Spam über das OSM-Nachrichtensystem?

Ja.

Captcha beschreibt ja zunächst nur ein Verfahren, nicht unbedingt einen einzelnen Dienst. Deshalb lässt sich die Frage nicht so beantworten. Meistens bezahlen die Leute aber mit ihren Daten oder mit ihrer Zeit und trainieren damit nebenbei irgendeine AI.

Nunja, man sollte halt nicht reCaptcha (Google) benutzen, es gibt freie Captcha alternativen, die man selbst hosten kann. Zudem muss man auch bedenken, dass Captcha für Menschen mit Sehbeeinträchtigungen sehr schelcht sein kann. Längere Erklärung zu Captcha und warums nicht immer notwendig ist, ist https://nearcyan.com/you-probably-dont-need-recaptcha/ man kann auch nen Honeypot machen, das wär ein verstecktes Feld, was ein automatischer Bot ausfüllt. So kann man dann auch filtern.

Im übrigen gehört spätestens sowas dann aufs GitHub von der OpenStreetMap Webseite :slight_smile:

EDIT: Es gibt übrigens ein GitHub Issue dafür aus 2015, eine erste Lösung (HoneyPot und glücklicherweise kein Captcha) wurde damals eingeführt https://github.com/openstreetmap/openstreetmap-website/issues/1083

Das finde ich überhaupt nicht. Ich bin nicht dafür, dass jemand mit falschen Beschuldigungen so einfach aus OSM gekickt werden kann. Das jemand Spam verschickt hat, stellt sich doch erst nach einer Prüfung heraus und ist nicht schon deshalb Tatsache, wenn es jemand anderes behauptet. Zumindest in DE gilt für einen Beschuldigten zunächst immer die Unschuldsvermutung bis das Gegenteil bewiesen ist.

Also wenn ich von einem account, der noch keinen Beitrag zu OSM geleistet hat, eine Nachricht bekomme, die überhaupt nichts mit OSM zu tun hat und auf irgendein windiges Angebot irgendeiner Art verweist, ist das SPAM. Ich sehe hier überhaupt keinen Bezug zu irgendeiner “falschen Beschuldigung”.
Und ich weiß nicht, warum man da noch irgendwelche Prüfungen nach einer Unschuldvermutung anstellen muss. Wenn da dein Gerechtigkeitsempfinden gestört ist, kannst du dich ja freiwillig melden, um derart Prüfungen vorzunehmen.

Ich glaube, dass viele neu angemeldete Accounts schon gleich automatisch rausgeworfen werden, nämlich wenn sie ein Profil mit lauter Links erstellen. Die jüngste Spamwelle war wohl was die Links betrifft vorsichtig genug, um das nicht zu triggern. Ansonsten (in der Frage, ob Leute einfach so mit “kurzem Prozess” rausgeworfen werden) ist es glaub ich so, dass bei einem frisch angemeldeten Account mit 0 Edits nicht lang gefackelt wird, wenn da einer behauptet “der hat mich gespammt” dann glaubt man dem (meistens hat der Account aber eh in seinem Profil einen Sex-Link und dann ist die Sache klar). Wenn es jetzt ein länger existierender Account mit Edits wäre, würde man den natürlich nicht gleich rauswerfen, nur weil jemand behauptet, dass er Spam verschickt habe.

Auf einer Mailingliste hat neulich einer vorgeschlagen, man könnte doch eine Profil-Erstellung erst erlauben, wenn jemand auch Edits hat, aber da gibt es auch Gegenargumente dazu.

Es ist wiederum blauäugig zu glauben, dass ein Admin einfach auf die Behauptung hin: “Der spamt mich,” einfach einen Account platt macht.

Da wird mit Sicherheit geschaut, ob da entsprechende Nachrichten versendet werden, ob die Anmeldung aus einem verdächtigen Adressraum kommt und ob sonstige Spammerkmale erfüllt sind. Das sind IMHO die Prüfungen, die ein Admin macht. Jeder Admin ist schon von “berufswegen” für solche Anzeichen sensibilisiert. Dem mutmaßlichen Spamer auch noch die Möglichkeit zu geben, Stellung zu nehmen ist sogar eher kontraproduktiv. Dann weiß er, sein Spamrun war erfolgreich.

Das kannst Du getrost stecken lassen, denn das gilt nur für den strafrechtlichen Bereich. Hier sind wir im Zivilrecht und da setzt der Admin das Hausrecht des Betreibers (OSMF) durch. Ich kenn jetzt die Nutzungsbedingungen nicht auswendig, bin mir aber ziemlich sicher, das eine Spamklausel drin steht.

Ich denke es wäre sinnvoll, das Versenden von Nachrichten für neue Accounts zu begrenzen

  • nur für Accounts mit Edits
  • erst nach Ablauf eines Monats seit Anmeldung
  • solange nicht beide Bedingungen erfüllt sind sollten nur Antworten funktionieren, wenn man eine Nachricht erhalten hat

Ich habe mal meine eigenen Anfänge untersucht, es waren 4 Monate vom ersten Edit bis zur ersten Nachricht. Die Bedeutung, sofort Nachrichten versenden zu können ist IMHO sehr hoch für Spammer aber praktisch gegenstandslos für neue Mapper.

Zum Thema Captcha: Es ist nicht weiter schwer, einen eigenen Captcha selbst zu programmieren, für meine eigenen Webseiten habe ich das so gemacht. Das hat auch den Vorteil, daß das Captcha unbekannt ist und keine fertigen Angriffe darauf bereitstehen. Allerdings sollte man sein eigenes Captcha nicht Open Source stellen - damit liefert man einem Angreifer schon fast die Anleitung in die Hand, wie er es aushebeln kann. Generell bin ich aber der Meinung, daß ein Captcha der schlechtere Weg ist, da es alle legitimen Nutzer bestraft/nervt, während ein echter Neumapper die oben genannten Begrenzungen in den meisten Fällen nie bemerken würde.

Das OSMF - System ist evtl. auch schon betroffen!

Das würde vielleicht zumindest gegen reine Spammer helfen.

Das wiederum halte ich für problematisch. Ich hatte am Anfang auch Kontakt zu anderen Mappern per PN gesucht. Ob da schon ein Monat rum war, weiß ich aber nicht mehr. Eine solche Einschränkung (“Du darfst aber erst nach einem Monat mit anderen Mappern in Kontakt treten.”) schreckt vielleicht ab.

Ich wünsche es mir öfters, wenn neue Personen bei Problemen und Fragen schneller kommunizieren Wir sind doch eine Gemeinschaft. Ja, das (Hilfs-)Forum oder Mailinglisten sind dafür vorgesehen, aber eine PM hat wohl weniger Hürden. Von daher kommt mir das Mailversenden einzuschränken, aber alle anderen Möglichkeiten wie Notes und CS-Kommentare nicht, merkwürdig vor. Kommentare zu Notes kann ich z.B. nicht einmal melden und verschwinden gar nicht aus der Datenbank.

Eine Maschine kann auch einen Punkt anlegen und hat damit den ersten Edit.

Wie häufig melden sich Personen an? Wenn es richtig dargestellt wird, sollte Verständnis für ein wenig Mehraufwand und einige Minuten Zeit da sein.

Der Vorschlag, Mindestzahlen an Edits für weitere Aktivitäten vorauszusetzen, ist leider auch nicht praktikabel, da es im OSM-Ökosystem auch Menschen gibt, die nicht editieren, sondern auf andere Weise zum Projekt beitragen, und z.B. darüber Diary-Artikel schreiben möchten.

Ich würde mich dann auch nicht wundern, wenn der Spammer die benötigte Anzahl an Edits auch noch macht, und das wäre sicher unschöner für OSM.

War ja nur ein Beispiel.
Man könnte auch einen OSM-Pseudoeditor aufsetzen, wo der Neuling die Hauptstraße mit zwei Nebenstraßen richtig verbinden muss und ein Hausumriss zeichnen muss und diesen richtig taggen. Dann hat der Neuling gleich was gelernt und den Spammern kostet das einfach nur unnötig Zeit, die sie nicht haben, um noch rentabel spammen zu können. Also so eine Art Tutorial, das man nicht überwinden kann. Irgend etwas halt, das einfach nur Zeit kostet.

…Heute am Tage hatt ich auch eine… nach dem bekannten Schema. Die hat es aber nicht bis ins Mailpostfach geschaft und im PN-Bereich hatte ich die gleich gelöscht.
Mir sagt das, daß es eine Art Zwischenfilter gibt, der auch nach bestimmten Schemata und Verhaltensweisen arbeitet. Ich denke die Admins haben da schon recht potente Erkennungsroutinen, die gelegentlich mal zart nachjustiert werden…

Der beste Filter ist ja eh Brain 1.0, das eigene Hirn im Kopp.

Sven

Hatte heute auch einen Damenkontakt und entsprechend gemeldet.

Jan

Wenn es nur einmal beim Registrieren passiert, glaube ich nicht, dass es nervt. Glaub mir, es gibt Plattformen, da musst Du Dich nur einmal beim Einloggen vertippen, schon kommt ein Capcha.
Das nervt. :roll_eyes:

Den Spambot möchte ich sehen, der so was schafft. Allein den Aufwand so was zu programmieren, betreibt keiner von der Spammerbrut. Die haben ganz andere Absichten,wie z.B. Viren zu verbreiten.

Da die Bots vermutlich in irgendeiner verbreiteten Skriptsprache geschrieben sind und es für prakatisch alle eine OSM API Bibliothek gibt, dürfte der Aufwand sich im Minutenbereich bewegen.

Habe auch eine solche E-Mail bekommen von Christina_A_Hunt:
I like you. Write me in a dating site! This is a link to my profile

Der User wurde aber auch schon wieder gelöscht

Wenn man diesem Link folgt hat man sich im schlimmsten Fall einen Virus eingehandelt. Der einzige Unterschied zu Covid-19 is, dass der nur lebensgefährlich für das befallene System ist. :rage:

Jetzt hat es mich auch erwischt: Barbara W_Denton. Ich habe den User gemeldet.