ABAKUS

Ihr Partner in Sachen SEO und Online Marketing
https://archiv.abakus-internet-marketing.de/foren/

Eigenes CPC-Script basteln - Ziel: vor Klickbetrug sicher

https://archiv.abakus-internet-marketing.de/foren/viewtopic.php?f=36&t=75979

Seite 1 von 1

Eigenes CPC-Script basteln - Ziel: vor Klickbetrug sicher

Verfasst: 20.08.2009, 16:40
von mgutt
Hi,

ich möchte mir gerne ein eigenes CPC-Script erstellen. D.h. ich suche mir Partner und jeden Besucher, den dieser mir vermittelt bringt ihm x Cent.

Nun wollte ich folgendes auf meiner Seite machen (der Partner bindet einfach nur meinen Link ein, sonst nichts):

1.) Tracking Cookie bei allen Besuchern setzen, so dass nur die vergütet werden, die unsere Seite nicht eh schon nutzen:

Code: Alles auswählen

if (!isset($_COOKIE['tid'])) {
	$now = time();
	$tid = md5(uniqid(mt_rand(), true));
	setcookie('tid', $tid, $now + 31536000, '/', $cookie_domain);
2.) Wenn der Besucher also kein Tracking-Cookie zurückgesendet hat und von unserem Partner kommt, blenden wir ein Bild ein:

Code: Alles auswählen

	if (strpos($_SERVER['HTTP_REFERER'], 'example.org') !== false)) {
		echo&#40;'<img src="track.gif" border="0" alt="" width="100" height="100" />'&#41;;
	&#125;
&#125;
3.) track.gif verweist per mod_rewrite auf track.php: (Adblocker haben manchmal was gegen Bilder, die auf .php enden)

Code: Alles auswählen

<?php

function display_tracking_image&#40;&#41; &#123;
	// image data
	$im = imagecreate&#40;1, 1&#41;;
	$blk = imagecolorallocate&#40;$im, 0, 0, 0&#41;;
	imagecolortransparent&#40;$im, $blk&#41;;
	// image output
	header&#40;"Content-type&#58; image/gif"&#41;;
	imagegif&#40;$im&#41;;
	// free memory
	imagedestroy&#40;$im&#41;;
&#125;

if &#40;strpos&#40;$_SERVER&#91;'HTTP_REFERER'&#93;, $_SERVER&#91;'SERVER_NAME'&#93;&#41; !== false&#41; && isset&#40;$_COOKIE&#91;'tid'&#93;&#41;&#41; &#123;
	add_click&#40;&#41;; // fügt Klick zu Datenbank hinzu
&#125;
display_tracking_image&#40;&#41;;
exit&#40;&#41;;

?>
Das Bild soll in diesem Fall davor schützen, dass jemand einfach nur seine Cookies löscht bzw. seine Internetverbindung kappt und die Seite erneut aufruft. Denn das reicht nicht. Er müsste zusätzlich seinen Browsercache löschen (was die wenigsten machen), damit das Tracking-Bild neu geladen wird. Ansonsten kommt zwar das Bild im Quelltext zum Vorschein, aber es wird nicht noch mal vom Server angefordert.

Auch werden so Crawler ausgeschlossen, da die eigentlich keine Cookies zurücksenden bzw. Bilder nicht laden.

Damit nun keiner hingeht und das Bild direkt aufruft, legen wir beim Aufruf der Seite einen Datensatz an:

Code: Alles auswählen

INSERT INTO clicks &#40;datum,tid&#41; VALUES&#40;'20.08.', $tid&#41;
Und beim Öffnen des Bildes wird er vervollständigt:

Code: Alles auswählen

UPDATE clicks SET valid = 1 WHERE datum = '20.08' AND tid = $tid
Nur was machen gegen ein Script, dass meine Seite mit gefälschtem Ref anpingt, die Tracking-ID exportiert und mit dieser dann das Bild anpingt?

Eine IP-Sperre wäre denke ich nicht sinnvoll, da es ja Provider gibt, die ihre IPs als Proxy einsetzen (wie z.B. AOL).

Also einzigen zusätzlichen Schutz würde mir eine Art Whitelist für die Browserkennung einfallen:

Code: Alles auswählen

if &#40;strpos&#40;$_SERVER&#91;'HTTP_USER_AGENT'&#93;, 'MSIE'&#41; !== false || strpos&#40;$_SERVER&#91;'HTTP_USER_AGENT'&#93;, 'Firefox'&#41; !== false || strpos&#40;$_SERVER&#91;'HTTP_USER_AGENT'&#93;, 'Opera'&#41; !== false&#41; &#123;
Aber das funktioniert ja auch nur, bis der Klickbetrüger sein Script um einen gültigen User-Agent erweitert. Aber jede Hürde ist ja bekanntlich sinnvoll.

Gibt es noch Ideen bzw. Lücken?

Verfasst:
von

Verfasst: 21.08.2009, 09:29
von mgutt
Also ich brauche noch eine IP-Reloadsperre, die aber AOL-Nutzer (und andere Proxy-Provider) durchlässt. Gibt es sowas bzw. wie könnte man das realisieren? Nur über Whitelist?

Verfasst: 12.02.2010, 16:12
von wizard2k
Auch wenn dein Beitrag schon etwas älter ist; vielleicht beschäftigst du dich
ja noch mit dem Thema.
Ich bin letztlich zu dem Schluss gelangt, dass die einzige, einigermaßen
sichere Maßnahme gegen Klickbetrug CAPTCHAs sind.
Hier gilt: Je schwerer ein CAPTCHA für einen Bot zu lösen ist, desto
schwerer fällt es auch Menschen, es zu entziffern.
Der Krieg "Mensch gegen Maschine" kann im Internet m.E. als verloren
betrachtet werden.
Eine IP-Reloadsperre bringt nichts mehr, wenn Botnetze für den Klickbetrug
verwendet werden; was meistens der Fall ist.
Hier findet ein Wettrüsten statt. Einfache Botnetze kann man an ihrem
"Verhalten" erkennen, andere simulieren natürliches Surfverhalten.
Ein Praxistest des US-amerikanischen "Marketing Experiments Journal" im Juni 2005 zeigt das immense Ausmaß des Klickbetrugs. Bis nahezu 30 Prozent der registrierten Klicks in einem der durchgeführten Testläufe hatten einen betrügerischen Hintergrund, wurden aber größtenteils nicht erkannt und daher regulär abgerechnet. Auch laut der aktuellen Statistik eines amerikanischen Klick-betrug-Indexes (Click-Fraud-Index) bewegt sich die Zahl der betrügerischen Klicks bei etwa 14 Prozent.
Da kann man wohl bislang nicht viel gegen machen...

Verfasst:
von
SEO Consulting bei ABAKUS Internet Marketing
Erfahrung seit 2002
  • persönliche Betreuung
  • individuelle Beratung
  • kompetente Umsetzung

Jetzt anfragen: 0511 / 300325-0.

Verfasst: 12.02.2010, 16:16
von Lord Lommel
Das stimmt. Es ist nur ein gegenseitiges Hochrüsten. Gegen einen Trojaner hat man eigentlich keine Chance.

Verfasst: 12.02.2010, 16:24
von DanielS
Ein CAPTCHA um die Anzahl der neuen Besucher zu messen?!

Verfasst: 12.02.2010, 16:28
von wizard2k
Bei einer Toplist wäre das schon zumutbar.
Wie kann man sich sonst vor Klickbetrug schützen?

Verfasst: 12.02.2010, 16:31
von DanielS
wizard2k hat geschrieben:Bei einer Toplist wäre das schon zumutbar.
Wie kann man sich sonst vor Klickbetrug schützen?
Wie kommst Du auf Toplist?

Entweder habe ich mgutt nicht richtig verstanden oder Du. Warten wir einfach mal ab, was er von einem Captcha als Lösung für sein Problem hält.

Verfasst: 12.02.2010, 16:39
von wizard2k
Ich denke nicht, dass ein CAPTCHA für ihn die richtige Lösung wäre.
Da hast du mich falsch verstanden. Ich denke nur, dass es die
einzige Lösung ist.
Demnach könnte meine Antwort auch lauten, dass es bislang keine
zufriedenstellende Lösung gibt.
Eine Toplist dient der Vermittlung von Besuchern. Dabei geht es, wie dem
Threadstarter auch, darum, Besucher zuverlässig zu zählen.
Das Problem ist, Menschen von Computern zu unterscheiden.

Verfasst: 12.02.2010, 16:43
von DanielS
wizard2k hat geschrieben:Da hast du mich falsch verstanden. Ich denke nur, dass es die einzige Lösung ist.
"Die einzige Lösung" für ein anderes Problem.
Ich könnte ja auch sagen, dass Wasser die einzige Lösung ist bei Durst ist. Zum einen stimmt das nicht, und zum anderen bringt das in diesem Thread hier keinem was.

Aber lassen wir das, ich will hier keinem der seine Erfahrungen wiedergibt an's Bein Pipi machen ;)

Verfasst: 12.02.2010, 16:50
von wizard2k
Mir ging es auch eher darum, über das Thema zu diskutieren. Was gibt es in dem
Bereich für Entwicklungen?
Tauschen Firmen die CPC im Programm haben Blacklists von Botnetzen aus?
CAPTCHA kann auf Dauer keine Lösung sein, weil die OCR-Software immer besser wird.
Das Problem ist, Menschen von Computern zu unterscheiden.
...und zwar, wenn Computer mit Computern kommunizieren; nicht wie beim
echten Turing-Test, wo ein Mensch erkennen muss, ob er es mit einem
Computer zu tun hat.

Verfasst: 12.02.2010, 16:58
von Lord Lommel
Eben, es gibt keine Lösung. Eine der drei großen Anti-Catcha-Methoden (oder sinds mittlerweile mehr ?) wird schon gehen.

Verfasst: 12.02.2010, 17:54
von t-rex
Hi,

beim Traffictausch bzw. Traffickauf wird ebenfalls viel beschissen und mit Botnetzwerken gearbeitet. Ich habe das in Griff bekommen, indem ich das Trackingimage Eventgesteuert per Javascript nachgeladen habe. Ohne hier nun eine Doktorarbeit zu schreiben... Der Gedanke war/ist, dass selbst ausgereifte Bots keine Maus bewegen und auch keine Taste drücken können. Man muss also im Body nur über den onkeydown und den onmousemove Event das Trackingimage setzen.

Abgesehen von Captchas, funktioniert diese Methode recht sicher.

Sonnige Grüsse
HaPe

Verfasst: 13.02.2010, 02:18
von wizard2k
Wenn individuelle Lösungen helfen, dann bedeutet das , dass die Seite für
Botnetzbetreiber nicht interessant genug ist.
ReCaptcha von Big G dürfte wohl recht aktuell sein. Und selbst das wird schon
geknackt.
Ohne hier nun eine Doktorarbeit zu schreiben...
Was kann ein Mensch im Internet machen, was ein Computer (Bot) nicht
besser kann (es muss nebenbei schnell gehen und komfortabel sein)?

Verfasst: 13.02.2010, 23:44
von nerd
Das Problem ist, Menschen von Computern zu unterscheiden.
ein anderer ansatz ist hier, den fingerprint des OS zu nehmen - sich auf cookies oder ip adressen zu verlassen ist SEHR unzuverlaessig, besonders wenn man weiss das leute versuchen werden dich zu bescheissen. im prinzip gehts dabei darum das du via js so viele systemparameter wie moeglich abfragst (bildschirmaufloesung, browser+version, os+version, plugins, installierte schriften, zeitzone, language-accept...) und aus dieser kombination auf deinem server eine id vergibst (z.b. im einfachsten fall md5 aus dem stringconcat aller werte). damit ergeben sich ein paar millionen moegliche kombinationen, einige allerdings weiter verbreitet als andere. damit ist es auch recht leicht betrug zu erkennen, z.b. wenn eine bestimmte kombination deutlich haufiger als andere klickt. viele bots geben sich auch als IE6 zu erkennen, womit ich diese klicks grundsaetzlich ignorieren wuerde.
irgendwo gabs da auch mal eine seite auf der das demonstriert wurde und die dir dann ausgint wie einzigartig deine kombination ist.
Alle Zeiten sind UTC+01:00
Seite 1 von 1

Powered by phpBB® Forum Software © phpBB Limited

Deutsche Übersetzung durch phpBB.de