Glottopedia:User registration

Angesichts der Flut neuer Spambot-Anmeldungen in den letzten drei Tagen sollten wir uns überlegen, wie wir die GP besser schützen können. Auf Dauer bindet es einfach zu viele Ressourcen, wenn ich hier täglich zig Sperren und Löschungen vornehmen muss. Es gibt mehrere Optionen, wie wir dem problem begegnen können.
 * 1) Neu registrierte User können erst nach 48 Stunden (durch automatische Aufnahme in die Gruppe autocinfirmed) neue Seiten kreieren. nachteil: das schützt nicht vor Vandalismus auf bestehenden Seiten und Diskussionsseiten ("createtalk" ist ein separates Recht).
 * 2) Die Benutzerregistrierung selbst wird geändert. Hierfür gibt es verschiedene Möglichkeiten:
 * 3) Nur befugte User (z.B. Admins) können Accounts erstellen (createaccount); wer sich anmelden will, muss sich per Email an einen (User-)Admin wenden. Nachteil: Arbeitsaufwand für denjenigen, der die Accounts erstellt.
 * 4) Anmelden kann sich jeder, aber nur wer durch einen Admin freigeschaltet wurde (neue Benutzergruppe, z.B. adminconfirmed) bekommt Schreibrechte. Nachteil: Arbeitsaufwand für den Admin, der freischalten muss.
 * 5) Nur User mir validierter Emailadresse (Gruppe emailconfirmed) hat Zugriffsrechte; Nachteil: Mit "Wegwerfadressen" kommt man als Spammer doch noch zum Ziel
 * 6) Einbau zusätzlicher Sicherheitsmerkmale (neues Captcha?); Nachteil: Erst einmal etwas passendes finden und einbauen, wenn es zu kompliziert ist, schreckt es auch die erwünschten echten User ab

Mich würde Eure Meinung hierzu interessieren. --wohlgemuth 16:52, 29 January 2011 (UTC)

Unsere Zielsetzung kann man grob so umreißen: Effektiver Spamschutz bei minimalem administrativem Aufwand und zugleich minimaler Hemmschwelle für neue Benutzer.


 * Zu 1. und 2.3: Mit mehr Spam geht auch immer ein zusätzllicher Administrationsaufwand zum entfernen desselben einher. Alleine aus dem Grund würde ich von den unter 1. sowie 2.3. genannten Lösungen absehen.
 * Zu 3.: Da das verwendete Recaptcha offensichtlich keinen effektiven Schutz mehr bietet, habe ich wenig Hoffnung, dass wir mit vertretbarem Aufwand etwas besseres finden. Zudem können wir es nicht ausschließen, dass wir es hier mit halbautomatischen Einträgen zu tun haben: Ein Mensch löst das Captcha und ein Bot kümmert sich um den gesamten Rest. Eine funktionierende, auf einem Captcha basierende Lösung, hat allerdings den Vorteil, dass ein legitimer Benutzer sofort loslegen kann.
 * Zu 2.1 und 2.2, aus Sicht eines Admins betrachtet:
 * Arbeitsaufwand für 2.1: E-Mail auswerten, Account anlegen oder Spam-E-Mail löschen.
 * Arbeitsaufwand für 2.2: Im Wesentlichen: Anhand von Benutzername und E-Mail-Adresse entscheiden, ob es sich nicht um ein Spamkonto handelt. Benutzerzugang freischalten oder Spam-Account löschen.
 * Bei 2.1 rechne ich mit deutlich weniger Spam-Anmeldungen als bei 2.2. Nicht zuletzt, da diese Lösung nicht so recht in das Schema der Spambots passen dürfte. Wegen dem derzeitigen (Miss-)Verhältnis zwischen legitimen Benutzeranmeldungen und Spambot-Anmeldungen gehe ich auch davon aus, dass mit 2.1 der Arbeitsaufwand eines Admins deutlich geringer wäre als mit 2.2.
 * Zu 2.1 und 2.2, aus Sicht eines Benutzers betrachtet:
 * Die Hemmschwelle, das Anmeldeformular auszufüllen, schätze ich geringer ein als die, eine E-Mail zu versenden. Allerdings denke ich, dass das bei den überwiegend akademisch motivierten Mitwirkenden der Glottopedia keine signifikante Rolle spielt. Dennoch aus Benutzersicht ein leichter Vorteil zu Gunsten von 2.2.

Letztendlich erscheint mir eine Lösung gemäß 2.1 für unsere Zwecke am sinnvollsten. --Goetz.burger 14:05, 31 January 2011 (UTC)


 * Ja, ich glaube auch, dass 2.1 die sinnvollste Lösung ist. Es wäre natürlich vorteilhaft, wenn dann auch geregelt würde, wer alles User freischalten kann. --wohlgemuth 18:10, 30 May 2012 (CEST)