Sehe ich genauso. Da muss man vorher ansetzen. Allerdings betrifft dieses Problem jede Web-Applikation und selbst die Integration eines Captchas ist heute in vielen Fällen sinnlos, da diese innerhalb kürzester Zeit automatisiert gelöst werden. Falls dies nicht möglich ist, greifen die auch gerne auf Dienste wie Amazon Mechanical Turk zurück und lassen die Captchas (und andere Blockaden) für minimal Beträge durch Menschen in Dritte Welt Ländern lösen Ich denke das muss man je Shop angehen und dort einige Dinge prüfen: - Mit welchen Daten melden die sich an – Kann man die Feld-Validierung verwenden, um die Spam-Anmeldungen zu blockieren – Kann man ggf. mit einer Adressprüfung / PLZ-Prüfung etc. arbeiten? – Kann man mit Blacklists für bestimmte Keywords arbeiten? - Aus welchen Ländern kommen die Anmeldungen – Kann man die IP-Bereiche dieser Länder via Webservice ggf. blockieren
Ne, bei der Wawi macht wenig Sinn. Da man sonst hunderte User in Shopware hat. Also im Moment ist es so: Im Fenster Firma steht immer: AT&T Apple oder Microsoft Namen sind immer in diesem Format: Ylsakflsnf apfdaff Postleitzahl meist: 10001 Ort: New York oder ähnlich Land: Österreich, Schweiz Geburtsdatum: 1.1.1999 letzteres variiert. Nur die Firmenbezeichnungen bleiben gleich… bis jetzt. Ich denke die Lösung ist ein Keyword-Filter.
Ließe sich problemlos über ein Plugin umsetzen. Wenn es die Zeit zulässt, baue ich das für euch Wäre nett, wenn Ihr als “Gegenleistung” noch schnell eure Stimme unter http://www.t3n-award.de/ für Shopware abgebt, läuft am Montag aus.
[quote=“Stefan Hamann”]Ließe sich problemlos über ein Plugin umsetzen. Wenn es die Zeit zulässt, baue ich das für euch Wäre nett, wenn Ihr als “Gegenleistung” noch schnell eure Stimme unter http://www.t3n-award.de/ für Shopware abgebt, läuft am Montag aus.[/quote] Ich habe gestern schon für Euch gevotet. Ich kann ja mal unsere 4 Bürodamen noch ansprechen *lach
Das ist schon klar, dass natürlich so früh wie irgend möglich angesetzt und „gefiltert“ werden muss. Nur darf es nicht auf Kosten der Usability gehen, also den Bestellprozess für den potentiellen Kunden erschweren. Die gezeigte Captcha-Implementierung im Checkout wäre hier ein ungünstiger Weg. Wie kann man die Bestellungen auf dem Weg in die Warenwirtschaft filtern? Wir haben mal umgesetzt, dass zunächst händisch eine Filterung/Auswahl erfolgt. Ein Mitarbeiter öffnet vor der Auftragsbearbeitung in der Warenwirtschaft einen Bildschirm, auf dem er zunächst die wichtigsten Informationen aus zurückliegenden, nicht bearbeiteten Bestellungen aufgelistet sieht. Über eine Markierung entscheidet er, ob und welche Bestellung den weiteren Weg in die Wawi findet. Dies haben wir über eine separate Anwendung gelöst. Alternativ kann die Bestellung auch zunächst in Shopware verbleiben und erst mit Änderung des Bestellstatus auf „In Bearbeitung“ wird der Export der Bestellung in die Warenwirtschaft ausgelöst. Diese Vorgehensweisen sind nicht in allen Konstellationen praktikabel und sind ein „Rückschritt“ auf dem Weg, möglichst viele Prozesse zu vereinfachen. Aber die „Prüfung“ erfolgt nicht „zu Lasten“ des Kunden, das ist ein Vorteil.
[quote=“Stefan Hamann”]Ließe sich problemlos über ein Plugin umsetzen. Wenn es die Zeit zulässt, baue ich das für euch Wäre nett, wenn Ihr als “Gegenleistung” noch schnell eure Stimme unter http://www.t3n-award.de/ für Shopware abgebt, läuft am Montag aus.[/quote] Hallo Stefan, als einfacher Denkansatz, wie wäre es die IP Adresse im Bestellprozess zu tracken und einen Fehler zu werfen wenn sich die ändert? Damit haben wir in anderen Projekten schon gute Erfahrungen gemacht, da die einfachen Spamer über Bots kommen und da kommt jede Anfrage von einer anderen IP. Wir haben hier auch 5 bis 10 “AT&T, microsoft oder Apple” Kunden pro Tag mfg, Holger
Hey, es gibt aber Provider, wo die IP-Adresse dynamisch innerhalb der Session neu vergeben wird, z.B. AOL (Okay, k.A. wie viele darüber noch ins Internet gehen ;))
Schreibe gerade das o.g. Plugin, könnt Ihr mir einige Beispiel-Datensätze / Kundendaten von den Spam-Registrierungen hier einstellen? So viel wie möglich … Danke!
Hallo ! Also zumindest bei mir ist IMMER das Feld “Firma” gleich: microsoft apple AT&T alle anderen Felder wechseln, Land zumeist zufällig, oft das letzte in der Auswahlliste. auffällig vielleicht die schreibweise der Telefonnummer mit Bindestrich zB wie hier: 1-810-4700 1-202-320 und natürlich IMMER mit 1 beginnend Jeder “Spamkunde” hatte im Feld Abteilung die Zahl 18 !!
[quote=“Stefan Hamann”]Hey, es gibt aber Provider, wo die IP-Adresse dynamisch innerhalb der Session neu vergeben wird, z.B. AOL (Okay, k.A. wie viele darüber noch ins Internet gehen ;))[/quote] Hm, ja, es gibt zwei Kundengruppen für die es potentiell problematisch ist 1) die mit Anonymizer Software, nur die wissen normalerweise selber was sie machen und wie sie es umgehen können 2) Kunden mit Proxy Servern, respektive einer Proxy Kaskade. Entwerder von Hand eingestellt oder vom ISP zwangsvergeben. Diese kann man allerdings anhand der Cache Header erkennen und eventuell ausschließen. Naja, wie gesagt, es ist ja nur eine Idee. mfg, Holger
heute wieder 7 Anmeldungen … Grrr. ja im Moment ist immer die Firmenbezeichnung gleich.
Servus, ich habe bei uns das Passwort-Sicherheitanzeige Plugin installiert und seitdem habe ich keine einzige SPAM-Anmeldung mehr. Evtl. können es die anderen Gebeutelten ja auch mal ausprobieren und ihre Erfahrungen mitteilen, das Plugin ist ja kostenfrei. Wir haben den Passwort Mindestwert bei uns auf 20% gesetzt. http://store.shopware.de/sonstiges/pass … itsanzeige mfg, Holger
OK, Vorsicht, das Passwort Plugin hat einen gravierenden Bug, wenn es aktiv ist funktioniert die “ohne Kundenkonto bestellen” Funktion von Shopware nicht mehr. sonstiges-f15/plugin-passwort-sicherheitsanzeige-t4779.html#p25487 mfg, Holger
Das mit dem PW-Plugin schauen wir uns an. Das Plugin zum verhindern von Spam-Anmeldungen macht auch gute Fortschritte, denke das ich euch das Morgen bereitstellen kann. Funktionen: 1.) Sperren auf Basis von IP-Adressen oder IP-Bereichen 1.a) Entweder Registrierung sperren oder den gesamten Shop (letzteres kann interessant sein, wenn ihr es mit DDOS-Angriffe zu tun bekommt) 2.) Sperren auf Basis eines Regex auf den User-Agent (Damit kann man z.B. Bots oder Agents mit fehlerhaften Informationen von der Registrierung ausschließen) 3.) Filter (Siehe Screenshot). Ihr könnt über ein Backend-Modul für jedes Feld aus der Registrierung Regex basierende Blacklist-Filter definieren - dann definiert Ihr eine Punktzahl, die addiert wird, sofern die jeweilige Bedingung zutrifft. Aus der Summe der Punkte entscheidet sich dann, ob die Registrierung als Spam geblockt wird oder nicht. Ihr könnt direkt aus dem Modul heraus eure Konfiguration gegen tatsächlich durchgeführte Registrierungen testen - für das Feintuning…
Ui, Regel Filter, das klingt gut. Und auch danke beim Passwort Plugin. MfG, Holger
[quote=„schlumpbergercom“]usability: jede „hürde“ auf dem „ohnehin mühsamen“ bestellweg wird kundenverlust nach sich ziehen, zumal wenn diese, wie im beispiel gezeigt, nicht in den prozess „passt“, weder optisch noch funktional. das ist keine echte lösung. [/quote] Der besagte Shop ( Link ) mit dem Captcha von google betrifft uns. Bei uns waren es ca. 300 Anmeldungen, bis wir das Captcha von Shopware einbauen haben lassen - dannach sofort Ruhe. Bei den Neukundenanmeldungen gibt es geringfügige Probleme durch das Captcha, da einige das nicht angezeigt bekommen. Die Sicherheit ging jedoch vor da wir nicht abschätzen können, welcher Schaden mit 300 Kundenkonten angerichtet werden kann. Dachte eigentlich, dass nur wir das Problem haben bis ich diesen Thread gefunden habe. Scheint aber ein Spassvogel zu sein, der Shopware auf die Probe stellt… Wenn es eine bessere Lösung gibt - gerne, du hast sicher Recht und wir wissen ja, das wir dadurch Kunden im Anmeldeprozess verlieren und verärgern und das sollte nicht der Fall sein.
Hallo, ein Update ist nun verfügbar. sonstiges-f15/plugin-passwort-sicherheitsanzeige-t4779.html#p25526 Gruß, Patrick :shopware:
[quote=„Stefan Hamann“] 1.a) Entweder Registrierung sperren oder den gesamten Shop (letzteres kann interessant sein, wenn ihr es mit DDOS-Angriffe zu tun bekommt) [/quote] Das klingt alles gut, auch wenn man Vieles davon mit Deny-Regeln im Apache auch hinbekommt und dafür kein PHP Overhead nutzen muss. Gegen einen DDOS Angriff hilft das auf http-Ebene allerdings nicht. Der Request kommt rein - der Request wird bearbeitet, auch wenn vielleicht immer eine Fehlerseite geworfen wird, die nicht ganz so viele Resourcen verbraucht.
@tschersich Das ist schon klar - das ist nur die “jedermann” Lösung, die man ohne weitere Kenntnisse einsetzen kann. Der PHP-Overhead wird hier übrigens um ca. 80 % reduziert - die Prüfung findet im ersten Event statt, den das System ausführt. Danach ist Feierabend. Trotzdem ist das bei einem professionellen DDOS-Angriff natürlich keine Lösung.
@tschersich [quote]Das klingt alles gut, auch wenn man Vieles davon mit Deny-Regeln im Apache auch hinbekommt und dafür kein PHP Overhead nutzen muss.[/quote] …das bedeutet doch aber, dass Du an den Apache rankommen musst oder nicht? - für Managed Hosting Nutzer ist das ja ein 100%-“NoGo”, von daher bin ich heilfroh, dass soetwas jetzt von Shopware kommt. @Stefan wenn Ihr schon dabei seid diese Funktionen würden schön in ein solches Plugin passen, so das die Funktionen praktisch für Jededermann im Backend zur Verfügung stehen: Integriert doch bitte das Backend-Login Absicherung auf Basis von IP Adressen/PW wie hier angesprochen… post23804.html?hilit=Backend%20absichern#p23804 …und ganz vielleicht auch einen Email-Adressen-Schutz, auch wenn so etwas nicht 100% schützen kann - zumindest wäre es eine Hilfe… Grüße rattatui