Der Spamschutz greift nicht im "classic" Modus, da kein Template dafür vorhanden ist.
Abhilfe schafft "Template von /ytemplates/bootstrap nach /ytemplates/classic kopieren".

Wir setzen den Dienst "Akismet" von Wordpress, recht erfolgreich gegen Formular-Spam ein.

https://akismet.com/

Vllt wär das eine sinnvolle Option für die yform_spam_protection.

Wollte eben ein via Backup-AddOn erstellten Dum lokal in eine MariaDB importieren und erhalten diesen Fehler.

Fehler

Data too long for column 'was_blocked' at row 1

Values for row 1
(1234123412,'','2022-01-14 16:38:31','0'),

Affected versions / Verwendete Versionen

yform_spam_protection: 1.2.0

Für unseren guten Eric Jones 😅

Zum Beispiel einen SHA256-Hash über Namen oder E-Mail-Adresse legen und diesen für maximal eine Woche zwischenspeichern. Diese Einstellung muss optional sein und pro Formular aktiviert werden können, um Szenarien abzufangen, in denen in kurzer Zeit auch mehrmals dieselben Namen oder Mailadressen erlaubt sind.

Schau mal, ob du den form_name objparam gesetzt hast. Sonst passiert genau das, was Marco gerade geschrieben hat vermute ich.

via @ynamite @claudihey @pschuchmann @marcohanke

Bei Deinstallation des Addons sollten die Datenbanktabellen und das YForm Tableset entfernt werden.

wäre das ok ? Ich würde gerne jede Art von Spamprotection auf der YForm rausnehmen und dem AddOn hier überlassen

Obwohl das Ignorieren aktiviert ist, wird man als Backend-User dennoch als Spam erkannt.

Bitte bitte erweitern.

Auf Basis von https://lite.ip2location.com/ip2location-lite

• Datenbank via Addon anlegen und befüllen
• Update-Prozess ausdenken, sodass die Daten losgelöst aktualisiert werden können
• Validierung einfügen
• Dokumentation

Hallo Alex,

ich habe gerade bei einem Projekt das AddOn von 1.2.0 auf 1.2.3 gehievt, was am Ende in einem Whoops-Screen endete sobald ich eine Seite mit einem yForm-Formular aufrufe.

Problem ist gewesen, dass ich unter /yform_spam_protection/ytemplates/ in Version 1.2.0 ein eigenes Template gespeichert hatte, was dann nach dem Update verschwunden war und somit den Whoops-Screen triggerte ("Path cannot be empty").
Lösung war: Einfach mein yTemplate von der Festplatte via FTP wieder in den Ordner gelegt => Whoops weg, yForm-Seite läuft.

Es wäre cool, wenn zukünftig eigene Ergänzungen im yTemplates-Ordner bei einem Update erhalten bleiben. :)

Danke und Gruß,
Stefan

Affected versions / Verwendete Versionen

REDAXO: 5.15.1
PHP: 8.1.25
Database: MySQL 5.7.42
Browser: Chrome (aktuell)
AddOns: yForm 4.1.1 / yForm Spam Protection 1.2.3

Warning: Use of undefined constant disabled - assumed 'disabled' (this will throw an Error in a future version of PHP) in redaxo/src/addons/yform_spam_protection/pages/yform.spam_protection.settings.php on line 14
Warning: Use of undefined constant disabled - assumed 'disabled' (this will throw an Error in a future version of PHP) in redaxo/src/addons/yform_spam_protection/pages/yform.spam_protection.settings.php on line 24
Warning: Use of undefined constant disabled - assumed 'disabled' (this will throw an Error in a future version of PHP) in redaxo/src/addons/yform_spam_protection/pages/yform.spam_protection.settings.php on line 32
Warning: Use of undefined constant disabled - assumed 'disabled' (this will throw an Error in a future version of PHP) in redaxo/src/addons/yform_spam_protection/pages/yform.spam_protection.settings.php on line 41
Warning: Use of undefined constant disabled - assumed 'disabled' (this will throw an Error in a future version of PHP) in redaxo/src/addons/yform_spam_protection/pages/yform.spam_protection.settings.php on line 48
Warning: Use of undefined constant disabled - assumed 'disabled' (this will throw an Error in a future version of PHP) in redaxo/src/addons/yform_spam_protection/pages/yform.spam_protection.settings.php on line 72
Warning: Use of undefined constant disabled - assumed 'disabled' (this will throw an Error in a future version of PHP) in redaxo/src/addons/yform_spam_protection/pages/yform.spam_protection.settings.php on line 80
Warning: Use of undefined constant disabled - assumed 'disabled' (this will throw an Error in a future version of PHP) in redaxo/src/addons/yform_spam_protection/pages/yform.spam_protection.settings.php on line 85

Deprecated: trim(): Passing null to parameter #1 ($string) of type string is deprecated in redaxo/src/addons/yform_spam_protection/lib/yform/value/spam_protection.php on line 75

Deprecated: explode(): Passing null to parameter #2 ($string) of type string is deprecated in redaxo/src/addons/yform_spam_protection/lib/yform/value/spam_protection.php on line 21

Damit die Daten via Cronjob oder SQL-Backup von REDAXO nicht im Datenbank-Backup landen.
redaxo/redaxo#2754 (comment)

Auf Basis einer eigenen Klasse, die via Methoden einzelne Prüfungen vornimmt, könnten diese Prüfungen auch losgelöst von YForm erfolgen und so in eigene Lösungen implementiert werden.

• Eigene Klasse
• Validierung abstrahieren
• opt. Scoring einbauen
• Value anpassen
• Docs anpassen

Externe Dienstleister mit API, z.B: https://www.maxmind.com/en/home, bieten genauere Daten an, um bestimmte IPs / Regionen zu sperren.

• API-Key hinterlegbar machen
• Ergebnisse zwischenspeichern (performanter, günstiger)
• Basis-Einstellungen (Blacklist, Whitelist)
• Aufruf / Validierung einfügen
• Anleitung / Dokumentation

Lang-Dateien hinzufügen und Strings dorthin auslagern.

Wenn über einen fixen Zeitraum, bspw. 10 Minuten, fehlgeschlagene Validierungen - also Spam - sich häuft, dann den Entwickler darüber informieren, sodass dieser evtl. vor dem Kunden Bescheid weiß und die Einstellungen zeitweise verschärfen kann.

• Einstellung bieten
• Stille YForm-Mail versenden
• Docs

Ich fänd eine IP-Whitelist ganz praktisch, um die Kollegen die Seiten mit Formularen bauen und testen nicht immer wieder entsperren zu müssen. Oder meinst Du das ist dann eher ein Config-Problem?

Andernfalls kommt es im Frontend direkt zu einem Whooops.

Ich habe folgende Fehlerausgabe im Frontend:

Warning: yform template value.spam_protection.tpl.php not found in redaxo/src/addons/yform/lib/yform.php on line 482
Warning: include(): Filename cannot be empty in redaxo/src/addons/yform/lib/yform/value/abstract.php on line 145
Warning: include(): Failed opening '' for inclusion (include_path='.:/usr/iports/php74/share/pear') in redaxo/src/addons/yform/lib/yform/value/abstract.php on line 145

Jemand eine Idee?

Ich habe leider nur wenig Ahnung (DSGVO), aber wäre es nicht besser die IP's zu hashen? Und ich habe das Gefühl das die IP-Adressen nicht gelöscht werden, bei mir sind diese nun schon 40 Min in der DB.

Auf Basis von Ziel-Mail-Adressen die Top-Level-Domains aussperren

• Spam-Validator muss Absender-E-Mail-Feld optional entgegen nehmen
• In den Einstellungen whitelist/blacklist von TLDs einfügen und auswerten
• Docs aktualisieren

Feature description / Feature Beschreibung
https://github.com/FriendsOfREDAXO/yform_spam_protection/tree/main/plugins/recaptcha

Von meiner Seite aus darf das gern ausgelagert werden in ein anderes Addon. Auch wenn ich es damals hier aufgenommen habe aus Kompatibilitätsgründen - ich halte Recaptcha nicht für eine gute Empfehlung hier, solange das Honeypot-Feld so gut Spam standhält.

Das Inputfeld Bitte nicht ausfüllen ist noch etwas im Frontend sichtbar. https://friendsofredaxo.slack.com/archives/C1BAXLN2F/p1590579256031700
Abhilfe:
#yform-formular-honeypot input { background-color: transparent !important; border-color:transparent !important; }

Hallo,

ich habe das yform_spam_protection of einem Redaxo-System (5.11.0) installiert und den Output eines Formulartemplates um den dazugehörigen Code (PHP-Schreibweise) ergänzt:
$yform->setValueField('spam_protection', array("honeypot","Bitte nicht ausfüllen.","Ihre Anfrage wurde als Spam erkannt und gelöscht. Bitte versuchen Sie es in einigen Minuten erneut oder wenden Sie sich persönlich an uns.", 0));

Es ist YForm 3.4.1 installiert.

Wenn ich das Formular auf der Webseite untersuche, dann sehe ich an der Stelle, an der ich ein Honeypot-Input oder ähnliches erwarten würde, nichts. Ich kenne die Arbeitsweise des AddOns nicht und bin daher verunsichert, ob dies das korrekte Verhalten des AddOns ist, oder ob hier ein Fehler vorliegt.

Falls es ein Fehler ist, woran könnte das liegen?

Statt nur die Validierung zu versagen könnte ab einer gewissen Häufung von fehlgeschlagenen Validierungen oder auf Basis eines Scoring-Algorithmus der Besuch der Seite für 24 Stunden komplett verwehrt werden via IP/Session.

Es muss sichergestellt sein, dass die IP von Firmennetzen bspw. nicht das einzige Kriterium bleibt.

• Dazu ein Feld removedate in der IP-Tabelle hinzufügen, das im Zweifel immer wieder hochgesetzt wird (on duplicate update)
• hochgesetzt werden darf es nur, wenn auch wirklich ein Formular abgesendet wird.
• optional eine Fehlermeldung ausgeben, dass man als Spam erkannt wurde und X Std. warten muss.
• Die Sperre muss sich einfach entfernen lassen, bspw. über die Datenbank

https://cleantalk.org/help/api-check-message alternativ zu #1

Nachfolgender Fehler kommt beim Update von Version 1.2.1 auf Version 2.0-beta3
TypeError: rex_yform_manager_table_api::importTablesets(): Argument #1 ($tableset_content) must be of type string, null given, called in /www/htdocs/w019d09f/staging.inotec-gmbh.com/redaxo/src/addons/.new.yform_spam_protection/update.php on line 3
File: redaxo/src/addons/yform/plugins/manager/lib/yform/manager/table/api.php
Line: 92

Warning: yform template value.spam_protection.tpl.php not found in redaxo/src/addons/yform/lib/yform.php on line 482

Warum auch immer?

https://cloud.google.com/translate/docs/basic/detecting-language

• API-Schlüssel in Einstellungsseite
• Blacklist / Whitelist in Einstellungsseite
• Abruf und Validierung einbauen
• Docs aktualisieren

Es wäre super, wenn die ID mit autoincrement mit in die Tabelle aufgenommen werden kann. Dann hat man die Möglichkeit das per YFORM auch als Tabelle zu migrieren und im Backend anzuzeigen und Datensätze zu löschen.

In meinem Redaxo Error Log finde ich folgenden Eintrag:
Warning | A non-numeric value encountered | redaxo/src/addons/yform_spam_protection/lib/yform/value/spam_protection.php | 42

Ein Szenario zum Nachstellen des Fehler ist mir nicht bekannt. Zudem trat der Fehler nur einmalig auf.

@alexplusde In der aktuellen Github Version sind ettliche Felder der Settingspage disabled, gibts da einen Grund für? Oder war das zu testzwecken? Ich würde gerne die zwei PRs mergen und releasen, aber nicht mit deaktivierten Inputs (es sei denn es macht Sinn ;-) ).
429a1ed#diff-4280572020c61301667548f8bf3e61d8

Im Moment noch nicht möglich, aber wenn CSP Header gesetzt werden und script und style beim Direktaufruf verboten sind, müsste eine Nonce ergänzt werden.

Sobald der PR hier durch ist, könnte man es hier ergänzen

redaxo/redaxo#5510