Wie schaffen es bestimmte Registrierende zu verhindern, dass die Adminbenachrichtigung rausgeht?

  • Auf einer von mir betreuten Webseite können sich Interessenten registrieren, müssen dazu aber spezielle zusätzliche Angaben machen. Dazu nutze ich Faboba "Ultimate Users".

    Die Freigabe/Aktivierung erfolgt ausschließlich durch einen Admin, der die gemachten Angaben vorher auf Richtigkeit prüft. Dazu geht bei der Registrierung die entsprechende Admin-Benachrichtigung heraus. (Kontenaktivierung durch Admin / Informationsmail an Administratoren: Ja).

    Das funktioniert im Normalfall problemlos.


    Merkwürdigerweise aber schaffen es gerade gefälschte Anmeldungen in die Joomla-Benutzerverwaltung aufgenommen zu werden (natürlich ohne Freigabe bzw. Aktivierung), ohne dass eine Benachrichtigung an die Admins herausgeht. Die entdecke ich erst dann, wenn ich von Zeit zu Zeit die Benutzerverwaltung besuche. Da stehen dann Falschnamen und falsche Emailadressen.


    Aber ich frage mich, wie es geht, dass gerade diese solche gefälschten Anmeldungen keine Adminbenachrichtigungen erzeugen, während alle regulären Registrierungen es aber tun. Kann mir jemand einen Tip geben, wie es sich verhindern lässt, dass die Adminbenachrichtigungen unterbleiben bzw. unterdrückt werden - dass also in jedem Fall so eine Benachrichtigung herausgeht?


    Gruß, Kallle


    P.S.: Ich musste gerade noch den gängigen englischen Begriff für "Fälschung" löschen und durch das deutsche "gefälscht" ersetzen, weil er hier zu den zensierten Wörtern gehört.

  • (Kontenaktivierung durch Admin / Informationsmail an Administratoren: Ja).

    Wo wird das denn aktiviert? In Joomla selbst oder in der zusätzlichen Erweiterung?


    Und zeigt der Link

    Code
    www.example.com/?option=com_users&view=registration

    ein ungesichertes Registrierungsformular (vorbei an deiner Erweiterung)? Kein Captcha wie z.B. ECC+

  • Hallo Re:Later,


    das wird in Joomla selbst aktiviert. Der Aktivierungslink wird an die Adminbenachrichtigung angehängt.


    Ja, wenn Du die Captcha-Absicherung meinst, ist das Formular nicht abgesichert.


    Das liegt daran, dass Ultimate Users dummerweise nicht jedes beliebige Joomla-Standard-Captcha zulässt, sondern nur das Google reCaptcha, wozu die entsprechenden Google Api-Keys erforderlich sind. Die aber habe ich nicht, seit Google von den "Projektbetreuern" verlangt, dass sie ein Rechnungskonto mit Kreditkartennummer besitzen/angeben müssen. Selbst wenn Google es bisher kostenlos gemacht hat, misstraue ich diesen Bandenkriminellen zutiefst. Sie kriegen keine Kreditkartennummer und auch kein Rechnungskonto von mir. Ergo muss ich auf alles verzichten, was Google zu bieten hat. Das fällt mir bisher leicht mit Hilfe von OpenStreetmaps und "Aimy Captcha Less Form Guard". Nur eben lässt sich dieses lokale Aimy Captcha nicht in "Ultimate Users" einbinden.


    Abgesehen davon könnten es ja auch "menschliche" Spammer sein.

  • Ja, ich finde es unangebracht, das Wort "ekaf" (rückwärts lesen!) hier als Badword zu zensieren, denn etwas das tatsächlich gefälscht ist, wird wohl kaum groß und deutlich den Begriff "ekaf" (rückwärts lesen!) in sich tragen. Wenn ich als Profikiller arbeitete, würde ich ja auch nicht den Begriff "Killer" auf meine Stirn tätowieren lassen. Zur Verschleierung vielleicht eher den Namen eines Paketdienstes o. ä. fie

  • Dass du für Bot-Registrierungen keine Adminmail bekommst, dürfte daran liegen, dass sie die Registrierung nicht mit dem an die falsche Mailadresse gesendeten Link bestätigen. Der Ablauf bei Freischaltung durch Admins ist m.W. folgender:

    1. User registriert sich.
    2. User bekommt Mail mit der Bitte, die Mailadresse durch Klick auf den Link zu bestätigen.
    3. Admins bekommen Mail mit der Bitte, den User freizuschalten.

    Wenn 2. nicht erfüllt wird, kommt es erst gar nicht zu 3.

  • Dass du für Bot-Registrierungen keine Adminmail bekommst, dürfte daran liegen, dass sie die Registrierung nicht mit dem an die falsche Mailadresse gesendeten Link bestätigen. Der Ablauf bei Freischaltung durch Admins ist m.W. folgender:

    1. User registriert sich.
    2. User bekommt Mail mit der Bitte, die Mailadresse durch Klick auf den Link zu bestätigen.
    3. Admins bekommen Mail mit der Bitte, den User freizuschalten.

    Wenn 2. nicht erfüllt wird, kommt es erst gar nicht zu 3.

    Ja, das wird es sein! An diese Reihenfolge hatte ich nicht gedacht. Ich ging davon aus, dass Nutzermail und Adminmail parallel rausgehen.

    Aber so wie Du es beschreibst macht es Sinn und ist plausibel! Wieder was begriffen!

    Dann brauche ich mir aber auch keine Sorgen zu machen, wenn ich nicht benachrichtigt werde, denn dann passiert da auch weiter nichts, außer dass da ein bisschen Datenmüll in der Benutzerverwaltung liegt, den ich von Zeit zu Zeit aufräume.

    Vielen Dank!