Image mit Zahlen und Buchstaben

[Flex]

Eine Sperre in einem solchen Programm zu implementieren ist meiner Meinung nach der falsche Weg.

Denn wenn ich ein Formular benutzen will und das sagt mir: Sie können erst in 50 Minuten wieder eine Nachricht abschicken.
Dann lass ich es lieber.

Einen guten Überblick über "gecrackte" Captcha bietet das Pwntcha Projekt.

Und dank einer Masse an offenen Proxy Servern ist die Sperre über IPs zwar machbar, die Effizienz ist aber anzuzweifeln.

 

[son gohan]

Das Formular soll dir aber erst nachdem du bereits einmal erfolgreich das Formular abgeschickt hast sagen das du bereits eine Email verschickt hast und aus Sicherheitgründen nur jede Stunde oder jeden Tag das einmal machen darfst. das erfolgreiche versenden kann man vielleicht anhand der Rückgabe von mail() erhalten und den aktuellen user anhand der IP Adresse, einer Session Id oder anderen besseren Methoden da kenne ich mich nicht aus was besser ist und immer klapt. So müsste es dann doch akzeptabel sein, ansonsten wäre es ja auch eine belästigung wenn jemand öfter als einmal eine email an dich schicken kann.

Ob man bei so einer Sperre jetzt auch noch ein Captcha mit einbauen soll weiß ich nicht und am liebsten dann doch nicht weil es ja nerven tut die Bilder immer entschlüsseln zu müssen.

Also etwas besseres als eine identifizierbare Sperre fällt mir nicht ein.

Es kann natürlich jetzt sein das jemand 1000 Spambots auf einmal in deine Webpage schickt und jeder hat eine andere Session ID und IP Adresse, dann wird es natürlich schwerer mit dem identifizieren und sperren.

Ansonsten wieso sollen normale Bilder Captchas dann noch besser sein als eine Sperre wenn sie doch entschlüsselt werden können?

 

[Flex]

Und wie willst du eine solche Sperre realisieren?

IP? OpenProxies, statische IP Adressen sind eher die Ausnahme, sprich eine neue Einwahl reicht.
Sessions und Cookies? Wenn Cookies nicht akzeptiert werden ist wohl beides hinfällig.

Es ist leider nicht wirklich möglich eine zuverlässige Sperre zu entwickeln. (Zumindest nicht nach meinem Wissensstand.)

Allerdings gibt es auch die Regel: Je weniger verbreitet die Software ist, desto größer ist die Chance, dass niemand seine Bots auf deinen Captcha ändert.

Sprich wenn der Captcha nur in deinem Forum im Einsatz ist, wird sich kaum ein Botentwickler die Zeit nehmen und diesen Captcha zu entschlüsseln und in seinen Bot zu implementieren.
Ist er dagegen in 10.000 Foren aktiv (siehe phpBB Standard Catpcha) wird sich da schon eher jemand hinsetzen und sich die Mühe machen.

Je individueller deine Software (Captcha) also ist, desto "sicherer" ist sie. (Zumindest im Zusammenhang mit Captchas)

In einem alten Beitrag von mir, habe ich eine Text-Captcha Klasse vorgestellt, die ich in 1-2 Projekten verwendet habe, als zusätzlichen Schutz bei der Registrierung.

 

[son gohan]

IP? OpenProxies, statische IP Adressen sind eher die Ausnahme, sprich eine neue Einwahl reicht.
Sessions und Cookies? Wenn Cookies nicht akzeptiert werden ist wohl beides hinfällig.

Bei den IP Adressen und Cookies ist es sicher problematisch, aber das Sessions auch vom User akzeptiert werden müssen ist mir neu, ich denke die werden doch auf mein eigenen Server gespeichert?

Und wie es mit Header Daten kann man da nicht schauen von wo die Anfrage zumindest kommt, ob der User direkt von einer anderen Webseite kommt, oder von einer anderen Seite der eigenen Website, ich weiß nicht genau ob das bei Spambots auch etwa nützt aber manchen anderen Sicherheitslücken in PHP kann das manchmal hilfreich sein zu schauen ob z.b. Ein abgeschicktes Formular nun von auswärts kommt wo irgendein Hacker es nachgebaut hat und versucht mit eigenem Code eine Attacke, aber ich glaube bei Spambots ist das wohl eine andere Geschicht, ich kenne mich damit einfach zu wenig aus.

 

[Grille]

also Dein Text-Captcha gefällt mir ganz gut ...

Aber wenn ich dich richtig verstehe sollte meine Seite recht sicher sein, wenn ich ein billigen schon vorgefertigten Captcha nehme (wie der von bbphp) und diesen zum beispiel die "Frage" ausgeben lasse: "3+4+5" ... Antwort ist dann 14 ...

Einem Bot der diesen Captcha gut auslesen kann, müste man dann doch erstmal noch das Rechnen beibringen ... und solage diese Nutzungsart nicht so weit verbreitet ist, ist meine Seite vor Angriffen relativ sicher ... oder?

 

[son gohan]

also Dein Text-Captcha gefällt mir ganz gut ...

Aber wenn ich dich richtig verstehe sollte meine Seite recht sicher sein, wenn ich ein billigen schon vorgefertigten Captcha nehme (wie der von bbphp) und diesen zum beispiel die "Frage" ausgeben lasse: "3+4+5" ... Antwort ist dann 14 ...

Einem Bot der diesen Captcha gut auslesen kann, müste man dann doch erstmal noch das Rechnen beibringen ... und solage diese Nutzungsart nicht so weit verbreitet ist, ist meine Seite vor Angriffen relativ sicher ... oder?

Ja ich denke so ist das schon gemeint.

 

[Dr Dau]

Hallo!

.....aber das Sessions auch vom User akzeptiert werden müssen ist mir neu.....

Wenn die Session nicht per URL übergeben wird, bekommt der User ein Session-Cockie.
Wenn Die Session also nicht per URL übergeben wird und der User Cockies nicht akzeptiert, dann verfällt sie.
Beispiel Login: der User logt sich ein, die Session wird nicht per URL übergeben und der User akzeptiert keine Cockies.
Wenn er nun auf einen Link klickt (z.b. um sein Profil aufrufen zu können), ist er gleich wieder ausgelogt weil die Session nicht übermittelt wurde.

.....wenn ich ein billigen schon vorgefertigten Captcha nehme (wie der von bbphp).....

Vorgefertigte Captchas sind immer schlecht, egal ob nun "billg" oder aufwendig.
Bei den vorgefertigten Captchas bekommt man den Quellcode und kann so dessen Funktionsweise nachvollziehen.
Dann noch ein Programm schreiben (sofern nicht eh schon vorhanden)..... und schon hat man seinen Spass.
Bei einer Eigenentwicklung kann man lediglich erraten/erahnen wie sie funktioniert und muss erstmal ausprobieren sie zu knacken.

Mit einer IP Sperre sollte man vorsichtig sein.
Es kommt natürlich auch auf die Seite an, aber was ist z.b. mit Firmen, Schulen, Unis usw.?
Da kann es durchaus auch vorkommen dass gleich eine ganze "Horde" mit der gleichen IP auf die Seite zugreifen.

Thema Audio-Captchas: irgendwo hatte ich mal so eine Seite gesehen gehabt.
Dort wurden aber keine "Romane" abgespielt, sondern die Buchstaben/Zahlen wurden einzeln abgespielt.
Deutlich zu hören war dass die Buchstaben/Zahlen von verschiedenen Leuten gesprochen wurden.
Man braucht also nur A bis Z und 0 bis 9 aufnehmen, dürfte schnell erledigt sein.
Evtl. nimmt man auch noch Sonderzeichen/Umlaute auf.
Den Rest erledigt dann das System.

Gruss Dr Dau