wirklich der Meinung sind, JavaScript könne ohne Benutzererlaubnis Viren installieren.

Viren wohl nicht. Aber mit Noscript behalte ich den Überblick wer Daten auslesen darf und wer nicht. Ich halte auch nichts davon Javascript grundsätzlich auszuschalten, aber Addons wie Noscript sind sehr wohl nützlich. Du glaubst ja gar nicht wie viele Scripte von dir Daten anfordern und das hast du mit Noscript unter Kontrolle. Ich gebe zu ein wenig Wissen über die Materie kann nicht schaden. Es geht mir als Noscript-User auch nicht darum, dem Betreiber einer Seite das tracking zu vermiesen, der Betreiber kann ruhig wissen welche Seiten ich ansehe, aber warum muss das auch Google, Twitter oder Facebook wissen?

Es sind vielmehr die Phishing Attacken, und Cross-Site-Scripting wie diese hier Android Market: XSS-Lücke ermöglichte unbefugte Installation von Apps | heise Security die einem Javascript als Dauereinschaltlösung nicht gerade schmackhaft machen.

Mit Html5 und dem Einsatz von CORS wird die Sicherheit auch nicht gerade verbessert, eher im Gegenteil. Der Anwender solcher Techniken hat sich um die Sicherheit zu kümmern, tschüss SOP, welcome Hacker.

Das man weniger Werbung auf seiner Seite hat und viel Flash-Werbung auch noch geblockt wird da sie mit Javascript eingebunden ist, ist nebenbei ein schöner Nebeneffekt.

Würden alle Javascript nur dazu einsetzen die Benutzbarkeit einer Webseite zu verbessern wäre Javascript wunderbar, aber leider ist vieles Möglich, von dem man denkt, ´ne das kann nicht gehen und dann durch Beispiele vom Gegenteil überzeugt wird.

Ich möchte hier niemandem seinen Javascripteinsatz abreden aber man soll mir bitte auch nicht vorschreiben, was auf meinem Rechner ausgeführt wird und was nicht.


Zum Nachlesen:
CORS - Cross-Origin Resource Sharing - Wikipedia, the free encyclopedia
Definition: Cross-Origin Resource Sharing
Sicherheitslücke bei Android - Android Market: XSS-Lücke ermöglichte unbefugte Installation von Apps | heise Security
Sicherheit und HTML5 - BBC News - HTML 5 new target for cybercriminals
Datensicherheit bei Facebook - Facebooks Schutzbehauptung | heise Security

 

[FoXMorayn]

ok, echte wahre statistiken sind schwer zu erzeugen. glaube auch nicht, dass es dafür ein muster gibt.

PS:
welcher noscript-antiflash-user würde sich denn bei facebook anmelden? am besten in kombination mit googlemail und youtube, damit aus allen e-mails und videos ein exaktes themenfeld für krankenkasse und werbepartner erstellt werden kann?
ich reiche einen nachweis über sportliche aktivitäten schriftlich bei der krankenkasse ein und kaufe unabhängig von werbung. wolln mal sehen, wer da recht hat. google health oder mein unterschriebener zettel mit 10 stempeln.
ich seh das ganz locker, aber es ist dennoch gut aufzupassen.

 

[FoXMorayn]

RBL - realtime blackhole list

die bekannteste ist das wordpress plugin 'Akismet'.
listen gibts z.b. hier Blacklists Compared, 31-Dec-11

gruß