URL anti-spambot-mechanic blockiert teilweise Ortsnamen / Strassen

Anonymous · 31. März 2026 um 13:35 Uhr

Hallo zusammen,
Im Zuge der letzten Security Updates sind wir bei einer Überprüfung zufällig auf ein Problem mit dem eingebauten Spambot-Schutz gestossen, das uns leider nachweislich Bestellungen kostet.

Das Problem:
Der Filter "URL anti-spambot-mechanic" blockiert Eingaben in den Feldern Stadt, Adresse, Nachname usw., wenn diese einen Punkt ohne Leerzeichen enthalten. In der Schweiz ist das leider sehr häufig, da viele Ortsnamen so geschrieben werden:

St.Gallen
Schönenberg a.d.Th.
Aeugst a.Albis
St.Sulpice VD

Auch Strassennamen wie "St.Gallerstrasse 66" oder Adresszusätze wie "Haus St.Michael" sind betroffen. Selbst im Nachnamen-Feld wird z.B. "zHd.XXY" oder im Telefon-Feld eine E-Mail-Adresse (manche Kunden tragen dort versehentlich die Mail ein) blockiert.

Der Filter interpretiert diese Eingaben offenbar als URL und leert das Feld kommentarlos. Die Kunden merken das teilweise nicht oder versuchen es mehrfach — in unserem Security-Log sehen wir Kunden, die 3–5 Mal die Bestellung abzuschicken versucht haben, bevor sie vermutlich aufgegeben haben.

Es werden alle Felder einfach kommentarlos geleert, und der Kunde, welcher bereits seine vollen Angaben eingetragen hat, sieht nach dem Klick auf Weiter kommentarlos und ohne Hinweise wieder die Seite mit leeren Feldern!

Wenn man den Ortsnamen mit Leerzeichen nach dem Punkt schreibt ("St. Gallen" statt "St.Gallen"), funktioniert es. Aber viele Leute schreiben es zusammen, und das ist auch eine korrekte Schreibweise.

Gibt es eine Möglichkeit, den Filter für die Adressfelder (Stadt, Strasse, PLZ) anzupassen oder zu lockern, ohne den Spam-Schutz komplett zu verlieren?

In welcher Datei ist der "URL anti-spambot-mechanic"-Filter implementiert? Wir würden gerne eine Whitelist für gängige Muster wie "St.", "a.d.", "a." etc. einbauen, oder den Filter für reine Adressfelder deaktivieren.

Wäre das evtl. etwas, das Gambio seitig als Bugfix/Verbesserung in Betracht ziehen könnte?

Besten Dank und freundliche Grüsse

Anonymous · 31. März 2026 um 13:44 Uhr

Hier noch die KI Analyse dazu:

Hier ist meine vollständige Analyse:

1. Fundstelle
Die verantwortliche Regel befindet sich an zwei Stellen:

Filterdefinition (JSON): standard.json:2762 — Regel "URL anti-spambot-mechanic" (identisch gecacht in standard.json:2762)
Filterfunktion (PHP): main.inc.php:356 — Funktion gprotector_block_all_urls_in_registration_form()

2. Wie die Regel aktuell funktioniert und warum z.B. "St.Gallen" blockiert wird
Die Funktion prüft jeden einzelnen POST-Wert (firstname, lastname, city, street_address etc.) gegen 4 Regex-Muster. Das Problem-Muster ist $reDomain in Zeile 378:

Dieses Muster matcht: ein oder mehr Wörter gefolgt von einem Punkt, und dann ein "TLD-ähnliches" Wort mit 2-63 Buchstaben.

Warum schlägt es bei euren Beispielen an:

Eingabe Warum blockiert
St.Gallen St. → Wort+Punkt, Gallen → 6 Buchstaben = gültige "TLD" (2-63)
Schönenberg a.d.Th. a.d.Th → Kette aus Wort.Wort.TLD
St.Gallerstrasse 00 St.Gallerstrasse → matcht als Domain
zHd.Dzenana zHd.XYXX→ matcht als Domain

Das Kernproblem: Die Regex kann nicht zwischen St.Gallen (Ortsname) und spam.com (Domain) unterscheiden, weil sie jede Kombination aus Wort.Wort als potentielle Domain erkennt, solange der rechte Teil 2-63 Zeichen hat.

3. + 4. Lösungsvorschlag (Vorher/Nachher)
Die Lösung: Statt jede TLD-Länge (2-63 Zeichen) zu akzeptieren, matchen wir nur bekannte echte TLDs. Damit wird St.Gallen nicht mehr als Domain erkannt, weil Gallen keine echte TLD ist — aber spam.com, test.net, buy.store etc. werden weiterhin blockiert.
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Anonymous · 31. März 2026 um 13:55 Uhr

Wir konnten das Problem nun dank KI Coding lösen.
Testbestellung nach dem ändern war erfolgreich und es funktioniert nun einwandfrei.

Ich glaube auch in DE, AT usw. gibts ein paar Orte mit (PUNKT) und ich könnte mir vorstellen das viele Kunden im Eifer des Gefechts auch Ihre Strasse mal mit "Musterstr.12" abgekürzt haben, ohne Leerzeichen. Das würde ohne diesen Fix zu leeren Feldern und genervten Kunden führen die keine Ahnung haben was sie falsch gemacht haben.

Ich würde Gambio dringend empfehlen das Thema in einem Update anzugehen!

----------------

Die Änderung erfolgte in der Datei:
/GProtector/functions/main.inc.php

Hier eine Anleitung:

================================================================================
FIX: GProtector blockiert legitime Ortsnamen wie "St.Musterstadt" oder "zHd."
Betrifft: Gambio GX5 – GProtector Firewall
Datum: 31.03.2026
================================================================================

PROBLEMBESCHREIBUNG
-------------------
Die GProtector-Regel "URL anti-spambot-mechanic" blockiert legitime Kunden-
eingaben in Registrierungs- und Adressfeldern, wenn diese einen Punkt ohne
folgendes Leerzeichen enthalten.

Beispiele für fälschlich blockierte Eingaben:
- "St.Musterstadt" oder "St.Beispielberg" (Ortsname)
- "Dorflingen a.d.Th." (Ortsname)
- "St.Musterstrasse 12" (Straße)
- "zHd.Martina" (Name/Anrede)

Die Firewall interpretiert das Muster "Wort.Wort" fälschlicherweise als
Domain/URL, weil die Regex JEDE Buchstabenfolge mit 2-63 Zeichen nach einem
Punkt als gültige Top-Level-Domain (TLD) betrachtet.

URSACHE
-------
Datei: GProtector/functions/main.inc.php
Funktion: gprotector_block_all_urls_in_registration_form()
Zeile: ca. 378 (kann je nach Gambio-Version leicht abweichen)

Die problematische Zeile ist:

$reDomain = '/\b(?:[a-z0-9-]+\.)+(?:[a-z]{2,63}|xn--[a-z0-9-]{2,59})(?:\/\S*)?\b/i';

Das Muster [a-z]{2,63} matcht JEDEN Text mit 2-63 Buchstaben nach einem Punkt.
Deshalb wird "St.Musterstadt" als Domain erkannt: "St." = Domainname + Punkt,
"Musterstadt" = 11 Buchstaben = vermeintliche TLD.

LÖSUNG
------
Statt jede beliebige Zeichenfolge als TLD zu akzeptieren, verwenden wir eine
explizite Liste bekannter TLDs. So wird "St.Musterstadt" nicht mehr blockiert
(weil "Musterstadt" keine echte TLD ist), aber "spam.com" weiterhin erkannt.

Es muss NUR EINE DATEI geändert werden:

GProtector/functions/main.inc.php

SCHRITT-FÜR-SCHRITT-ANLEITUNG
------------------------------

1. Sicherheitskopie anlegen!
Kopiere die Datei GProtector/functions/main.inc.php bevor du Änderungen
vornimmst.

2. Öffne die Datei GProtector/functions/main.inc.php mit einem Texteditor
(z.B. Notepad++, VS Code – NICHT Windows Notepad wegen Encoding).

3. Suche nach der Funktion:
gprotector_block_all_urls_in_registration_form

4. Innerhalb dieser Funktion, suche nach diesem Block (ca. Zeile 370-378):

---- VORHER (DIESEN BLOCK SUCHEN UND LÖSCHEN) ----

/**
* Goal:
* Block URL/domain spam in ANY registration field while allowing normal names/addresses
* that may contain dots or slashes (e.g. "z. Hd. Frau Meier", "St. Johann Straße 5",
* "1. OG / Hinterhaus").
*/

// 1) Block obvious URLs (http/https/www) anywhere.
$reUrl = '/\b(?:https?:\/\/|www\.)\S+/i';

// 2) Block "naked" domains including new TLDs (.store, .online, etc.) + optional path (e.g. tesst.com/, blogspot.com/Viju).
// This does NOT block abbreviations like "St." or "z. Hd." because it requires a real TLD.
$reDomain = '/\b(?:[a-z0-9-]+\.)+(?:[a-z]{2,63}|xn--[a-z0-9-]{2,59})(?:\/\S*)?\b/i';

---- ENDE VORHER ----

5. Ersetze den obigen Block durch folgenden Code:

---- NACHHER (DIESEN BLOCK EINFÜGEN) ----

/**
* Goal:
* Block URL/domain spam in ANY registration field while allowing normal names/addresses
* that may contain dots or slashes (e.g. "z. Hd. Frau Beispiel", "St.Musterstadt",
* "St.Musterstrasse 12", "zHd.Martina", "Dorflingen a.d.Th.").
*
* Fix 2026-03-31: Use explicit TLD list instead of generic {2,63} length match
* to prevent false positives on abbreviations like "St.Musterstadt", "a.d.Th." etc.
*/

// 1) Block obvious URLs (http/https/www) anywhere.
$reUrl = '/\b(?:https?:\/\/|www\.)\S+/i';

// 2) Block "naked" domains – only match KNOWN TLDs to avoid false positives on
// place names and abbreviations (St.Musterstadt, zHd.Martina etc.).
$knownTlds = 'com|net|org|info|biz|name|pro|mobi|tel|asia|cat|coop|jobs|museum|travel|aero'
. '|edu|gov|mil|int'
// Europa
. '|de|at|ch|li|fr|it|es|pt|nl|be|lu|gb|uk|ie|pl|cz|sk|hu|ro|bg|hr|si|rs|ua|by|lt|lv|ee|fi|se|no|dk|is|al|ba|cy|ge|gr|md|me|mk|mt|sm|va'
// Amerika
. '|us|ca|mx|br|ar|co|pe|cl|ve|ec|uy|py|bo|cr|pa|do|cu|pr|tt'
// Asien & Nahost
. '|ru|cn|jp|kr|tw|hk|in|pk|bd|sg|my|th|vn|ph|id|il|tr|sa|ae|qa|kw|ir|iq'
// Afrika & Ozeanien
. '|au|nz|za|ng|ke|eg|ma|tz|gh'
// Häufig missbrauchte / Spam-TLDs
. '|io|me|cc|tv|ws|fm|am|ly|to|gg|je|im|sx|pw|tk|ml|ga|cf|gq'
. '|xyz|top|win|bid|trade|review|stream|download|racing|date|webcam|loan'
. '|science|party|faith|accountant|cricket|gdn|icu|buzz|rest|fit'
// Neue generische TLDs
. '|online|store|shop|site|website|web|blog|app|dev|tech|digital|cloud|host|space'
. '|click|link|live|world|center|email|cheap|guru|zone|agency|marketing|media'
. '|social|studio|design|solutions|plus|network|systems|support|services|company'
. '|enterprises|group|express|limited|works';

$reDomain = '/\b(?:[a-z0-9](?:[a-z0-9-]*[a-z0-9])?\.)+(?:' . $knownTlds . ')(?:\/\S*)?\b/i';

---- ENDE NACHHER ----

6. Speichere die Datei (Encoding: UTF-8 ohne BOM).

7. Fertig! Es müssen KEINE weiteren Dateien geändert werden.
Die JSON-Dateien (filter/standard.json und cache/standard.json) bleiben
unverändert – sie steuern nur WELCHE Felder geprüft werden, nicht WIE.

WAS SICH ÄNDERT (ZUSAMMENFASSUNG)
----------------------------------
- VORHER: Die Regex akzeptierte jede Buchstabenfolge mit 2-63 Zeichen als
TLD → "St.Musterstadt" wurde als Domain erkannt und blockiert.

- NACHHER: Die Regex prüft nur noch gegen eine explizite Liste von ~200
bekannten TLDs → "St.Musterstadt" wird durchgelassen, weil "Musterstadt"
keine echte TLD ist. Echte Spam-Domains (spam.com, test.xyz, buy.store etc.)
werden weiterhin zuverlässig blockiert.

TESTFÄLLE
---------
Nach der Änderung sollten folgende Eingaben DURCHGELASSEN werden:
✓ St.Musterstadt
✓ St.Beispielberg
✓ Dorflingen a.d.Th.
✓ St.Musterstrasse 12
✓ zHd.Martina
✓ z.Hd. Frau Beispiel
✓ 1. OG / Hinterhaus

Folgende Eingaben sollten weiterhin BLOCKIERT werden:
✗ spam.com
✗ buy.store
✗ test.xyz
✗ (Link nur für registrierte Nutzer sichtbar.)
✗ (Link nur für registrierte Nutzer sichtbar.)
✗ evil[.]com
✗ example(dot)net

HINWEIS ZU GAMBIO-UPDATES
--------------------------
Bei einem Gambio-Update wird die Datei main.inc.php möglicherweise
überschrieben. Nach jedem Update prüfen, ob die Änderung noch vorhanden ist!
Am besten die geänderte Datei separat sichern, um sie bei Bedarf erneut
einspielen zu können.

ERWEITERTE TLD-LISTE
---------------------
Falls in Zukunft neue Spam-TLDs auftauchen, kann die Variable $knownTlds
einfach um weitere Einträge ergänzt werden, z.B.:

. '|neuetld|weiteretld'

Einfach vor dem abschließenden Semikolon eine neue Zeile anhängen.

================================================================================
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Anonymous · 31. März 2026 um 15:24 Uhr

Danke dir - kannst du Gambio aktiv noch informieren, das wird wohl helfen damit da vielleicht ein direkter Fix kommt.

Anonymous · 31. März 2026 um 18:07 Uhr

Zitat von MWVAT: ↑

Danke dir - kannst du Gambio aktiv noch informieren, das wird wohl helfen damit da vielleicht ein direkter Fix kommt.
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Jo ich denke das @Till (Gambio) und @Hendrik M. (Gambio) sich das hier bestimmt anschauen?
Wäre cool zu erfahren wie eure Meinung dazu ist.

Anonymous · 31. März 2026 um 21:47 Uhr

Danke @DrGuu

Zitat von Anonymous: ↑

Der Filter "URL anti-spambot-mechanic" blockiert Eingaben in den Feldern Stadt, Adresse, Nachname usw., wenn diese einen Punkt ohne Leerzeichen enthalten.
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Das kann ich für alle Felder bestätigen.
Vorname, Nachname, Straße, Ort.
Beim Klick auf "weiter" wird das Formular ohne Fehlermeldung geleert.

@peter_breuer
(Link nur für registrierte Nutzer sichtbar.)
Könnte das eventuell die Ursache sein?