Laittelin saman threadin jo webmaailmaan, mutta siellä ja täällä on niin paljon eri käyttäjiä että laitetaan sama tännekin:
Yksi asiakkaani sivusto sekä yksi omista sivustoistani on logittanut ihmeellistä multipart/boundary exploit-koodia joka käyttää abusettavan sivuston domainia emailin osoitteena random-hötöllä varustettuna (esimerkiksi fgulkrux@futureality.net). Yhteyttä troijalainen yrittää ottaa AOLin sähköpostiosoitteisiin, ja troijalainen jättää aina johonkin kohtaan lomaketta merkinnän "151".
Googlen ensimmäinen tulos haulle "Trojan 151" on http://www3.ca.com/securityadvisor/pest/pest.
Omat skriptini ovat estäneet spämmin lähettämisen, kiitos vainoharhaisuuteni mutta aikamoisen vaivan troijalainen on onnistunut tekemään, sillä asiakkaani sivustolta tuli yhteensä n. 60 merkintää ja omalta linkkilistalomakkeeltanikin 20 merkintää kantaan jotka täytyy kaikki poistaa manuaalisesti.
Threadin ideana olisi nyt kartoittaa onko muut saaneet vastaavanlaisia "hyökkäyksiä" ja onko kukaan miettinyt suojakeinoja tuollaisten puoliautomaattisten bottien estämiseksi?
Haittaohjelmathan pyrkii täyttelemään lomakkeet viimeisen päälle, mitään kohtaa ei jätetä tyhjäksi ja kenttien maxlength-attribuuttia pyritään hyödyntämään jos vain mahdollista. Radiovalinnoista haittaohjelma pyrkii valitsemaan ainakin yhden ja kaikki checkboxit on lähestulkoon poikkeuksetta ruksittu tällaisen jäljiltä.
Ajattelin että jos tämä tulee olemaan arkipäivää, alkaisin hyödyntämään bottien heikkoutta checkboxien suhteen. Jos toteuttaisi lomakkeen jonka viimeisenä kenttänä olisi:
"[X] Poista merkintä kun olet valmis lähettämään tiedot"
Ei ainakaan botit saisi menemään enää mitään läpi, mutta entä käyttäjät. Itse luen viidessä tapauksessa seitsemästä lomakkeen viimeisenä olevien checkboxien arvot (etten ruksi automaattisesti esimerkiksi kohtaa "Kyllä kiitos, olen halukas vastaanottamaan teiltä ja teidän yhteistyöyrityksiltänne roskapostia kymmeniä kappaleita päivittäin"), mutta entäs tavallinen käyttäjä? Mieluummin estäisin tuollaiset spämmäysyritykset suoraan koodin puolella, mutta taitaa olla puolimahdoton tehtävä...
Onnistuisiko sellainen purkka, että laittaisit lomakkeelle piilotetun kentän, jolloin käyttäjä ei voisi sitä täyttää, mutta botti täyttäisi? Ei välttämättä niinkään type="hidden" vaan vaikkapa CSS:llä piiloon. (Siltä varalta, että CSS pettää, voisi eteen laittaa samalla CSS-koodilla piilotettavan tekstin "Älä täytä tätä", jolloin näkyisivät joko molemmat tai ei kumpikaan.) Näin nopeasti ei tule paljon muuta mieleen.
Onhan noita tullut. Olen banninut osoitteita sitä mukaan kun niitä on tullut. Ehkä on proxyjä mennyt banniin mutta eipä tuolla ole niin väliä, harrastelijasivustoja kun ovat olleet.
Tuo kyseinen trojanhan on sinänsä helppo torjua, viestit ovat aina samaa muotoa (en vain muista mitä koska olen ne jo poistanut). Mikäli puhumme samasta ongelmasta (saisitko esimerkkiviestin tänne?).
Tuo kyseinen checkboxvalinta varmaankin jo auttaisi paljon erilaisten bottien torjunnassa, mutta toisaalta aiheuttaa vähän lisäharmia käyttäjille (puolihuolimattomasti katsottuna voi helposti katsoa että ruksittu = hyvä), mutta toisaalta järkevä virheilmoitus viimeistään pistää kellot soimaan hitaammankin käyttäjän päässä.
Lisäksi on tietenkin mahdollisuus että formin tiedot haetaan joillakin boteilla ja ne tiedot lähetetään sitten ihan eri tavalla kuin itse siihen suunnitellulla html-formilla. Siinä tapauksessa jokin tarkistus että formin tiedot todella on lähetetty kyseiseltä sivulta auttaisi. Vaikka keksitarkistus tai ehkä jotenkin säännöllisesti muuttuva hidden input-formi ja sille tarkistus. Tosin muistaakseni kokeilin ihan yksinkertaista tuollaista hidden-input tarkistusta ja niitä späm-viestejä tuli ihan entiseen malliin. Eli ainakaan tähän kyseiseen ongelmaan en oleta tuollaisten toimintojen auttavan.
Varminhan on tieten monissa isommissa lafkoissa käytetty satunnainen string sotketussa kuvassa joka pitää syöttää formiin, mutta se on ehkä jo turhan järeä ja käyttäjää kiusaava ratkaisu tämän luokan ongelmiin.
Yksi esimerkki (poistin lähettäjän ja vastaanottajan):
XXX@YYY Content-Type: multipart/mixed; boundary="===============1993149048==" MIME-Version: 1.0 Subject: 55177562 To: XXX@YYY bcc: ZZZ@aol.com From: XXX@YYY This is a multi-part message in MIME format. --===============1993149048== Content-Type: text/plain; charset="us-ascii" MIME-Version: 1.0 Content-Transfer-Encoding: 7bit gvokfpb --===============1993149048==-- XXX@YYY
Ja täytettävät tiedot tosiaan aina alkaa 151, tämän jälkeen toistetaan kaikissa kentissä XXX@YYY ja textareaan läppästään kooditagien sisällä oleva sisältö. Tuo random-merkkijonosarja on tosiaan älytön, parhaimpina on ollut merkkijono jota oli vaikea lukea ja ohjeena "use every second letter starting from last letter" tmv. Eli käsitin että merkkijono pitäisi lukea oikealta vasemmalle käyttäen vain joka toista merkkiä...
Tämä troijalainen on simppeli blokata, jättää aivan liikaa tunnistettavia jonoja mutta nyt haluaisinkin etsiä ratkaisua jolla voisi blokata kaikki troijalaiset. Pitänee alkaa kehittelemään jotain checkbox-härpäkettä johon jo viittasin...
Tuo Metabolixin idea CSS:llä piilotettavasta input-fieldistä näyttää ihan hyvältä. Pitää tosiaan kyllä pistää jotain tekstiäkin siihen jotta Lynxin käyttäjiä ei sorsittaisi.
Aihe on jo aika vanha, joten et voi enää vastata siihen.