@Jools [Friendica] Bei mir kommt viel Spam eher "im Stillen", naemlich per GET-Anfragen an /toggle_mobile, wo dann eine komplette URL drangehangen wird. Damit wird eine fehlende Pruefung der URL bzw. Absicherung ausgenutzt.

Meine zwei Vorschlaege sind hier:

1. Nur relative URLs, also ohne Protokoll vorweg, erlauben, absolute URLs (die der Spammmer ja angeben muss, damit auf seine Seite weitergeleitet wird) blockieren.
2. An /toggle_mobile uebergebe URL zusammen mit einem privaten Hash eine Pruefsumme berechnen (z.B. SHA256) und diese dann an die URL anhaengen. Fehlt diese (was der Spammer wohl noch lange tun wird) oder stimmt diese nicht, die Weiterleitung verweigern wegen falscher Pruefsumme.

Ja, letzteres klingt kompliziert, ist aber eigentlich sehr einfach (ich habe es bereits in meinem deutlich aelteren Script umgesetzt) zu machen.

Ah, ich sehe gerade, dass eine Pruefung stattfindet, ob die URL lokal ist. Commit-Id 8c06f965314 hat dies hinzugefuegt. Ich probiere das mal kurz aus.

EDITIERUNG: Wurde vor langer Zeit mal behoben: f.haeder.net/toggle_mobile?add… endet in einem Fehler, hingegen f.haeder.net/toggle_mobile?add… weiterleitet. Ich hatte das zu der Zeit im Logbuch gesehen und habe schnell einen lokalen Commit gemacht, der die Route deaktiviert.

Hier mein lokaler Commit:

commit dabc161d1e88b4bdf3d0f9c8374d65f09e7f2d0a (HEAD -> develop)
Author: Roland Häder <roland@mxchange.org>
Date: Tue Jul 4 22:49:36 2023 +0200

Deactivated route due to spammers abuse this to bypass blocks

Der Commit 8c06f965314 von Petovan ist am 25.07.2023, also 3 Wochen spaeter hinzugekommen:

commit 8c06f965314fd89f65ee0f1b3ac557588175456d
Author: Hypolite Petovan <hypolite@mrpetovan.com>
Date: Tue Jul 25 23:14:15 2023 +0200

Rework Module\ToggleMobile to check for local links

- Remove dependency on DI class
- Remove dependency on request/session superglobals
- Remove dependency on App class