Sie sind hier

Anmeldeprozedur geändert

Bild von Markus Kohm

Edit: Aktuelle Informationen zur Anmeldung sind in den neusten Kommentaren zu finden.

Aufgrund der anhaltenden idiotischen Angriffe auf die Seite (täglich mehrere Fake/Spam-Accounts) habe ich die Anmeldeprozedur geändert. Es werden nun bereits bei der Anmeldung diverse persönliche Informationen abgefragt. Diese Informationen sind allesamt als privat gekennzeichnet, was bedeutet, dass sie nur dem Benutzer selbst und den Administratoren zugänglich sind. Zusätzlich muss der Benutzer noch die E-Mail, die er vom System bei Anmeldung bekommt, beantworten. Altbenutzer werden gebeten einmal die Seite mit ihren persönlichen Informationen aufzusuchen und dort die mit einem roten Stern gekennzeichneten Felder auszufüllen.

Ggf. werde ich zukünftig auch noch die Domains von geblockten Accounts listen. Das sind dann in der Regel Domains, deren Inhaber es den Leuten zu einfach machen, mal eben eine E-Mail-Adresse für einen Angriff anzulegen und zu verwenden. In letzter Zeit liefern host-Anfragen auf die Domains der Fake-Accounts übrigens als mail-handler fast immer relay.mymail-in.net, mail.mymail-in.net oder mx[1-4].mymail-in.net. Leider kann Drupal die nicht automatisch abweisen, sondern man muss jede Domain einzeln in die Liste aufnehmen.

Ich erhoffe mir von der geänderten Prozedur folgende Vorteile: Ein paar mehr Angriffe scheitern bereits dadurch, dass die entsprechenden Felder bei der Anmeldung nicht ausgefüllt werden. Ein paar weitere scheitern, weil die Felder erkennbar mit Unsinn gefüllt sind. Die Anmeldung wird für Benutzer und Admin durchschaubarer, einfacher und damit auch schneller.

BTW: Bitte keine Support-Anfragen an die Admin-Adresse.

forum: 
Bild von Markus Kohm

Wer eine Adresse erfindet, sollte sich schon ein wenig Mühe dabei geben.

Bild von Markus Kohm

Heute Nacht hat ein Angreifer offenbar versucht, dadurch Eindruck zu schinden, dass er innerhalb weniger Minuten Dutzende von Anmeldungen abgesetzt hat. Das ist insofern kein großes Problem, als Anmeldungen, bei denen keine Antwort auf die Admin-E-Mail erfolgt ohnehin nicht weiter bearbeitet werden. Es könnte aber sein, dass dies nur der Auftakt eines Versuchs ist, die Seite durch massenhafte Fake-Anmeldungen in die Knie zu zwingen.

Mir war es ja schon immer ein Rätsel, was da jemand gegen KOMA-Script hat, dass er ständig verbesserte Robots darauf ansetzt und sich ständig veränderte Angriffe dafür ausdenkt. Ich würde das ja gerne sportlich sehen. Sollte es dem Angreifer aber tatsächlich irgendwann gelingen, die Benutzbarkeit der Maschine in Frage zu stellen, dann betrifft das leider nicht allein diese Seite. Ich sehe nicht ein, dass es anderen zum Nachteil wird, dass uns hier kostenlos eine Plattform zur Verfügung gestellt wird.

Sollte das je geschehen, werde ich mich persönlich beim Betreiber dafür stark machen, komascript.de vom Netz zu nehmen! Ansonsten werde ich mal sehen, ob ich zukünftig IP-Adressen von Massenangriffen ermitteln und öffentlich bekannt machen kann. Heute Nacht kam der Angriff übrigens aus einem Netz, für das die whois-Abfrage einen Verantwortlichen in Deutschland ausspuckt. Bisher waren die Netze fast immer russischen, ukrainischen oder amerikanischen Providern zuzuordnen.

Bild von Markus Kohm

Jeden Tag meint min. ein Schlaumeier, er könne mit falschen Angaben bei der Adresse oder ohne akzeptieren der Teilnahmebedingungen trotzdem Mitglied werden. Ich sage es deshalb hier noch einmal:

Die Angaben sind notwendig, wenn man bei uns mitmachen will. Eigentlich war das KOMA-Script documentation project ausschließlich dazu gedacht, dass Leute, über die Anleitung diskutieren und sie durch eigene Beiträge verbessern können. Das Forum wurde dann ziemlich schnell zu einer Art Support-Anlaufstelle für Fragen zu KOMA-Script oder auch allgemein zu LaTeX. Ich bin ja bereit das zu akzeptieren. Ihr müsst aber dafür auch akzeptieren, dass der Zugang eigentlich für Leute gedacht ist, die jemanden kennen, der jemanden kennt, der jemanden kennt, der ... mich kennt. Damit Leute, die nicht zu diesem Netzwerk gehören nicht traurig außen vor bleiben müssen, sind wir bereit auch Außenstehende aufzunehmen. Wir sind sogar bereit zu akzeptieren, dass diese lieber unter Pseudonym auftreten, damit niemand erfährt, dass sie keine KOMA-Script-Experten sind. Aber zumindest die Administratoren wollen wissen, wer ihr seid.

Wer lieber darüber diskutieren will, ob man an jedem Forum auch komplett anonym teilnehmen können muss und der Betreiber dafür gefälligst jedes juristische und administrative Risiko zu tragen hat, der ist bei uns falsch. Sucht Euch dafür ein passendes Forum oder macht selbst eines auf. Wer uns nicht glauben will, dass wir die Adressen nicht an die große Glocke hängen und auch keinem Werbetreibenden zur Verfügung stellen, der ist hier auch falsch. Und wer darüber diskutieren will, ob man bei Drupal nicht auch andere Mittel hat, um Spammer und Saboteure rauszuhalten, der möge das bitte mit den Drupal-Entwicklern diskutieren.

Nein, ich kann kein anderes System installieren und mir fällt es wirklich schwer zu verstehen, warum in den letzten Tagen die Leute, die mit mir über die Anmeldung diskutieren oder diese umgehen wollen, die Anzahl derer, die hier mitwirken wollen, täglich übersteigt. Dass die Zahl der Fake-Anmeldungen größer ist als die Zahl der ernst gemeinten Anmeldungen bin ich ja gewohnt und ist im Vergleich auch nicht wirklich ein Problem. Die Diskutierer hindern mich derzeit aber an der KOMA-Script-Weiterentwicklung und das ist ärgerlich.

Bild von Markus Kohm

Irgendwie habe ich das Gefühl, dass Frauen wahlweise intelligenter oder sorgfältiger sind. Soweit ich das mitbekomme, ist bisher nur eine einzige Frau an der Anmeldeprozedur gescheitert. Bei Männern ist das jedoch fast schon die Regel. Heute haben sich bisher beispielsweise zwei Personen registriert. Die Frau hat alles ordentlich ausgefüllt, eine nette und formal korrekte Mail an den Admin geschrieben und sofort ihre Freischaltung bekommen. Der Mann hat zwar auch eine nette und formal korrekte Mail an den Admin geschrieben, hätte aber bei der Anmeldung die Hinweise zu den einzelnen Feldern gründlicher lesen und die Felder lieber korrekt ausfüllen sollen.

Typische Fehler von Männern sind:

  • Sie haben keinen Familienname.
  • Sie tragen den Familienname als Straße/Hausnummer ein.
  • Sie vergessen den entscheidenden Satz in der Mail an den Admin.
  • Sie verhalten sich wie ein Robot, der nur den entscheidenden Satz aus der Admin-Mail an den Admin zurück schickt.
  • Postleitzahl und Land werden in ein Feld gepackt, obwohl es dafür getrennte Felder gibt.
  • Es wird ein Ort außerhalb von Deutschland angegeben aber die Angabe des Landes fehlt.

Typische Fehler von Frauen sind bisher nicht bekannt.

Übrigens hat auch noch keine Frau wegen der Anmeldung herumgemosert. Ich schließe daraus, dass Frauen entweder das Unvermeidliche akzeptieren oder das Forum bei Missfallen einfach meiden.

Meine Damen: Weiter so!

Meine Herren: Das könnt Ihr besser!

Bild von Markus Kohm

Ich möchte jetzt nicht behaupten, dass Ösis männlichen Geschlechts sich wie Frauen benehmen, aber es ist nach Auswertung diverse Anmeldeversuche eindeutig so, dass die Trefferquote – bezogen auf erfolgreiche Anmeldung mit nur einem Versuch – unter den Ösis fast genauso hoch ist wie unter den Frauen. Nun hält sich unter uns Deutschen ja beharrlich das Gerücht, Ösis wären etwas langsamer. Sollte das tatsächlich zutreffen, scheint die Langsamkeit eher Ruhe und Sorgfalt zu sein, während die Deutsche Schnelligkeit bei Deutschen Männern eher Übereile zu sein scheint.

Über die Schweizer, über die es das gleiche Gerücht wie über die Ösis gibt, kann ich bisher noch nicht so viel sagen.

Bild von Markus Kohm

In letzter Zeit häufen sich die Versuche, mit falschen Anmeldedaten oder Einmal-E-Mail-Adressen einen Account zu bekommen. Wenn die Antragsteller mit den falschen Daten darauf hingewiesen werden, was davon zu halten ist, dass sie falsche Daten angeben und dann frech deren Korrektheit bestätigen, hört man bisher ausnahmslos nichts mehr von ihnen. Es wurde daher beschlossen, dass diejenigen, die bei den Angaben frech betrügen, zukünftig schlicht gesperrt bleiben. Es wird kein Gedanke mehr darauf verschwendet werden, unter welchen Umständen der Account doch noch freigeschaltet werden kann.

Wir haben übrigens derzeit rund 670 gesperrte Accounts und etwas über 2000 echte Accounts. Von etwa 500 Accounts gab es in im ersten Halbjahr Zugriffe auf diese Seite. Wieviele davon gesperrte Accounts waren, wird nicht erfasst. Die Benutzernamen der gesperrten Accounts reichen von Kaufaufforderungen für irgendwelche Medikamente bis hin zu unzweideutig sittenwidrigen Anträgen.

Bild von Markus Kohm

Da ich derzeit der einzige wäre, der sich mit Neuanmeldungen befassen würde, ich aber auf der anderen Seite derzeit nicht hinreichend motiviert bin, mich da hinein zu knien, werden derzeit neue Accounts nur auf persönliche Nachfrage bei mir erstellt und bleiben denjenigen vorbehalten, die an KOMA-Script bzw. der Dokumentation von KOMA-Script mitarbeiten wollen.

Alle, die nur irgend eine Frage haben, mögen sich bitte an Foren wie goLaTeX oder mrunix oder an eine der Usenet-Gruppen de.comp.text.tex oder comp.text.tex oder eine Mailingliste wie TeX-D-L wenden. In der Regel findet er dort durchaus nützliche Hilfe. Wer eine Frage an mich selbst stellen will, nütze dafür die E-Mail-Adresse, die in KOMA-Script selbst zu finden ist.

Die Chancen auf Antwort steigen übrigens sehr, wenn man die Frage sorgfältig stellt.

Bild von Markus Kohm

Ich habe mir – wider erwarten – tatsächlich heute die Mühe gemacht und bin auch das Risiko eingegangen, wieder Neuanmeldungen zu ermöglichen. Man wird sehen, ob eine neue Flut von Angriffen die Folge ist. In diesem Fall, kann die Entscheidung sehr schnell wieder zurückgenommen werden.

Comments for "Anmeldeprozedur geändert" abonnieren