TchiboMann
Erfahrenes Mitglied
Naja felix, ich gehe immer vom ungünstigsten Fall aus, nicht von sagen wir mal "Spezialfällen" wie deine Modifikation von deinem phpBB. Da ist natürlich klar, dass es sich nicht lohnt, da einen Bot extra auf deine Seite anzupassen. Ich red da eher von Massenware, die weitestgehend unmodifiziert eingesetzt wird, beispielsweise das allerseits bekannte PHP-Kit.
Mal ein fiktives Beispiel:
- Ich programmier ein CMS, das ich auch anderen (frei oder kostenpflichtig) zur Verfügung stell
- Das CMS soll auch Gast-Beiträge zulassen
- Das CMS kommt sehr gut an, wird tausendfach genutzt
- Textcaptcha mit vorgefertigten Fragen als Schutz, weise drauf hin, dass UNBEDIGT individuelle Fragen eingetragen werden müssen, und zwar besser mehr als 100
- von 1000 Siteadmins richten sich nur 250 daran
- einer Person gefällt das CMS überhaupt nicht, ist sauer weil das CMS ein wenig verbuggt ist, oder zu kompliziert ist. Er will sich rächen. Oder er ist einer dieser Leute, die gern andere ärgern und kennt sich recht gut mit PHP, Delphi oder C++ aus, davon gibts sicher auch hunderte...
- er checkt das CMSystem ab, stellt fest, dass die Formulare einem Muster folgen (was sie für gewöhnlich machen)
- er checkt, wie er die Sicherheitsfrage am besten herausfiltern kann
- hat erfolgreich einen Script entwickelt, der in der Tat jedwede Frage rausfiltern kann
- er setzt die Entwicklung fort, bastelt sich einen Bot
- er schickt den Bot auf Suche nach seiten, die das CMS nutzen, fragt die Seite mehrmals hintereinander ab, checkt die Seite auf Formulare ab, checkt, ob sie seinem Suchmuster entsprechen und filtert die frage aus dem Quelltext heraus, speichert sie und die Seitenadresse ab, tut aber sonst noch nichs.
- der programmierer des bots checkt regelmäßig den adminbereich seines bots, in dem die fragen feinsäuberlichst grafisch aufgelistet werden, inkl. einem Antwort-Formularfeld.
- er braucht nur die tabtaste drücken, um ins nächste antwortformular zu kommen. Da die Fragen meist vollkommen simpel sind und per zahl beantwortet werden, kann er sicherlich in 5 minuten 150 Fragen abarbeiten. Auch wenns stupide ist, er will unbedingt andre ärgern. Er hat halt Ehrgeiz (was er zugegebenermaßen vollkommen ineffektiv nutzt
).
- in wenigen Tagen hat er 10000 Fragen gesammelt (was sowieso unwahrscheinlich ist, denn ich glaub eher weniger, dass man in der tat so viele fragen zusammenbekommt, die 99% aller inetuser beantworten können), programmiert eventuell noch eine "intelligente Vergleichsroutine", die nach bestimmten Wörtern in der Frage sucht (z.B. "Wieviele", "Beine", "Hund") und bildet daraus ein Ergebnis. um so nicht erst den eigenen Fragenkatalog durchgehen zu müssen. dann schickt er den bot auf jagd...
...und zack, darf man sich erstmal ein paar Tage ärgern. Es mag ein kurzweiliges Vergnügen sein, klar, aber auch das kann einen schon abnerven
Zugegeben, es mag für einen wie wir es sind vollkommen bekloppt vorkommen, dass da ein Kellerkind sitzt und stupide Fragen beantwortet, diese abspeichert und ein Programm erstellt, dass das Inet nach Formularen und einem bestimmten CMS absucht, um dessen Siteadmin zu ärgern. AAAABER: Wer hat denn bitteschön die Bild-Captchaknacker entwickelt? Ein Kellerkind
Ich habs mir jedenfalls angewöhnt eine Sache von möglichst allen Seiten zu betrachten, und den für mich ungünstigsten Fall herauszufinden. Und der ist bei Text-Captchas nunmal der, dass sich die "Sicherheitsfunktion" auf Text basiert. Und die Tatsache, dass es Programmierern in monatelanger (supider und sinnfreier) arbeit gelungen ist, Bild-Captchas zu "scannen", liegt für mich jedenfalls sehr nahe, dasses da draussen Freaks gibt, die auch Text-Captchas knacken wollen, auf jede Art und Weise und wahrscheinlich auch ohne Mühen zu scheuen.
Ich sach dabei nich, dass Text-Captchas keinen Sinn machen, oder überflüssig geschweige denn "leicht" zu knacken sind, aber auch hier ists nur ne Frage der Zeit, bis auch diese umgangen werden können...
Aber heisst auch nich, dass ich von deinem Text-Captcha nichs halte, aber mach den bitte auch PHP4-Tauglich maybe lern ich ja auch was von, und ich lern gern dazu
Aber btw... Es muss doch eigentlich eine Möglichkeit geben, alle Gast-Eingaben zu checken, ohne auf Captchas etc zurückgreifen zu müssen... Hmmm... Mh...
Da kommt mir grad was, wie wärs wenn man das mit Flash macht? Da arbeiteste ja mit Layern, Actionscript - da kannste doch teilweise Text verdecken, verunstalten ohne die Lesbarkeit einzuschränken, andre hintergründe, andre schriftarten usw... DAS müsste doch dann vollkommen unmöglich sein das zu umgehen, oder irr ich mich?
Mal ein fiktives Beispiel:
- Ich programmier ein CMS, das ich auch anderen (frei oder kostenpflichtig) zur Verfügung stell
- Das CMS soll auch Gast-Beiträge zulassen
- Das CMS kommt sehr gut an, wird tausendfach genutzt
- Textcaptcha mit vorgefertigten Fragen als Schutz, weise drauf hin, dass UNBEDIGT individuelle Fragen eingetragen werden müssen, und zwar besser mehr als 100
- von 1000 Siteadmins richten sich nur 250 daran
- einer Person gefällt das CMS überhaupt nicht, ist sauer weil das CMS ein wenig verbuggt ist, oder zu kompliziert ist. Er will sich rächen. Oder er ist einer dieser Leute, die gern andere ärgern und kennt sich recht gut mit PHP, Delphi oder C++ aus, davon gibts sicher auch hunderte...
- er checkt das CMSystem ab, stellt fest, dass die Formulare einem Muster folgen (was sie für gewöhnlich machen)
- er checkt, wie er die Sicherheitsfrage am besten herausfiltern kann
- hat erfolgreich einen Script entwickelt, der in der Tat jedwede Frage rausfiltern kann
- er setzt die Entwicklung fort, bastelt sich einen Bot
- er schickt den Bot auf Suche nach seiten, die das CMS nutzen, fragt die Seite mehrmals hintereinander ab, checkt die Seite auf Formulare ab, checkt, ob sie seinem Suchmuster entsprechen und filtert die frage aus dem Quelltext heraus, speichert sie und die Seitenadresse ab, tut aber sonst noch nichs.
- der programmierer des bots checkt regelmäßig den adminbereich seines bots, in dem die fragen feinsäuberlichst grafisch aufgelistet werden, inkl. einem Antwort-Formularfeld.
- er braucht nur die tabtaste drücken, um ins nächste antwortformular zu kommen. Da die Fragen meist vollkommen simpel sind und per zahl beantwortet werden, kann er sicherlich in 5 minuten 150 Fragen abarbeiten. Auch wenns stupide ist, er will unbedingt andre ärgern. Er hat halt Ehrgeiz (was er zugegebenermaßen vollkommen ineffektiv nutzt
).- in wenigen Tagen hat er 10000 Fragen gesammelt (was sowieso unwahrscheinlich ist, denn ich glaub eher weniger, dass man in der tat so viele fragen zusammenbekommt, die 99% aller inetuser beantworten können), programmiert eventuell noch eine "intelligente Vergleichsroutine", die nach bestimmten Wörtern in der Frage sucht (z.B. "Wieviele", "Beine", "Hund") und bildet daraus ein Ergebnis. um so nicht erst den eigenen Fragenkatalog durchgehen zu müssen. dann schickt er den bot auf jagd...
...und zack, darf man sich erstmal ein paar Tage ärgern. Es mag ein kurzweiliges Vergnügen sein, klar, aber auch das kann einen schon abnerven
Zugegeben, es mag für einen wie wir es sind vollkommen bekloppt vorkommen, dass da ein Kellerkind sitzt und stupide Fragen beantwortet, diese abspeichert und ein Programm erstellt, dass das Inet nach Formularen und einem bestimmten CMS absucht, um dessen Siteadmin zu ärgern. AAAABER: Wer hat denn bitteschön die Bild-Captchaknacker entwickelt? Ein Kellerkind
Ich habs mir jedenfalls angewöhnt eine Sache von möglichst allen Seiten zu betrachten, und den für mich ungünstigsten Fall herauszufinden. Und der ist bei Text-Captchas nunmal der, dass sich die "Sicherheitsfunktion" auf Text basiert. Und die Tatsache, dass es Programmierern in monatelanger (supider und sinnfreier) arbeit gelungen ist, Bild-Captchas zu "scannen", liegt für mich jedenfalls sehr nahe, dasses da draussen Freaks gibt, die auch Text-Captchas knacken wollen, auf jede Art und Weise und wahrscheinlich auch ohne Mühen zu scheuen.
Ich sach dabei nich, dass Text-Captchas keinen Sinn machen, oder überflüssig geschweige denn "leicht" zu knacken sind, aber auch hier ists nur ne Frage der Zeit, bis auch diese umgangen werden können...
Aber heisst auch nich, dass ich von deinem Text-Captcha nichs halte, aber mach den bitte auch PHP4-Tauglich
maybe lern ich ja auch was von, und ich lern gern dazu Aber btw... Es muss doch eigentlich eine Möglichkeit geben, alle Gast-Eingaben zu checken, ohne auf Captchas etc zurückgreifen zu müssen... Hmmm... Mh...
Da kommt mir grad was, wie wärs wenn man das mit Flash macht? Da arbeiteste ja mit Layern, Actionscript - da kannste doch teilweise Text verdecken, verunstalten ohne die Lesbarkeit einzuschränken, andre hintergründe, andre schriftarten usw... DAS müsste doch dann vollkommen unmöglich sein das zu umgehen, oder irr ich mich?
Denn, ich muss sagen, sicher ist mir die Barrierefreiheit nicht egal, gewiss nicht, bin ja kein 
