Eigenes CPC-Script basteln - Ziel: vor Klickbetrug sicher

Beitrag von **mgutt** » 20.08.2009, 16:40

Hi,

ich möchte mir gerne ein eigenes CPC-Script erstellen. D.h. ich suche mir Partner und jeden Besucher, den dieser mir vermittelt bringt ihm x Cent.

Nun wollte ich folgendes auf meiner Seite machen (der Partner bindet einfach nur meinen Link ein, sonst nichts):

1.) Tracking Cookie bei allen Besuchern setzen, so dass nur die vergütet werden, die unsere Seite nicht eh schon nutzen:

Code: Alles auswählen

if &#40;!isset&#40;$_COOKIE&#91;'tid'&#93;&#41;&#41; &#123;
	$now = time&#40;&#41;;
	$tid = md5&#40;uniqid&#40;mt_rand&#40;&#41;, true&#41;&#41;;
	setcookie&#40;'tid', $tid, $now + 31536000, '/', $cookie_domain&#41;;

2.) Wenn der Besucher also kein Tracking-Cookie zurückgesendet hat und von unserem Partner kommt, blenden wir ein Bild ein:

Code: Alles auswählen

	if &#40;strpos&#40;$_SERVER&#91;'HTTP_REFERER'&#93;, 'example.org'&#41; !== false&#41;&#41; &#123;
		echo&#40;'<img src="track.gif" border="0" alt="" width="100" height="100" />'&#41;;
	&#125;
&#125;

3.) track.gif verweist per mod_rewrite auf track.php: (Adblocker haben manchmal was gegen Bilder, die auf .php enden)

Code: Alles auswählen

<?php

function display_tracking_image&#40;&#41; &#123;
	// image data
	$im = imagecreate&#40;1, 1&#41;;
	$blk = imagecolorallocate&#40;$im, 0, 0, 0&#41;;
	imagecolortransparent&#40;$im, $blk&#41;;
	// image output
	header&#40;"Content-type&#58; image/gif"&#41;;
	imagegif&#40;$im&#41;;
	// free memory
	imagedestroy&#40;$im&#41;;
&#125;

if &#40;strpos&#40;$_SERVER&#91;'HTTP_REFERER'&#93;, $_SERVER&#91;'SERVER_NAME'&#93;&#41; !== false&#41; && isset&#40;$_COOKIE&#91;'tid'&#93;&#41;&#41; &#123;
	add_click&#40;&#41;; // fügt Klick zu Datenbank hinzu
&#125;
display_tracking_image&#40;&#41;;
exit&#40;&#41;;

?>

Das Bild soll in diesem Fall davor schützen, dass jemand einfach nur seine Cookies löscht bzw. seine Internetverbindung kappt und die Seite erneut aufruft. Denn das reicht nicht. Er müsste zusätzlich seinen Browsercache löschen (was die wenigsten machen), damit das Tracking-Bild neu geladen wird. Ansonsten kommt zwar das Bild im Quelltext zum Vorschein, aber es wird nicht noch mal vom Server angefordert.

Auch werden so Crawler ausgeschlossen, da die eigentlich keine Cookies zurücksenden bzw. Bilder nicht laden.

Damit nun keiner hingeht und das Bild direkt aufruft, legen wir beim Aufruf der Seite einen Datensatz an:

Code: Alles auswählen

INSERT INTO clicks &#40;datum,tid&#41; VALUES&#40;'20.08.', $tid&#41;

Und beim Öffnen des Bildes wird er vervollständigt:

Code: Alles auswählen

UPDATE clicks SET valid = 1 WHERE datum = '20.08' AND tid = $tid

Nur was machen gegen ein Script, dass meine Seite mit gefälschtem Ref anpingt, die Tracking-ID exportiert und mit dieser dann das Bild anpingt?

Eine IP-Sperre wäre denke ich nicht sinnvoll, da es ja Provider gibt, die ihre IPs als Proxy einsetzen (wie z.B. AOL).

Also einzigen zusätzlichen Schutz würde mir eine Art Whitelist für die Browserkennung einfallen:

Code: Alles auswählen

if &#40;strpos&#40;$_SERVER&#91;'HTTP_USER_AGENT'&#93;, 'MSIE'&#41; !== false || strpos&#40;$_SERVER&#91;'HTTP_USER_AGENT'&#93;, 'Firefox'&#41; !== false || strpos&#40;$_SERVER&#91;'HTTP_USER_AGENT'&#93;, 'Opera'&#41; !== false&#41; &#123;

Aber das funktioniert ja auch nur, bis der Klickbetrüger sein Script um einen gültigen User-Agent erweitert. Aber jede Hürde ist ja bekanntlich sinnvoll.

Gibt es noch Ideen bzw. Lücken?

von **Anzeige von ABAKUS** »

Content Erstellung von ABAKUS Internet Marketing
Ihre Vorteile:

einzigartige Texte
suchmaschinenoptimierte Inhalte
eine sinnvolle Content-Strategie
Beratung und Umsetzung

Jetzt anfragen: 0511 / 300325-0

Beitrag von **mgutt** » 21.08.2009, 09:29

Also ich brauche noch eine IP-Reloadsperre, die aber AOL-Nutzer (und andere Proxy-Provider) durchlässt. Gibt es sowas bzw. wie könnte man das realisieren? Nur über Whitelist?

Beitrag von **wizard2k** » 12.02.2010, 16:12

Auch wenn dein Beitrag schon etwas älter ist; vielleicht beschäftigst du dich
ja noch mit dem Thema.
Ich bin letztlich zu dem Schluss gelangt, dass die einzige, einigermaßen
sichere Maßnahme gegen Klickbetrug CAPTCHAs sind.
Hier gilt: Je schwerer ein CAPTCHA für einen Bot zu lösen ist, desto
schwerer fällt es auch Menschen, es zu entziffern.
Der Krieg "Mensch gegen Maschine" kann im Internet m.E. als verloren
betrachtet werden.
Eine IP-Reloadsperre bringt nichts mehr, wenn Botnetze für den Klickbetrug
verwendet werden; was meistens der Fall ist.
Hier findet ein Wettrüsten statt. Einfache Botnetze kann man an ihrem
"Verhalten" erkennen, andere simulieren natürliches Surfverhalten.

Ein Praxistest des US-amerikanischen "Marketing Experiments Journal" im Juni 2005 zeigt das immense Ausmaß des Klickbetrugs. Bis nahezu 30 Prozent der registrierten Klicks in einem der durchgeführten Testläufe hatten einen betrügerischen Hintergrund, wurden aber größtenteils nicht erkannt und daher regulär abgerechnet. Auch laut der aktuellen Statistik eines amerikanischen Klick-betrug-Indexes (Click-Fraud-Index) bewegt sich die Zahl der betrügerischen Klicks bei etwa 14 Prozent.

Da kann man wohl bislang nicht viel gegen machen...

von **Anzeige von ABAKUS** »

Beitrag von **Lord Lommel** » 12.02.2010, 16:16

Das stimmt. Es ist nur ein gegenseitiges Hochrüsten. Gegen einen Trojaner hat man eigentlich keine Chance.

Beitrag von **DanielS** » 12.02.2010, 16:24

Ein CAPTCHA um die Anzahl der neuen Besucher zu messen?!

Beitrag von **wizard2k** » 12.02.2010, 16:28

Bei einer Toplist wäre das schon zumutbar.
Wie kann man sich sonst vor Klickbetrug schützen?

Beitrag von **DanielS** » 12.02.2010, 16:31

wizard2k hat geschrieben:Bei einer Toplist wäre das schon zumutbar.
Wie kann man sich sonst vor Klickbetrug schützen?

Wie kommst Du auf Toplist?

Entweder habe ich mgutt nicht richtig verstanden oder Du. Warten wir einfach mal ab, was er von einem Captcha als Lösung für sein Problem hält.

Beitrag von **wizard2k** » 12.02.2010, 16:39

Ich denke nicht, dass ein CAPTCHA für ihn die richtige Lösung wäre.
Da hast du mich falsch verstanden. Ich denke nur, dass es die
einzige Lösung ist.
Demnach könnte meine Antwort auch lauten, dass es bislang keine
zufriedenstellende Lösung gibt.
Eine Toplist dient der Vermittlung von Besuchern. Dabei geht es, wie dem
Threadstarter auch, darum, Besucher zuverlässig zu zählen.
Das Problem ist, Menschen von Computern zu unterscheiden.

Beitrag von **DanielS** » 12.02.2010, 16:43

wizard2k hat geschrieben:Da hast du mich falsch verstanden. Ich denke nur, dass es die einzige Lösung ist.

"Die einzige Lösung" für ein anderes Problem.
Ich könnte ja auch sagen, dass Wasser die einzige Lösung ist bei Durst ist. Zum einen stimmt das nicht, und zum anderen bringt das in diesem Thread hier keinem was.

Aber lassen wir das, ich will hier keinem der seine Erfahrungen wiedergibt an's Bein Pipi machen

Beitrag von **wizard2k** » 12.02.2010, 16:50

Mir ging es auch eher darum, über das Thema zu diskutieren. Was gibt es in dem
Bereich für Entwicklungen?
Tauschen Firmen die CPC im Programm haben Blacklists von Botnetzen aus?
CAPTCHA kann auf Dauer keine Lösung sein, weil die OCR-Software immer besser wird.

Das Problem ist, Menschen von Computern zu unterscheiden.

...und zwar, wenn Computer mit Computern kommunizieren; nicht wie beim
echten Turing-Test, wo ein Mensch erkennen muss, ob er es mit einem
Computer zu tun hat.

Beitrag von **Lord Lommel** » 12.02.2010, 16:58

Eben, es gibt keine Lösung. Eine der drei großen Anti-Catcha-Methoden (oder sinds mittlerweile mehr ?) wird schon gehen.

Beitrag von **t-rex** » 12.02.2010, 17:54

Hi,

beim Traffictausch bzw. Traffickauf wird ebenfalls viel beschissen und mit Botnetzwerken gearbeitet. Ich habe das in Griff bekommen, indem ich das Trackingimage Eventgesteuert per Javascript nachgeladen habe. Ohne hier nun eine Doktorarbeit zu schreiben... Der Gedanke war/ist, dass selbst ausgereifte Bots keine Maus bewegen und auch keine Taste drücken können. Man muss also im Body nur über den onkeydown und den onmousemove Event das Trackingimage setzen.

Abgesehen von Captchas, funktioniert diese Methode recht sicher.

Sonnige Grüsse
HaPe

Beitrag von **wizard2k** » 13.02.2010, 02:18

Wenn individuelle Lösungen helfen, dann bedeutet das , dass die Seite für
Botnetzbetreiber nicht interessant genug ist.
ReCaptcha von Big G dürfte wohl recht aktuell sein. Und selbst das wird schon
geknackt.

Ohne hier nun eine Doktorarbeit zu schreiben...

Was kann ein Mensch im Internet machen, was ein Computer (Bot) nicht
besser kann (es muss nebenbei schnell gehen und komfortabel sein)?

Beitrag von **nerd** » 13.02.2010, 23:44

Das Problem ist, Menschen von Computern zu unterscheiden.

ein anderer ansatz ist hier, den fingerprint des OS zu nehmen - sich auf cookies oder ip adressen zu verlassen ist SEHR unzuverlaessig, besonders wenn man weiss das leute versuchen werden dich zu bescheissen. im prinzip gehts dabei darum das du via js so viele systemparameter wie moeglich abfragst (bildschirmaufloesung, browser+version, os+version, plugins, installierte schriften, zeitzone, language-accept...) und aus dieser kombination auf deinem server eine id vergibst (z.b. im einfachsten fall md5 aus dem stringconcat aller werte). damit ergeben sich ein paar millionen moegliche kombinationen, einige allerdings weiter verbreitet als andere. damit ist es auch recht leicht betrug zu erkennen, z.b. wenn eine bestimmte kombination deutlich haufiger als andere klickt. viele bots geben sich auch als IE6 zu erkennen, womit ich diese klicks grundsaetzlich ignorieren wuerde.
irgendwo gabs da auch mal eine seite auf der das demonstriert wurde und die dir dann ausgint wie einzigartig deine kombination ist.