Antwort #53 am: 08. November 2019, 12:11:20
Ich nutze die Version aus Beitrag #16 und hatte seit dem 2 Fakeaccounts, die mit 5s noch durchgekommen sind.
Ich werde bei dieser Lösung erstmal bleiben, bis sich neuer Handlungsbedarf ergibt und wenn mal einer durchkommt, dann lösch ich den halt.
Mit der neuen Lösung hätte ich Schiss, dass ich dadurch jemandem verbiete auf die create_account zu gehen, der eigentlich dürfte, weil aus welchem Grund auch immer der erste Versuch zu schnell war.
Im Moment ist es so, dass wenn weniger als 5s vergehen bis man auf der create_account rechts unten auf weiter klickt, dass man auf die Startseite kommt und nicht das rote Feld mit der Angabe, was alles nicht ausgefüllt wurde. Erneuter Aufruf der create_account ist aber möglich. Mit der neuen Version würde man aber sofort als Bot markiert werden und die create_account nicht mehr aufrufen können. Was wenn da jemand aus versehen auf weiter geklickt hat und eigentlich ein Kunde wäre? Den hat man dann verloren.
Vielleicht könnte man denjenigen statt auf die Startseite dann auf eine extra angelegte Seite mit einer Erklärung schicken, warum er nicht mehr die create_account aufrufen kann. Dann müsste man aber dort ein Handlungsmuster aufzeigen, wie er sich erneut anmelden kann. Cookies im Browser löschen?
Bei der Gelegenheit hab ich alle Fakeaccount Kundenkonten noch gelöscht. Sollte jeder machen.
Zitat von p3e aus einer privaten Mail:
Ich glaube nicht, dass es nun grundsätzlich vorbei ist mit dem Versuch Fake-Accounts anzulegen. Diese Accounts dienen in der Regel der Bevorratung von Accounts die dann zum Einsatz kommen, wenn eine Sicherheitslücke für das Shopsystem (oder CMS) gefunden wurde. Ist eine Angriffmöglichkeit bekannt, wird die massiv direkt über diverse Accounts automatisiert durchgeführt. Das geht dann so schnell, dass man manuell die einzelnen Accounts nicht mehr löschen kann und weil die Accounts bereits bestehen, kann man auch nicht einfach vorübergehend die create_account löschen. Traumziel ist die MySQL-Injektion um zB aus einem normalen Account einen Admin zu machen um darüber an die Kundendaten zu gelangen, Zahlungen umzuleiten und als Königsdisziplin Schadcode einzubinden (über den reinen Admin sicher nicht so einfach).
Dass die Fake Accounts ein Nebenprodukt ohne Funktion sind schließe ich aus, da immerhin bestehende Mailadressen genutzt werden.
Gruß Timm