PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Spambotsperre fürs Forum?


feuervogel
25.11.2006, 09:34:57
Hallo!

Ich weiß nicht, ob ich der einzige bin, den diese Spambots nerven, diese Woche wars echt schon viel Werbung, die gepostet wurde.

Allerdings fänd ichs gut, wenn es bei der Registrierung hier im Forum ein captcha gäbe. Für jedes neue Thema und neuen Beitrag finde ich es überflüssig, aber wenn man wenigstens davon ausgehen kann, dass nur Menschen angemeldet sind, dann könnte schon mal ein großer Haufen Werbung vermieden werden.

Was meint ihr?

Opendix
25.11.2006, 12:00:45
Ein captcha beim registrieren gibts ja schon.. dieses scheint nur zu einfach zu sein!

Aber irgendwas müsste man schon unternehmen...

feuervogel
25.11.2006, 12:51:28
Ein captcha beim registrieren gibts ja schon.. dieses scheint nur zu einfach zu sein!

oh? hab mich wohl länger nicht mehr registriert *g* naja, was heißt zu einfach, es gibt da schon gewisse tricks die dinger zu knacken...

Opendix
25.11.2006, 13:52:11
nun ja... ich denke für solche captchas die einfach nur solche Ziffern enthalten die man abitppen muss gibt es schon etliche Bots die das erkennen können...

Wens dann noch Standard-Captcha der Forum-SOftware ist sowieso!
vielleicht wäre eine kleine AUfgabe zum Captahce besser... z.B. ein captache mit 6 Ziffern von denen eine Ziffer doppelt vorkommt und man soll angeben welche... oder irgendsowas :)

Damir
25.11.2006, 15:03:39
Hi,

ja mich nerven die Dinger auch und ich muss fast taeglich Eintraege loeschen und Benutzer sperren. Das mit dem Captcha ist so eine Sache, sie muessen so leicht sein das auch jeder sie loesen kann. Im Kochbuch habe ich ja ein Captcha gezeigt, wo man eine leichte Rechenaufgabe loesen muss... Allerdings weiss ich nicht ob das jeder kann;-) und ob es implementiert werden kann - da ist wohl Daniel der bessere Ansprechpartner.

Damir

@Feuervogel
Nein, ich habe dich nicht vergessen aber der Stress momentan bringt mich fast um;-) Ich melde mich aber noch.

|Coding
26.11.2006, 15:43:18
Ich werde mir das mal ansehen und dann noch mal was dazu sagen.

Domi
11.12.2006, 14:53:40
Das Captcha aus der Skriptabteilung hat aber meiner Meinung einen gravierenden Fehler (ich hoffe ich habe das beim überfliegen nicht falsch gesehen). Und zwar wird schon der einzugebende Code mit in den Dateinamen geschrieben, genauso wie die md5-Checksumme als hiddenfield und im filename doch nur verglichen werden oder?

Also wenn das der einzigste Schutz ist, ist das meiner Meinung nach schwach, sehr schwach. Bin schon am überlegen wie man das ohne Sessions besser machen könnte. Einfach als Dateiname nur die md5 Summe der Eingabe. Wobei seit diversen Rainbowtables das auch garkeit Problem mehr ist...

Gruss
Domi

Damir
11.12.2006, 15:38:12
Das Captcha aus der Skriptabteilung hat aber meiner Meinung einen gravierenden Fehler (ich hoffe ich habe das beim überfliegen nicht falsch gesehen).

Doch!!!! Du hast es falsch gesehen!!!!!

Du hast recht, die MD5-Summe wird im hidden-Field uebergeben aber sie ist nur ein Teil des Schlüssels - so gesehen der öffentliche Schlüssel für diese Seite. Der Zweite Teil ist das Captcha Bild selbst, also das was du eingeben musst. Erst zusammen ergibt es die Lösung.

Also: 4b73f3081a465c95bb4d59108dc43eca_dVe4Xh.png

Öffentlich: 4b73f3081a465c95bb4d59108dc43eca
Deine Eingabe: dVe4Xh

Du hast aber nur ein Versuch um genau "dVe4Xh" einzugeben, da sonst das Captcha ungültig ist. Die ist schon klar wieviele Kombinationen möglich sind????

Ein 6er im Lotto ist wahrscheinlicher, da ja bei jedem Seitenaufruf auch noch die MD5-Summe sich wechselt...

Damir

feuervogel
11.12.2006, 16:33:23
das problem ist, dass die bot-betreiber pr0nseiten eingerichtet haben, deren einziger zugangsschutz ein captcha ist, das von den bots übermittelt wird.

dies wird dann von den menschen die die seiten angucken wollen gelöst und schwupps ist es kein problem mehr.

Domi
11.12.2006, 17:24:37
Also: 4b73f3081a465c95bb4d59108dc43eca_dVe4Xh.png

Öffentlich: 4b73f3081a465c95bb4d59108dc43eca
Deine Eingabe: dVe4Xh


Irgendwie hab ichs immernoch nicht verstanden.

Der öffentliche Schlüssen (hier die zufallserzeugte md5 Summe) und die Eingabe zusammen verschaffen Zutritt. Aber beides steht doch im Dateinamen vom Captcha oder? Also geht nen Kumpel her, der meine Seite knacken will, liest den Dateinamen aus, nimmt die ersten 32 Zeichen als hidden Field und schickt das per POST zusammen mit den restlichen 6 Zeichen nach dem Unterstrich, und schon ist er drin!!?!?

Klärt mich auf.. bitte :)


das problem ist, dass die bot-betreiber pr0nseiten eingerichtet haben, deren einziger zugangsschutz ein captcha ist, das von den bots übermittelt wird.

dies wird dann von den menschen die die seiten angucken wollen gelöst und schwupps ist es kein problem mehr.


.. dann muss man das so machen, dass man nur alle roten Buchstaben eingeben soll oder so. Schreibt das drüber aber nicht aufs Captcha mit drauf. Welche Farbe wird jedes mal per Zufall ermittelt und auch als Grafikdargestellt. So kann das Captcha zwar genommen werden, auf anderen Seiten gelöst werden und wieder die Eingabe verendet werden, aber die auf den anderen Seite werden immer das hineinschreiben was sie sehen. Um farbenblinde nicht auszuschließen, kann man es so machen, dass alle eingetragen werden, deren Farbwert in der Überzahl ist, wenn 3 rote und 4 blaue sind, dann die blauen oder einfach die in der Unterzahl, wie auch immer.

Gruss
Domi

Damir
11.12.2006, 19:27:08
@Domi

OK, ich versuche es mal;-)

Also wenn sich die Seite läd dann wird ein Captcha Bild erzeugt und in einem temporaeren Verzeichnis gespeichert. Dieses Verzeichnis ist dem User nicht bekannt. Das angezeigte Captcha verrät auch nicht ueber den Dateinamen. Das Bild heisst z.B.:

4b73f3081a465c95bb4d59108dc43eca_dVe4Xh.png

Die MD5-Summe wird im hidden-Field gespeichert und der Rest ( hier dVe4Xh) steht im Captcha Bild und muss vom User eingegeben werden.

Sobald also der USer das Formular abschickt werden zuerst alle Captchadateien im temporaeren Verzeichnis gelöscht, die älter als z.B 2 Minuten sind. Danach wird überprüft ob die Datei vorhanden ist - also hier 4b73f3081a465c95bb4d59108dc43eca_dVe4Xh.png

Wenn ja dann ist alles OK, wenn nein dann wurde etwas falsches eingegeben. Allerdings werden in beiden Fällen das Captcha mit dem Dateinamen "4b73f3081a465c95bb4d59108dc43eca" gelöscht.

Man kann somit nur ein einziges mal die MD5-Summe nutzen, nie zweimal!!!!!


Das Skript von mir kann so eingestellt werden, das entweder ein Captcha mit Buchstaben und Zahlen angezeigt wird oder wahlweise eine Rechenaufgabe, die man lösen muss...

So, verstanden????? ;-)

Damir

Domi
11.12.2006, 20:08:09
Ja soweit hab ich das alles verstanden, schon von Anfang an. Aber was wird denn dann im Browser angezeigt? Da musst doch das Bild eingebunden werden per <img /> oder? Und hier muss doch der Dateinamen stehen? also z.B.

<img src="4b73f3081a465c95bb4d59108dc43eca_dVe4Xh.png" alt="captcha" />

Somit sind doch alle wichtigen Sachen gegeben?

Achso Moment, das Bild wird ja durch die php Datei erzeugt und dann sofort mit header dem PNG header ausgegeben oder?


SO, habs jetzt einfach ausprobiert. Da wird ja folgendes angezeigt:

<img src="captcha.php?codeCaptcha=5565f71d36cbc875a740192b91427aeb">

Somit ist wirklich nur die md5 Summe bekannt. Ok. Dann passt es ja. Hoffe du verstehst jetzt auch, was ich nicht verstanden habe ;)

Gruss und Danke

Domi

Damir
11.12.2006, 20:26:54
Ja ich hatte es schon verstanden. Aber wie du ja siehst wird nur immer ein "Schlüssel" öffentlich gezeigt und kann auch nur einmal genutzt werden. Ich denke, das Captcha ist schon sehr sicher und sollte für die meissten Dinge auch problemlos funktionieren.

Man kann es natürlich noch erweitern indem man dynamisch verschiedene Schriften und Hintergrundverläufe erstellt. Aber das ist ja easy zu implementieren:-)

Domi
11.12.2006, 21:30:00
Jap, und Möglichkeiten gibts es ja auch enorm viel, die er in den 2 Minuten garnicht ausprobieren kann, somit ist es wirklich gegen eine reine Botattacke sicher.

Aber das ist einge gute Idee: Man hat eine Seite auf der es guten Content gibt, z.B. Pr0ns. Die User dürfen nen Bilder anschauen und zwischendurch kommt das Captcha, und zwar genau das, welches z.B. hier kopiert wurde, von dem User ausgefüllt und somit wieder nach hier geschickt wird. Die Idee ist echt interessant. Wenn genug User die Pr0ns sehen wollen, dann kommen die BoTs so überall rein. Daher die Idee mit den versch. Farben. S.O.

Gruss
Domi

Domi
13.12.2006, 19:42:02
Ok,

was anderes: ne aktivierung per E-Mail können die BoTs auch schon oder? Und beides kombiniert? Die bekommen ne Mail mit Link drinen, dann klicken sie drauf und müssen nur noch das Captcha eingeben.

Gruss
Domi

Damir
20.12.2006, 10:00:40
Also ich habe mal das Captcha vom Forum umgestellt und irgendwie wurde in den letzten 72 Stunden kein Spam-Eintrag mehr getätigt...

Naja, mal nicht zu laut sagen;-)

Damir

feuervogel
20.12.2006, 15:02:31
Also ich habe mal das Captcha vom Forum umgestellt und irgendwie wurde in den letzten 72 Stunden kein Spam-Eintrag mehr getätigt...

Naja, mal nicht zu laut sagen;-)

Damir

gabs in den letzten 72 stunden menschliche neuregistrierungen? wenn nicht: prima *g*

Damir
20.12.2006, 15:14:18
gabs in den letzten 72 stunden menschliche neuregistrierungen? wenn nicht: prima *g*

Also knapp 50 Leute haben sich seitdem registriert, also ohne Probleme;-)

ZeitZumFaken
06.01.2007, 03:05:59
Seas,
also die Captcha bringen doch irgendwie gar nichts, oder? Denn es gibt ja bereits gute Scan-Programme die aus diesen Bild einen ansi code erzeugen......

Am besten wäre es wohl einfache Fragen zu stellen, wie z.b.: Welchen Tag haben wir heute?
oder Welche Sprache sprichst du?.....das müsste doch von Bots sehr schwer zu beantworten sein, der Nachteil ist nur dass man viele verschiedene Fragen bräcuhte.

Eine gute Lösung wäre sicherlich auch ein IP-Bann, also nicht nur User sperren sondern auch die IP.
Und sollte beim reg. wer die frage z.b. 3x falsch beantwortet haben, wird seine IP gebannt!

Hoffe ich hab nicht allzu viel Mist geschrieben, hab euere Beiträge nur Überflogen^^

feuervogel
06.01.2007, 09:42:22
Am besten wäre es wohl einfache Fragen zu stellen, wie z.b.: Welchen Tag haben wir heute?
oder Welche Sprache sprichst du?.....das müsste doch von Bots sehr schwer zu beantworten sein, der Nachteil ist nur dass man viele verschiedene Fragen bräcuhte.


achso. welchen tag man samstags hat ist klar: sonnabend. wenn ein legastheniker da sitzt, kann der bestimmt nicht jeden tag korrekt schreiben auf anhieb. und: was willst du machen für amerikanische webseiten? da gibts mehrere zeitzonen. und wenn meine uhr um 5 minuten verschoben ist zu der uhr des servers...

und welche sprache ich spreche? wenn ich das von einer englischen webseite gefragt werde, kommt da sicherlich deutsch raus, bei nem spanier spanisch. was ist mit bilingualen menschen? die geben dann zwei antworten?

ergo: schwachsinn.

ein zentral zu verwaltendes system, auf das alle zugriff haben dürfen, aber welches sich mit kenntniss der daten nicht knacken lässt, und dennoch von 5 bis 95 jahren weltweit funktioniert und keine randgruppe ausschließt, wäre ideal.

meikel
06.01.2007, 10:48:30
wenn ein legastheniker da sitzt, kann der bestimmt nicht jeden tag korrekt schreiben auf anhieb.
Sei doch froh. Oder möchtest Du dann die "Fragen" des Legasthenikers ins Deutsche übersetzen, um rauszukriegen, was der überhaupt will?

Ich würde die Latte sogar noch höher legen:
Frage: "mit welcher PHP Funktion kann man die Länge eines Strings ermitteln?" usw.
Dann kämen nur noch Leute rein, die wenigstens einmal ins Handbuch reingeguckt haben.

feuervogel
06.01.2007, 11:19:31
Sei doch froh. Oder möchtest Du dann die "Fragen" des Legasthenikers ins Deutsche übersetzen, um rauszukriegen, was der überhaupt will?

Ich würde die Latte sogar noch höher legen:
Frage: "mit welcher PHP Funktion kann man die Länge eines Strings ermitteln?" usw.
Dann kämen nur noch Leute rein, die wenigstens einmal ins Handbuch reingeguckt haben.

naja, für ein php-forum wäre das sicher eine lösung, aber nicht nur hier werden ja spambottsperren eingesetzt...

ms.be
02.11.2007, 16:56:21
Auch wenn dieser Thread nu schon älter ist, hier trotzdem etwas Senf dazu:

Fallbeispiel:
Ich ( PHP = absoluter Newbie ) habe ein Problem mit dem Setzen und Auslesen eines Cookies.

Da ich ja nicht gleich mit der Tür ins Haus falle, und "doofe" Fragen stelle, benutz ich die Möglichkeit suchen.

Ergebnis: Für einen absoluten Anfänger absolut wertlos, da scheinbar von Profis für Profis geschrieben.

ich (immer noch keine Ahnung) hätte als Ergebnis zumindestens in einem einfachen Beispiel das Setzen und Auslesen Schritt für Schritt erklärt gefunden, damit ich das kapiere.
Stattdessen habe ich die Möglichkeit, mich in der Referenz von Befehl zu Befehl zu hangeln, bloß verstehen tue ich da als absoluter Anfänger nicht das meiste von.

Und dann soll ich bei der Registrierung eine solche Frage beantworten, um eine Frage stellen zu können da ich ja keine Ahnung habe...

Fallbeispiel Ende

Hier wäre eine Anfängerabteilung absolut empfehlenswert in der gängige einfache Dinge genau beschrieben und erklärt werden. Viele teilweise immer dieselben Fragen würden erst gar nicht gestellt, da man ja ein gutes Tutorial hätte.

feuervogel
02.11.2007, 19:00:20
Hier wäre eine Anfängerabteilung absolut empfehlenswert in der gängige einfache Dinge genau beschrieben und erklärt werden. Viele teilweise immer dieselben Fragen würden erst gar nicht gestellt, da man ja ein gutes Tutorial hätte.

Es gibt

http://www.php-faq.de/ und
http://tut.php-quake.net/

und es werden trotzdem immer wieder die gleichen Fragen von Anfängern gestellt und dann von allen anderen beantwortet.