Trackback

beats TEST blog

Sonntag, 27. September 2020

Trackback

Dies ist ein Test für den Zusammenhang von internen Trackbacks und Anti-SPAM-Massnahmen. Folgende Konfiguration ist aktiv:

  • Trackbacks/Pingbacks: IP Validierung: abweisen
  • URLs von IP-Validierung ausnehmen: ^https?://identi\.ca/notice/\d+$;^https://www\.blog\.dokumenzi\.ch/\d+.*$

Hier nun ein Link/Trackback auf einen früheren Beitrag.

13:58 Uhr. Neuer Versuch. Ohne ^https://www\.blog\.dokumenzi\.ch/\d+.*$. Link auf alten Beitrag. -> Funktioniert.

Nach dem Speichern des Beitrags wird folgendes angezeigt:

  • Überprüfe https://www.blog.dokumenzi.ch/2485-Film-Festival.html auf mögliche Track-/Pingbacks ...
  • Sende Trackback zu URI https://www.blog.dokumenzi.ch/comment.php?type=trackback&entry_id=2485 ...
  • Trackback erfolgreich!

Soweit ist hier und auf www.beatsblog.ch alles identisch.

Auf www.beatsblog.ch passiert danach nichts mehr. Es wird mir kein Trackback zur Genehmigung vorgelegt und es wird auch keiner gespeichert. Im SPAMblock-Logfile erhalte ich folgende Meldung:

[2020-09-27 12:00:20] - [REJECTED: IP Validierung : www.beatsblog.ch [89.238.73.75] != Sender IP [2001828100024752, ua="HTTP_Request2/@package_version@ (http://pear.php.net/package/http_request2) PHP/7.4.10"]] - [#2762, Name "beats blog", E-Mail "", URL "http://www.beatsblog.ch/2777-wir-trennen-uns.html", User-Agent "HTTP_Request2/@package_version@ (http://pear.php.net/package/http_request2) PHP/7.4.10", IP 2a00:1828:1000:2475::2] - [ wir machen uns einen Plan... Keine Angst: Karin und ich bleiben weiterhin zusammen. ? ? Es geht um unsere Wohnsituation. Wir bewohnen eine Haushälfte eines Doppeleinfamilienhauses. Die beiden Kellergeschosse sind miteinander verbunden un]

Hier, auf www.blog.dokumenzi.ch, funktioniert es korrekt! Der Trackback wird zur Bewillingung vorgelegt und danach eingetragen.

Ich gehe nun davon aus, dass dieses Problem mit meinem Berechtigungsdurcheinander auf dem Manitu-Server zusammenhängt und gar kein wirkliches System-Problem ist.

Herr Styx darf jetzt lachen... ?

Trackback-URL für diesen Eintrag

Dieser Link ist nicht aktiv. Er enthält eine kopierbare Trackback-URI, um manuell ein Ping- und Trackback zu diesem Eintrag für ältere Blogsysteme zu generieren; zB (immer noch valide) über das zur Verfügung gestellte Eintragsfeld des serendipity_event_trackback Plugins. Serendipity und andere Blogsysteme erkennen die Trackback-URL heutzutage aber automatisch anhand der Artikel-URL. Die Trackback-URI für ihren Link des Sender-Eintrages lautet daher wie folgt: »https://www.blog.dokumenzi.ch/2653-Trackback.html«

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

  1. Ian Styx am :

    Was ist mit meinen Fragen? (siehe https://www.blog.dokumenzi.ch/2652-Anmerkungen-zu-V3.1.0.html#c7554 )

    Abgesehen von den Fragen sind es mehrere Probleme. Vorab, ich meine es hat nichts mit deinen eventuell vermurksten Manitu Dateisystems-Berechtiguingen zu tun... ?

    Wir haben hier den IP Validierungsfilter vorliegen. Er vergleicht hier Äpfel mit Birnen, das heißt eine IPv4 mit einer IPv6, meine ich. Und die sind natürlich nicht gleich! Also arbeitet er ja eigentlich richtig.
    Zum Zweiten kommt hinzu, dass die "IPv6" irgendwie verkürzt wurde. Das muss aber auch irgendwie erkannt werden!
    Drittens ist das preg_match() bisher nur auf IPv4 Adressenvergleiche eingerichtet. In deiner "IPv6" kommt aber zB im ersten der 6 Bereiche ein a vor, siehe "200a:" das aber ausgefiltert wird. Außerdem benutzen IPv6 Adressen Doppelpunkte, die ebenfalls verschwinden.
    Viertens die Sache mit dem http ohne s (aber da ist vielleicht nur deine Pfad URL zum Blog Einstellung noch nicht korrekt gesetzt auf dem LIVE Blog).

    Die Frage ist also, warum gethostbyname($parts['host']) eine IPv4 und $_SERVER['REMOTE_ADDR'] eine (verkürzte) IPv6 zurückgeben, obwohl beide Anfragen/Angaben vom selben Server stammen..?

    Wenn das alleine nicht schon irgendwie sehr merkwürdig genug ist, kommt eben noch hinzu, warum du als eingeloggter User nicht schon am Anfang der Validierungen von ihnen befreit wirst! Irgend etwas ist also definitiv falsch und zusätzlich gibt es womöglich weiteren Programmierungsbedarf wegen des IPv6 Vergleiches, wenn wir wissen ob das normalerweise überhaupt so vorkommen kann.

    (Ist der Logeintrag des entries nur eine Kopie desjenigen hier in den comments, oder ein neuer?)

  2. Ian Styx am :

    Du hast im LIVE Blog das Trackback so gesetzt:

    (A propos Planung: <a href="/2762-mal-was-Anderes.html">Hier unternahm ich erste Schritte</a>)

    Das deutet mithilfe des Logeintrages und des fehlenden s übrigens auf eine nicht korrekt gesetzte URL zum Blog Einstellung (bzw. in der .htaccess).

    Hier hast du auch einen relativ zum document root gesetzten link verwendet (also daran alleine kann es nicht liegen):

    <p>Hier nun ein <a href="/2485-Film-Festival.html">Link/Trackback auf einen früheren Beitrag</a>.</p>

    Mach es doch mal mit der ganzen URL:

    (A propos Planung: <a href="https://www.beatsblog.ch/2762-mal-was-Anderes.html">Hier unternahm ich erste Schritte</a>)

    so wie es eigentlich gewünscht ist.

    Dabei fällt mir auf, dass die Trackback-URL für diesen Eintrag mitsamt ihrem Hilfe und Erklärungs-tooltip-Text verschwunden ist. Es kann sein, dass ich das in "pure" ausversehen weg-optimiert habe und es erst wieder auftaucht, wenn bereits ein Track/Pingback gesetzt ist. Das muss ich mal in Ruhe untersuchen und korrigieren.

    [ ich setzte meine Kommentare gerade um!!!! ]

  3. Beat Post author am :

    Habe in der Vergangenheit schlechte Erfahrungen mit absoluten URL's gemacht. Seit Bestehen dieses Blogs wurde die URL schon mindestens 3x verändert. Das führte dazu, dass ich danach quasi händisch alle alten Links umschreiben musste. Deshalb verwende ich seit Dezember 2017 (https://www.beatsblog.ch/2285-nur-fuer-mich...-relativ.html) nur noch realtive Verlinkungen. Das will ich auch nicht ändern.

  4. Ian Styx am :

    Musst du ja auch nicht.
    Aber nachschauen (und korrigieren) eventuell schon, damit man nicht aus einer realen https eine http macht.

  5. Ian Styx am :

    Unter Konfiguration - Pfade - URL zum Blog

  6. Beat Post author am :

    Dort steht: https://www.beatsblog.ch/

  7. Ian Styx am :

    In der htaccess auch?? (Falls nicht, ist es eben doch das Berechtigungskuddelmuddel) ?

  8. Ian Styx am :

    Die Frage mit der htaccess natürlich nur, wenn du da eventuell etwas eigenes bezüglich http/https Umwandlung drinnen hast. Sonst steht da glaube ich nichts diesbezügliches.

  9. Beat Post author am :

    Kann selbst nicht weiterhelfen. Das steht in der .htaccess

    # BEGIN s9y

[... gelesen und für gut befunden ...]

# END s9y

     

  10. Beat Post author am :

    Ev. stolperst Du über eine deaktivierte Zeile. Dies wurde am 05.02.2020 vom Manitu-Support vorgenommen, weil ich die Fotoalben nicht erreichen konnte. Diese liegen ebenfalls im Serendipity-Verzeichnis. Der Supporter schrieb damals:

    Ich habe mir die Konfiguration des Webhosting-Pakets eben noch einmal angeschaut.
    In Ihrer .htaccess-Datei befindet sich eine Zeile

    > RewriteRule (.*\.html?) index.php?url=/$1 [L,QSA],

    welche alle .html-Dateien, auch die des Fotoalbums, wieder "zurückgeleitet" werden. Ich habe diese Regel soeben einmal durch ein vorangestelltes "#" deaktiviert.

    Aktuell wird das Fotoalbum korrekt ausgeliefert. Können Sie bestätigen, dass die "restlichen" Komponenten Ihre Website weiterhin funktionieren?

  11. Ian Styx am :

    Und? Hast du Ihnen das bestätigt? ?
    Danke für den Hinweis. Ich habe es eben nicht gesehen.

    Sofort wieder anstellen! Das ist wesentlich. Und könnte eventuell für viele Merkwürdigkeiten verantwortlich sein!

    Für soetwas gibt es die Serendipity Styx FAQ

    https://ophian.github.io/hc/en/faq/#docs-i-cannot-access-any-files-in-subdirectories-or-redirects-to-my-blog-page

  12. Beat Post author am :

    Hmmm... ?

    Ja, ich habe Manitu das damals bestätigt. Gemäss Styx-FAQ habe ich jetzt für /JAlbum eine eigene .htaccess geschrieben und wollte die hochladen. Dann sah ich jedoch, dass es bereits eine .htaccess vom 07.02.2020 gibt. Es scheint also, dass wir das bereits einmal diskutiert haben... In erwähnter .htaccess steht:

    <IfModule mod_rewrite.c>
RewriteEngine Off
</IfModule>

    In der /serendipity/.htaccess habe ich die oben erwähnte Regel wieder aktiviert.

    Leider zeigt dies keine Auswirkungen auf das Verhalten beim setzen von Trackbacks.

  13. Ian Styx am :

    Ja - ich meinte auch: Und könnte eventuell für viele andere Merkwürdigkeiten mitverantwortlich sein! (ich erinnere aber gerade nicht welche).

  14. Ian Styx am :

    Dabei fällt mir auf, dass die Trackback-URL für diesen Eintrag mitsamt ihrem Hilfe und Erklärungs-tooltip-Text verschwunden ist.

    Gerade korrigiert !

    Und so fällt auch immer ein Brosamen für die Allgemeinheit ab ... ?

  15. Beat Post author am :

    Zu Deinen Fragen:

    Was ist mit Trackbacks nur im Zeitfenster erlauben?

    Steht auf "Nein"

    Hast du das mit dem http ohne s überprüft? Während du den Link reinschreibst?

    Ich verlinke intern nur realtiv. Also z.B.: /2762-mal-was-Anderes.html

    Hast du irgendwo eine privacy IP Verkürzung eingestellt (zb DSGVO) ?

    Ich wüsste nicht wo.  Anonymisiere IPs? steht auf "Nein"

    Ist spamblock vor diesen Plugins in der Liste?

    Ja, spamblock an Pos. 2, DSGVO an Pos. 16.

    (Ist der Logeintrag des entries nur eine Kopie desjenigen hier in den comments, oder ein neuer?)

    Derjenige im Blogeintrag ist ganz neu. Siehe Timestamp: [2020-09-27 12:00:20]

  16. Ian Styx am :

    Ok Danke. Ich habe unsere Kommentare umplatziert!! Sorry für eventuelle Verwirrung ?

  17. Ian Styx am :

    Wenn du also auch hier testest und feststellst, dass eigene Trackbacks funktionieren (hast du ja), solltest du das ^https://www\.blog\.dokumenzi\.ch/\d+.*$ mal wieder entfernen und erneut testen. Denn dann sollte es (eingeloggt) für dich auch gehen!

  18. Beat Post author am :

    Ja. Funktioniert. Habe im Beitrag einen neuen Link/Trackback gesetzt. Wurde zur Bewilligung vorgelegt und ist jetzt eingetragen.

  19. Ian Styx am :

    Gut so. Ich weiß im Moment gar nicht ob das Absicht ist, denn eigentlich könnte es ja auch gleich bewilligt sein..

    Bleibt - abgesehen von den andern Merkwürdigkeiten - die Frage, warum der LIVE Blog dich nicht erkennt.

  20. Ian Styx am :

    Bleibt - abgesehen von den andern Merkwürdigkeiten - die Frage, warum der LIVE Blog dich nicht erkennt.

    und das tut er doch ansonsten, oder?

    Was ist mit der in https://www.blog.dokumenzi.ch/2652-Anmerkungen-zu-V3.1.0.html#c7554 angemerkten Erweiterung zu Testzwecken?

  21. Beat Post author am :

    Habe nun (auf www.beatsblog.ch) die Änderung in der serendipity_event_spamblock.php vorgenommen. Mich ausgeloggt, wieder eingeloggt und den Beitrag geändert (Link entfernt, gespeichert, Link wieder eingetragen, gespeichert). Leider ohne erkennbaren Unterschied.

  22. Beat Post author am :

    A propos erkennen. Es gibt nur einen einzigen Benutzer und mit dem melde ich mich an. Ich gehe also schon davon aus, dass mich mein Blog erkennt.

  23. Ian Styx am :

    Das Login..  ok...
    Es gibt aber viele Stellen wo in einer ähnlichen oder sogar sehr ähnlichen Art mit

    serendipity_userLoggedIn()

    Bezug genommen wird. Das muss funktionieren, sonst ist etwas grundlegend falsch!

    (Link entfernt, gespeichert, Link wieder eingetragen, gespeichert).

    Das muss nichts bedeuten... Einmal gesetzte trackbacks werden in der DB gespeichert und nicht wieder entfernt wenn du den originalen Link aus einem Entry wieder entfernst. Du kannst also nur mit wirklich neuen testen, meine ich.

  24. Beat Post author am :

    Unter Kommentare sehe ich doch auch alle Trackbacks... und wenn da nichts ist, dürfte auch in der DB nichts sein. Habe das auch mit einem neuen Link/Trackback getestet. Da kommt nichts.

  25. Ian Styx am :

    Was auch immer zu beachten ist...: du kannst nur einmal einen trackback schicken. Also gehen wirklich nur neue und mit jeweils einmaligen Zielen. Zwei Trackback auf das selbe Ziel aus dem gleichen entry macht keinen Sinn.

    (das schrieb ich vor Stunden und vergaß es abzuschicken...)

  26. Beat Post author am :

    Das stimmt nur teilweise. Ich habe folgendes gemacht:

    1. Im Backend/Kommentare den Trackback #7556 (auf /2485-Film-Festival.html) gelöscht.
    2. Mit Beitrag editieren den Link dazu gelöscht und den Beitrag gespeichert.
    3. Den Beitrag geöffnet und einen neuen Link/Trackback (auf /2485-Film-Festival.html) eingefügt.
    4. Nun wird ein neuer Trackback mit ID #7588 erzeugt.

    Was natürlich stimmt ist, dass ich innerhalb eines Beitrags zwar mehrmals auf den gleichen älteren Beitrag verlinken kann, dass dann jedoch nur ein einziger Trackback erzeugt wird. Aber wie Du schon sagtest: Mehrere, gleiche Trackbacks machen auch keinen Sinn. Die weiteren Links funktioneren ja trotzdem.

  27. Ian Styx am :

    Stimmt.

    Was ist mit diesen Optionen?

    • Auto-Moderation nach X Tagen erzwingen
    • Zuweisung nach der Auto-Moderation?
    • ...
    • Trackbacks nur im Zeitfenster erlauben?
    • Behandlung von per API übermittelten Kommentaren

    Inzwischen habe ich herausgefunden, dass:

    IP 2a00:1828:1000:2475::2 die IPv6 shortform representation des Manitu Servers ist.
    • ein Server beide Arten von IPs zurückgeben kann, wenn er so konfiguriert ist
    • IPv4 und IPv6 nicht vergleichbar sind
    • gethostbyname($parts['host']) immer die IPv4 zurückgibt, während $_SERVER['REMOTE_ADDR'] immer die präferierte IPv6 zurückgibt, wenn sie konfiguriert wurde.
    • IPv6 ein komplettes Replacement von IPv4 ist und man keine IPv4 in eine IPv6 Adresse konvertieren kann.

    Wahrscheinlich bleibt gar nichts weiter übrig, als in dem Fall eine default moderation zu verordnen...!

  28. Beat Post author am :

    Auto-Moderation nach X Tagen erzwingen = 30

    Zuweisung nach der Auto-Moderation? = moderieren

    Trackbacks nur im Zeitfenster erlauben? = Nein

    Behandlung von per API übermittelten Kommentaren = keine

     

    ... der ? des Manitu ...

  29. Ian Styx am :

    Dieser ? dürfte aber zunehmend ein issue werden. Und hätte es schon längst sein müssen, wenn man so den IPv4 End-countdowns der letzten Jahre folgte.

    Ich frage diese ganzen Sachen ab... da wir ja ein Validierungsissue aufgezeigt bekommen haben, dass aber eigentlich nicht hätte auftreten dürfen, da du ja ein valider engeloggter Nutzer bist. Oder siehst du etwa Captchas bzw das hidden Captcha der Biene in der frontend Kommentarform?

  30. Beat Post author am :

    Oder siehst du etwa Captchas bzw das hidden Captcha der Biene in der frontend Kommentarform?

    Nein, nie. Höchstens mal das hidden-Captcha für einen Sekundenbruchteil, während des Seitenaufbaus. Aber daran mag ich mich auch kaum mehr erinnern. Wobei gesagt werden muss, dass ich das Kommentarfeld (und das darunter positionierte hidden-Captcha) eh meist erst sehe, wenn ich runterscrolle und dann ist die Seite schon vollständig geladen. Also: Nein, nie.

  31. Ian Styx am :

    SO! Jetzt ist mir auch endlich klar warum das mit dem eingeloggtem User nicht geht.?
    Trackbacks sind API Kommentare und somit nicht über das Loginsystem spezifizierbar. Deshalb fällt das immer durch!

  32. Ian Styx am :

    Nachdem ich nun gestern das mit den API Kommentaren verstanden habe, habe ich heute noch einmal neu nachgedacht. Die sei unser Zustand (veränderte whitelist für beatsblog!):

    • Trackbacks/Pingbacks: IP Validierung: abweisen
    • URLs von IP-Validierung ausnehmen: ^https?://identi\.ca/notice/\d+$;^https://www\.beatsblog\.ch/.*$

    Nun soll ja der IP Vergleich im Falle eines ungleichen Zustandes alles abweisen. Weil wir jetzt aber wissen, dass $_SERVER['REMOTE_ADDR'] auf Manitu eine IPv6 zurückliefert, benötigst du eine funktionierende Whitelist Ausnahme.

    Neben all dem verwirrenden Kram habe ich mich darauf nicht genügend konzentriert. Die Antwort der Spamblock Validierung im Log war [REJECTED: IP Validierung : www.beatsblog.ch [xxx] != Sender IP yyy]. Das heißt, deine [unsere] whitelist-Anweisung war nicht richtig. Sie hätte allerdings matchen müssen, sage ich mal. Vielleicht liegt das Versagen aber daran, dass du in Permalinks unter Permalink-Struktur für die Artikel-URLs die archives/%id%-%title%.html auf %id%-%title%.html geändert hast... und damit intern irgend ein Kuddelmudel ensteht. (Wir hatten das Thema ja schon mal...)

    Ich habe das oben also auf PunktStern geändert. Dies hattest du in deinen Versuchen noch nicht, meine ich.

    All meine Gedanken und Versuche das mit der IPv6 zu lösen sind einfach Quatsch. Sie sind unvergleichbar. Die einzige Lösung ist deshalb kein type 'moderate' Fallback, sondern nur die bereits vorhanden Whitelist (mit der richtigen Anweisung).

  33. Beat Post author am :

    ^https://www\.beatsblog\.ch/.*$ funktioniert leider auch nicht.

    Ganz generell bin ich mir nicht sicher, ob das mit der Whitelist der Weisheit letzter Schluss ist. Wenn der Manitu-Host eine andere IP zurückgibt als die des Blogs, so könnte das ja durchaus auch anderen Besuchern passieren, die von ihrem Blog auf einen meiner Artikel einen Trackback setzen wollen.

    Ich setzte die Trackbacks wieder auf moderieren und pflege die Content-Filter für Autorennamen und Inhalt (also quasi die Blacklist).

  34. Ian Styx am :

    Naja doch... es ist eben so, dass du ungleiche IPs rejected haben willst, außer sie sind in der whitelist.

    Deinem Kuddelmuddel muss beizukommen sein...

    am einfachsten, in dem schnell mal diesen Anfang findest $found_exclude_url = preg_match findest und in der nächsten Zeile

    $this->log($logfile, $eventData['id'], 'PASSBY', sprintf(PLUGIN_EVENT_SPAMBLOCK_REASON_IPVALIDATION, $addData['url'], '', $exclude_url), $addData);

    einfügst. Das loggt die gelieferte trackback url und deine regex url. So können wir zumindestens sehen, ob wir ev. auf dem falschen Dampfer sind.

  35. Ian Styx am :

     Manchmal [immer] muss man einfach nur genau hinsehen!

    URL "http://www.beatsblog.ch/2777-wir-trennen-uns.html"
    ^https?://www\.beatsblog\.ch/\d+.*$

    Ansonsten stimmt das gesagte natürlich, denn IPs sind natürlicherweise definitiv unterschiedlich wenn es um andere Server geht. ?

  36. Beat Post author am :

    BINGO ! ? Mit dem Fragezeichen hinter https funktioniert es auch auf www.beatsblog.ch. Doch bitte frag jetzt nicht, weshalb da http und nicht https daherkommt. Ich weiss es nämlich nicht.

  37. Ian Styx am :

    Brauche ich nicht, ... denn das habe ich bereits getan..❗ ?

  38. Ian Styx am :

    Ansonsten stimmt das gesagte natürlich, denn IPs sind natürlicherweise definitiv unterschiedlich wenn es um andere Server geht. ?

    Ich glaube das muss nochmal ergänzt werden.., denn es geht ja darum, die IP des Trackback Senders mit der IP des Hosts zu verifizieren, auf den der Trackback (bei dir) gesetzt werden soll. Somit erfüllt dies auch im REJECT Zustand schon seinen Zweck - gerade was IP Trackback Spammers angeht - nur nicht bei denjenigen validen Trackbacks, die ein IPv4 vs IPv6 Muster vom gleichen Server aufweisen. Für diejenigen müsste man eine Zeitlang auf MODERATE gehen, um zu überprüfen, ob, oder wie oft, soetwas überhaupt vorkommt, damit man für jene eben eine whitelist Ausnahme einrichten kann. Es ist eben eines der Mittel zum Zweck. Je nach Schärfe der Einstellung und des Augenmerkes, hat man diurch den möglichen IP-Mix false positives auf dieser oder jener Seite. Es ist dann eine Frage was einen mehr ärgert, Spammer, die im moderate landen, oder verlorene (unbekannte) Trackbacker, die man gerne für das social networking hätte.

  39. Ian Styx am :

    Als aufmerksamer Leser wünsche ich einen HappyBi?r?th?day. Genieß ihn! ?

  40. Beat Post author am :

    ? DANKE! ?

Kommentar schreiben

Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.