bestätigungsmail bestätigen

ruferp · 03.05.2006, 09:11

Hallo zusammen,
da das captcha bei unserem gästebuch nicht mehr sicher ist und wieder gespamt wird, wollen wir eine bestätigungsmail an den gast schicken, der den eintrag dann mittels zugeschicktem link bestätigen muss.
ich stelle mir vor, dass in der DB noch eine zusätzliche spalte (Bestätigt true or false) angefügt wird. macht der gast ein eintrag bekommt er eine mail mit link zum bestätigen.
nun meine frage: wie muss dieser link aussehen. er sollte sich ja ständig ändern, aber wie mach ich das?

mepeisen · 03.05.2006, 09:26

Ich würde dir eher empfehlen, ein neues Captcha einzubauen. Das ist das effektivste und beim Nutzen vorhandener Lösungen das einfachste.

M3g4Star · 03.05.2006, 09:33

wenn du's wirklich so machen willst dann schick doch 'n Teil einer MD5 Summe mit un dschrieb diese dann auc han die Stelle in deine DB ...

dann prüfst du diese summe die du mit'm LINK wieder gibst mit deiner DB :

www.example.com/link.html?hash=39fsdf23fs342fd

den musst dann mit deiner DB abgleichen und wenn du den String so wieder findest ersetzt du ihn mit True oder auch 1 und schon ist der Beitrag freigeschalten !!

Aber :

Zitat:

Ich würde dir eher empfehlen, ein neues Captcha einzubauen. Das ist das effektivste und beim Nutzen vorhandener Lösungen das einfachste.

ruferp · 03.05.2006, 09:56

danke erstmal für die hilfe und die tipps...
aber meint ihr captcha sind sicher? unseres wurde umgangen... und selbst wenn ich jetzt ein neues captcha erstelle, dann wird es in einem halben jahr wieder geknackt. bei einer seite ist das ja egal, aber das ganze ist für ein cms, welches 100te von Kunden haben. und alle halben jahren wieder spam löschen und update machen ist sehr mühsam und zeitaufwendig.
Das mit der Mail scheint mir da geeigneter auch wenns nicht "passend" für ein gästebuch ist. Oder wurde das mittels bestätigungslink schon bei jemandem umgangen?

mepeisen · 03.05.2006, 10:01

Eine Mail lässt sich sogar noch leichter umgehen als ein gutes Captcha. Wie du es auch drehst, es ist immer ein Wettrüsten. Wenn dein Captcha geknackt wurde ist es ein zu einfaches Captcha. Es gibt durchaus sehr gute Varianten, bei denen sich der Aufwand gar nicht lohnt, sie zu knacken.

03.05.2006, 10:12

Hola,

vielleicht hilft ja dieser Link weiter, um das eine oder andere Captcha besser einzuschätzen:

http://sam.zoy.org/pwntcha/

Bis däähnne.

M3g4Star · 03.05.2006, 10:13

Zitat:

Eine Mail lässt sich sogar noch leichter umgehen als ein gutes Captcha.

Kommt wie gesagt auf den "Aufwand" an den man mit dieser mail verbindet .. Aber ich glaub 'n variables teilstück der Prüfsumme des timestamps mit einer Variablen länge in die DB eingetragen und per Mail verschickt dürfte nicht "SO EINFACH" werden

Wenn ud dann dann fein absicherst .. denk ich nicht das man da dahinter kommen sollte ... ???!!!???

Aber da hast auch wieder recht .. 'n gutes Captcha zu knacken dürfte schwierig werden auch wenn, dank vieler Foren, nahezu jeder das Prinzip verstehen könnte ...

ruferp · 03.05.2006, 10:24

ok, ich mach zuerst mal die variante mit der mail. später dann noch mit captcha, dann kann ich den kunden auswählen lassen ob mail oder captcha.

@M3g4Star:
eine randomzahl erstellen, dann md5 verschlüsselt in db.
und nun soll ich nur ein teil des verschlüsselten codes an den kunden schicken? und wenn er bestätigt mit WHERE code LIKE ... updaten?

was meinst du mit variabler länge? md5 hat doch immer 32 zeichen!?

M3g4Star · 03.05.2006, 10:39

Zitat:

Zitat von ruferp

@M3g4Star:
eine randomzahl erstellen, dann md5 verschlüsselt in db.
und nun soll ich nur ein teil des verschlüsselten codes an den kunden schicken? und wenn er bestätigt mit WHERE code LIKE ... updaten?

was meinst du mit variabler länge? md5 hat doch immer 32 zeichen!?

Also ich würd den String nicht allzulang machen .. darum würd ich 'n variablen substr() nehmen .. (variable länge und variable position)
Und denn keine random zahl sondern den timestamp oder ne unique ID!!!

und dann nicht mit LIKE sondern mit = !!!!!!!!!

http://www.php-faq.de/q/q-sql-injection.html

Das solltest du bei updates auf jeden Fall beachten !!!

Zergling-new · 03.05.2006, 11:47

Fragt sich eher WIE dein Captcha geknackt wurde. Üblicherweise geht das nicht, wenn du ein halbwegs gutes verwendest.
Ich vermut fast eher, dass man es umgehen konnte.

Eine Bestätigungsmail funktioniert eigentlich so, dass du eine Prüfsumme eines variablen Strings erstellst, md5(time().'xyz'.$_POST['text']), diesen als Primärschlüssel oder Unique-Feld für den Eintrag speicherst und gleichzeitig auch per Mail versendest.

Wird das Skript mit der korrekten Prüfsumme aufgerufen, kannst du den Beitrag freischalten.
Aber Captcha UND Double-Opt-In halte ich für übertrieben.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

03.05.2006, 09:11
ruferp Erfahrener Benutzer Registriert seit: 06.04.2006 Beiträge: 128	bestätigungsmail bestätigen Hallo zusammen, da das captcha bei unserem gästebuch nicht mehr sicher ist und wieder gespamt wird, wollen wir eine bestätigungsmail an den gast schicken, der den eintrag dann mittels zugeschicktem link bestätigen muss. ich stelle mir vor, dass in der DB noch eine zusätzliche spalte (Bestätigt true or false) angefügt wird. macht der gast ein eintrag bekommt er eine mail mit link zum bestätigen. nun meine frage: wie muss dieser link aussehen. er sollte sich ja ständig ändern, aber wie mach ich das?


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

03.05.2006, 09:26
mepeisen Erfahrener Benutzer Registriert seit: 21.12.2004 Beiträge: 5.235 PHP-Kenntnisse: Fortgeschritten	Ich würde dir eher empfehlen, ein neues Captcha einzubauen. Das ist das effektivste und beim Nutzen vorhandener Lösungen das einfachste. __________________ www.php-maven.org PHP und Maven vereint: Build/Deploy/Produktion/Konfiguration, Projekt Management, CI, PHPUnit, zahlreiche Frameworks Twitter @ https://twitter.com/#!/mepeisen und Facebook @ http://t.co/DZnKSUih

03.05.2006, 09:56
ruferp Erfahrener Benutzer Registriert seit: 06.04.2006 Beiträge: 128	danke erstmal für die hilfe und die tipps... aber meint ihr captcha sind sicher? unseres wurde umgangen... und selbst wenn ich jetzt ein neues captcha erstelle, dann wird es in einem halben jahr wieder geknackt. bei einer seite ist das ja egal, aber das ganze ist für ein cms, welches 100te von Kunden haben. und alle halben jahren wieder spam löschen und update machen ist sehr mühsam und zeitaufwendig. Das mit der Mail scheint mir da geeigneter auch wenns nicht "passend" für ein gästebuch ist. Oder wurde das mittels bestätigungslink schon bei jemandem umgangen?

03.05.2006, 10:01
mepeisen Erfahrener Benutzer Registriert seit: 21.12.2004 Beiträge: 5.235 PHP-Kenntnisse: Fortgeschritten	Eine Mail lässt sich sogar noch leichter umgehen als ein gutes Captcha. Wie du es auch drehst, es ist immer ein Wettrüsten. Wenn dein Captcha geknackt wurde ist es ein zu einfaches Captcha. Es gibt durchaus sehr gute Varianten, bei denen sich der Aufwand gar nicht lohnt, sie zu knacken. __________________ www.php-maven.org PHP und Maven vereint: Build/Deploy/Produktion/Konfiguration, Projekt Management, CI, PHPUnit, zahlreiche Frameworks Twitter @ https://twitter.com/#!/mepeisen und Facebook @ http://t.co/DZnKSUih

03.05.2006, 10:12
Gast Beiträge: n/a	Hola, vielleicht hilft ja dieser Link weiter, um das eine oder andere Captcha besser einzuschätzen: http://sam.zoy.org/pwntcha/ Bis däähnne.

03.05.2006, 10:24
ruferp Erfahrener Benutzer Registriert seit: 06.04.2006 Beiträge: 128	ok, ich mach zuerst mal die variante mit der mail. später dann noch mit captcha, dann kann ich den kunden auswählen lassen ob mail oder captcha. @M3g4Star: eine randomzahl erstellen, dann md5 verschlüsselt in db. und nun soll ich nur ein teil des verschlüsselten codes an den kunden schicken? und wenn er bestätigt mit WHERE code LIKE ... updaten? was meinst du mit variabler länge? md5 hat doch immer 32 zeichen!?

03.05.2006, 11:47
Zergling-new Erfahrener Benutzer Registriert seit: 21.05.2008 Beiträge: 9.937	Fragt sich eher WIE dein Captcha geknackt wurde. Üblicherweise geht das nicht, wenn du ein halbwegs gutes verwendest. Ich vermut fast eher, dass man es umgehen konnte. Eine Bestätigungsmail funktioniert eigentlich so, dass du eine Prüfsumme eines variablen Strings erstellst, md5(time().'xyz'.$_POST['text']), diesen als Primärschlüssel oder Unique-Feld für den Eintrag speicherst und gleichzeitig auch per Mail versendest. Wird das Skript mit der korrekten Prüfsumme aufgerufen, kannst du den Beitrag freischalten. Aber Captcha UND Double-Opt-In halte ich für übertrieben.