_cyrix_

Hallo,

ich bin gerade am grübeln, was mit zur sichersten Variante gegen Bot's ist.

Gedanken gibt's viele.

--> Grafikcaptcha's
--> Rechencaptcha's
--> etc.,.

Allerdings, gibts auch alternativen ohne Captcha's wie zum Beipsiel, versteckte Inputfelder, weil ja ein Bot im Regelfall diese ausfüllt.

Vielleicht ne Kombination aus beiden zusammen ( Grafikcaptcha mit ner Rechenaufgabe ) und dazu ein verstecktes Feld.

--> Sperren von Ip - Adressen, finde ich eher weniger gut, weil es einfach zu wenig Feste Ip Adressen gibt und der normale User noch immer dynamisch erzeugte Adressen bekommt.


Was sind eurer Meinung nach, die besten Abwehrmethoden ? Ich weiss, dass es keinen 100% igen Schutz gibt, aber man kanns ja denen so schwer machen wie nur möglich.

Mfg

__________________
Learning by Doing --> Projekt eigenes BG <--
So lernt man am Besten alle Funktionen und kann sich dadurch viel aneignen --> Closed Beta Test <--

Mister Ad

Wolla

Bots arbeitet in der Regel mit zwei verschiedenen Ansätzen:

a) Ein Spider kommt auf deine Seite, liest das Formular aus und speichert es in eine Datenbank. Wenn eine erkleckliche Anzahl Formulare zusammengekommen sind, postet der Bot seinen Kram auf den Url, der im action = genannt ist

b) Ein Spider kommt auf deine Seite, liest dein Formular aus und postet dann seinen Kram sofort

Beide Verfahren unterscheiden sich von einem Menschen, der das Formular ausfüllt und abschickt. Legt man mal zugrunde, dass ein Mensch vielleicht 2 min benötigt, bis alles ausgefüllt ist, dann

erkennt man Bot Typ a) daran, dass er sehr viel langsamer postet als ein Mensch
erkennt man Bot Typ b) daran, dass er sehr viel schneller postet als ein Mensch

Wenn du also den Zeitstempel des Seitenaurfufs in deinem Formular versteckst und diesen mit der Post-Zeit vergleichst, dann kannst du abwägen, ob da Mensch oder Maschine am Werk war.

Wichtig ist, dass du bei erkanntem Bot keine Ätsch-Meldung ausgibst, sondern die normale Dankeseite.

Man sollte eh auch eine Opt-In-Mail senden und von den Anmeldern verlangen, dass sie einen Bestätigungslink klicken. Diese Mails können aber auch wieder von Bots bedient werden, also Vorsicht.

Captchas nerven deine Besucher nur, und sofern deine Seite wichtig genug ist werden die im Handumdrehen geknackt. Selbst die kryptischen Yahoo-Captchas sind schon umgangen worden.

__________________
Warum denkt mein Hund eigentlich immer dann, wenn es an der Tür klingelt, es sei für ihn?

_cyrix_

Darum ja ggf. auch die Alternative mit den verstecktem Input-Feld.

Die Idee mit den Zeitstempeln finde ich gut.

Das mit dem Opt-In hatte ich so gelöst, dass die User das Pw via E-Mail erhalten, wenn dann ein Login innerhalb von 1 Woche nicht erfolgt, wird der Acc automatisch wieder entfernt.

Danke Dir

__________________
Learning by Doing --> Projekt eigenes BG <--
So lernt man am Besten alle Funktionen und kann sich dadurch viel aneignen --> Closed Beta Test <--

Trainmaster

Neben dem Zeitstempel werfe ich noch den "Honeypot" in die Runde, einfach mal danach googlen.

_cyrix_

Danke.,. Ich hab dazu diesen Link dazu gefunden. Es hört sich definitiv gut an. Werde mich damit mal nen bisschen mehr auseinander setzen. Danke Schön.

__________________
Learning by Doing --> Projekt eigenes BG <--
So lernt man am Besten alle Funktionen und kann sich dadurch viel aneignen --> Closed Beta Test <--

fireweasel

Interessant, könnte man solche Bots nicht dadurch ausschließen, dass die URL im action-Attribut bei jedem Formularaufruf geändert wird?

Hier, aber auch beim Typ a könnte eine Zwangs-Vorschau-Runde helfen, d.h. beim ersten Abschicken eines Formulars wird nur eine Vorschau der gesendeten Daten angezeigt, die erst mit einem weiteren Klick auch angenommen wird. Nützliche Nebeneffekte: Menschliche Benutzer können nochmal Fehler korrigieren und so mancher (unüberlegt geschriebener) Post wird gar nicht erst abgeschickt.

Mit dieser Methode scheint die Forumssoftware hier vorzugehen. Ich sehe öfters mal die "Security-Token"-Meldung, wenn ich (vermutlich) zu lange gebraucht habe, um einen Text zu tippen. Das ärgert mich jedesmal, weil mein Text weg ist.

Genau: Niemals erkennen lassen, dass man was gemerkt hat. So verhindert man, dass die Gegenseite entsprechende Maßnahmen ergreift.

__________________
Wir schreiben schließlich Code und malen keine ASCII-Bilder.

nikosch

Legt man allerdings zugrunde, dass der Text nur kurz ist und andere Formdaten vom Browser (wieder/voraus)befüllt werden kann das natürlich auch genau zum Problem werden. Zumal Browser-Back, Submit dann noch kürzer dauert. Die wenigsten werden dann noch die Variante probieren, erstmal 2 Minuten zu warten..

__________________
--
One pixel is still too big. Please make it smaller. ASAP.

Initiative Mittelstand.
Die wichtigste Gestaltungsregel im Screendesign ist Pi mal Daumen des Arbeitgebers.
--

Wolla

Leg mich nicht fest auf die 2 min. Ein Mensch braucht jedenfalls deutlich mehr oder deutlich weniger Zeit als ein Script.

__________________
Warum denkt mein Hund eigentlich immer dann, wenn es an der Tür klingelt, es sei für ihn?

nikosch

Ich mein ja bloß. Es gibt auch Copy & Paste etc. Solche Sachen muss man immer mit bedenken.

__________________
--
One pixel is still too big. Please make it smaller. ASAP.

Initiative Mittelstand.
Die wichtigste Gestaltungsregel im Screendesign ist Pi mal Daumen des Arbeitgebers.
--

_cyrix_

Dass verstehe ich nicht so ganz. Er bezieht sich doch immer auf index.php?section=registrierung (beispiel)
Kannst du mir kurz erklären, wie du das meinst ?

Dass ist ne interessante Methode, diese sieht man häufig auf Banking Seiten vor der Überweisung, an sich nicht verkehrt.

Entweder vorher in eine Textdatei schreiben oder vor jedem abschicken "Strg+C" ausführen. Ich kenne das Problem nur zu gut.

Dass ist wohl wahr.

@nikosch und @ wolla.,. nich wegen so ner Kleinigkeit in die Haare bekommen.,.

Ich bin der Meinung, das ein Bot die Felder innerhalb von ein paar Sekunden ausfüllt, ein Mensch brauch auch mit C&P wenn er geübt ist und alles sofort Griffbereit hat min. eine halbe Minute.

Aber auf eine andere Sache, habt ihr noch nicht reagiert, was haltet ihr denn von versteckten Input - Feldern ?
Darauf, kann man doch gut dass HoneyPot - Prinzip anwenden, bzw. es so absenden lassen, als ob alles okay war, aber letztendlich passiert nix, es wird einfach nur ne Seite ausgegeben. Darauf hätte ich noch gern ne Antwort .,. ;)

__________________
Learning by Doing --> Projekt eigenes BG <--
So lernt man am Besten alle Funktionen und kann sich dadurch viel aneignen --> Closed Beta Test <--