Link versteck Dich

Als Reaktion auf Martin Mißfeldts Webspam zieht nicht mehr? Von wegen…, hat sich  seo2feel die Mühe gemacht einige Links näher zu analysieren und dabei festgestellt, dass Spamer ihre Links gerne mal in den Kommentaren von Seiten verstecken, die Drupal als CMS einsetzen → Kleine Analyse – Drupal und versteckte Links

Schaut man sich die Analyse näher an und vergleicht sie mit den Standardeinstellungen von Drupal, lässt sich der Angriffspunkt, wenn man ihn so nennen möchte, recht schnell identifizieren. Hier treffen Wissen um Eingabeformate, CSS und Rollen, auf Seiten der Spamer, auf Nichtwissen oder auch „man kann nicht alles im Auge haben“, auf Seiten der Webseitenbetreiber.

Standardmäßig steht Gästen und angemeldeten Benutzern nur gefiltertes HTML als Eingabeformat zur Verfügung. Dieses lässt ein paar Tags zu und ignoriert den Rest. Zusätzlich stellt Drupal volles HTML als Eingabeformat bereit, was in der Standardeinstellung allerdings deaktiviert ist. Arbeitet der Seitenbetreiber nun nur mit der Gruppe der angemeldeten Benutzer und stellt diesen Full HTML als Eingabeformat zur Verfügung, steht diese Option jedem Besucher offen, der sich an der Seite anmeldet. Sofern die Anmeldung nicht deaktiviert wurde oder eine Freischaltung der User-Accounts nur per Hand erfolgt, könnte man also nach kurzer Anmeldung volles HTML in den Kommentaren nutzen.

Genau das haben sich anscheinend die Spamer auf den Seiten zu nutze gemacht, die Martin und seo2feel ins Auge gesprungen sind.

It's not a bug
Wie seo2feel richtig analysiert hat, sind die Versteckmöglichkeiten kein Bug, sondern einfach nur das Ausnutzen der vorhandenen Mittel. Die von ihm angeführte Funktion „Clean-URLs“ ist Bestandteil von Drupal und zieht mit der zugehörigen Klasse ein „display:none;“ aus der system.css. Mit dem Wissen um ein „Standard“-“display:none“, muss sich der Spamer nicht mal mehr die Mühe machen nach weiteren CSS-Ansatzpunkten zu suchen. Einfach die gewünschten Links und evtl. passender Text in ein entsprechendes div gepackt und schon bekommt Google Zusätze, die vom Browser nicht ausgegeben werden.

Die Problematik lässt sich allerdings problemlos aus der Welt schaffen, ohne das hierfür tiefe Eingriffe in das System notwendig wären. Man gibt einfach den angemeldeten Benutzer nicht die Rechte zur Nutzung des Eingabeformats „Full HTML“, sondern differenziert die Benutzergruppen so, dass wirklich nur vertrauenswürdige Personen volles HTML nutzen können. Hierzu bietet Drupal mit seiner Benutzerverwaltung von Hause die notwendigen Einstellmöglichkeiten. Bereits mit den Boardmitteln lässt sich recht umfangreich festlegen, welche Benutzergruppe auf bestimmte Funktionen Zugriff hat und welche Benutzer diese Rechte nicht haben.

Ist das Ganze nun nur ein Problem für Drupal?
Das Problem ist in meinen Augen eher an der Stelle zu sehen, an der Benutzer Rechte bekommen, die sie lieber nicht bekommen sollten. Dabei ist die Wahl des eingesetzten CMS erst einmal zweitrangig. Die meisten CMS bieten von Hause aus die Möglichkeit sich zu registrieren und den neuen Benutzer automatisch einer Rolle zuzuordnen. Hat diese Rolle zu umfassende Rechte, kann dies natürlich auch Türen für unerwünschte Benutzeraktivitäten öffnen.
Gerade bei den Rollen unterscheidet sich Drupal nach der Installation dann doch von so einigen anderen CMS, es kommt ohne großen Katalog von vorgefertigten Rollen daher. Für das System gibt es erst mal nur Gäste und Authentifizierte Benutzer. Die einen dürfen relativ wenig, die anderen dafür etwas mehr. Solange man sicher sein kann, dass sich nur User für das System registrieren, denen man diese Rechte auch einräumen will, mag man als Seitenbetreiber mit dieser rudimentären Unterscheidung leben können. Sobald man seine Seiten allerdings öffnet, sollte man sich darüber im Klaren sein, dass es sicher nicht die beste Idee ist jedem Benutzer ungeprüft zu umfassende Rechte einzuräumen.