safe_mode & captchas.net

jakkob · 19.11.2008, 13:51

Hello, obwohl eigentlich alles bestens beschrieben ist verzweifle ich schon einige Zeit daran auf meiner Seite die Captchas von captchas.net zu benutzen.

Es gibt bei besagten Captchas drei dateien, in zwei von diesen muss man laut Dokumentation im Falle aktiven safe_modes einen Pfad ändern. Und zwar diesen

$captchas = new CaptchasDotNet ('demo', 'secret',
'/tmp/captchasnet-random-strings','3600',
'abcdefghkmnopqrstuvwxyz','6',
'240','80');
in sowas
$captchas = new CaptchasDotNet ('demo', 'secret',
'/writable/path/captchasnet-random-strings');

Ich finde jetzt nicht raus, was denn der/ein "writable path" für mich ist. Alle drei captcha-Dateien liegen im selben Ordner. Der funzt alerdings nicht. Mein php.ini sagt, dass
open_basedir /var/www/vhosts/meine_domain/httpdocs:/tmp
ist. Das wäre doch eigtnlich der, der eh schon angegeben ist?!
Ich kriegs aber auch mit allen anderen Pfadvariationen nicht gebacken. Kann mir da Jemand evtl. helfen?

Manko10 · 19.11.2008, 13:58

Hallo,

das mag jetzt vielleicht kontraproduktiv klingen, aber lies dir doch erstmal diesen zweiteiligen Artikel durch, bevor du auf graphische Captchas setzt (die dazu auch noch von einer Seite kommen, die Captchas anbietet, auf die sich Bots auch bereits spezialisiert haben könnten): OpenWebBoard / Tutorials / HTML & CSS / Barrierefreie CAPTCHAs (1/2)

jakkob · 19.11.2008, 14:17

Schaut gut aus. Hat aber imho drei Haken:
1. Ist nur die erste Methode (Seite) nicht wirklich sicher, da allein schon gegen Bots die CSS lesen wirkungslos.
2. Ist die Implementierung aller Tipps auf Seite zwei doch eher ne abendfüllende Aufgabe (mindestens).
3. Ist es definitiv einfacher ein auf diese Tipps angepasstes Script Script zu schreiben als ein Script gegen ein gutes Captcha. Das kann dann halt Niemanden anders, deine Seite aber dafür perfekt nerven...

Ich hätte schon Lust das mal zu probieren (weil selber captcha-verschreiber-könig), aber für dieses Projekt brauche ich doch etwas, was sich schon bewährt hat...

Danke für den Tipp

Manko10 · 19.11.2008, 14:28

1. Kaum (oder vielleicht sogar kein) Bot liest CSS. Das wäre viel zu aufwendig und ebenso sinnlos.
2. Das mag sein, aber gute Captchas zu programmieren ist mindestens ebenso aufwendig.
3. das glaube ich nicht. Du musst nämlich zwischen zwei Arten von Spamschutz unterscheiden. Einmal die Abwehr von Spam (Captcha) und einmal die Filterung von Spam. Letzteres ist sehr effektiv. Man setzt den Bots nichts direkt entgegen, analysiert aber den Beitrag und sortiert ihn eventuell aus. Du kannst dir ja mal den Spamzähler auf der linken Seite ansehen. Die Methode ist ziemlich effektiv (und ich habe sogar nur die Hälfte der Tipps implementiert). Einen guten Spamfilter zu schreiben, ist langwierig, aber die User werden es dir danken. Und bedenke: E-Mail-Filter funktionieren genauso und sind sehr effizient. Wenn du keine Lust hast, die Spams selbst zu filtern, kannst du auch mal nach offenen Spamfiltern suchen. An diese kannst du den geschriebenen Beitrag dann senden. Alternativ kannst du auch einen auf dem Server installierten Filter nutzen. Du wirst deinen Usern auf jeden Fall einen großen Dienst leisten.

jakkob · 19.11.2008, 15:15

Also ich bind er Sache jetzt zumindest soweit auf die Pelle gerückt, dass ich bei meinem free-Websapce das ganze am laufen habe. Und zwar musste/konnte ich dort (safe-mofer=off) als Verzeichnis den Eintrag users_tmp_dir aus der php.ini nehmen. Bei meinem kpostenpflichtigen Webspace, auf der das ganze laufen soll, hat dieser Eintrag leider aber "no value". kann mir Jemand vielleicht sagen, welcher Ordner angegeben werden muss, wenn ich den Link zu der entspr. php.ini poste ?
phpinfo()

wäre super....!
jakob

nikosch · 19.11.2008, 15:30

Lt deiner phpinfo ist safe mode aktiv. Also:

Zitat:

If your webserver starts PHP-scripts in the safe mode, you will not be able to leave the default path to the random string repository unchanged. Instead use a name in a directory, which the owner of the PHP-script owns:

jakkob · 19.11.2008, 15:43

@nikosch
ja...ich weiss. Habe diese Doku auch gründlich gelesen. Ich meinte ja auch am Anfang schon, dass eig. alles super erklärt ist...Aber ich checke halt die ganzen Berrechtigungen trotzdem nicht. Wem gehört denn mein php-Skript. Und welche Ordner gehören dem Fremden Kerl noch?

Ich habe einfach schon alle möglichen Ordner eingetragen -->erfolglos...

Auf bplaced.net war der safe_mode=off, trotzdem musste ich den Ordner ändern...Aber da gab es halt users_tmp_dir. Und mit dem Verzeichnis gings. Nur welches soll ich benutzen, wo users_tmp_dir 'no value' ist?

Manko10 · 19.11.2008, 15:45

Schau mal, unter welchem Benutzernamen PHP läuft oder lass PHP den Ordner selbst erstellen. Andere Möglichkeit: Rechte auf 755 oder 777 setzen (ist aber letzte Möglichkeit, vorher sollte alles andere versucht werden).

nikosch · 19.11.2008, 15:52

Zitat:

oder lass PHP den Ordner selbst erstellen

Das wird nicht funktionieren:

Zitat:

Note: When safe mode is enabled, PHP checks whether the directory in which you are about to operate has the same UID (owner) as the script that is being executed.

Manko10 · 19.11.2008, 15:58

Jop, aber ich würde vorschlagen, mal in ein Verzeichnis zu schauen, das von PHP benutzt wird, wie z.B. das Session-Verzeichnis. Dort kann man den User sicherlich herausfinden.

Beitrag editiert:
[…] Oft heißt der User www-data oder ähnlich.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

19.11.2008, 13:51
jakkob Neuer Benutzer Registriert seit: 26.10.2008 Beiträge: 12	safe_mode & captchas.net Hello, obwohl eigentlich alles bestens beschrieben ist verzweifle ich schon einige Zeit daran auf meiner Seite die Captchas von captchas.net zu benutzen. Es gibt bei besagten Captchas drei dateien, in zwei von diesen muss man laut Dokumentation im Falle aktiven safe_modes einen Pfad ändern. Und zwar diesen $captchas = new CaptchasDotNet ('demo', 'secret', '/tmp/captchasnet-random-strings','3600', 'abcdefghkmnopqrstuvwxyz','6', '240','80'); in sowas $captchas = new CaptchasDotNet ('demo', 'secret', '/writable/path/captchasnet-random-strings'); Ich finde jetzt nicht raus, was denn der/ein "writable path" für mich ist. Alle drei captcha-Dateien liegen im selben Ordner. Der funzt alerdings nicht. Mein php.ini sagt, dass open_basedir /var/www/vhosts/meine_domain/httpdocs:/tmp ist. Das wäre doch eigtnlich der, der eh schon angegeben ist?! Ich kriegs aber auch mit allen anderen Pfadvariationen nicht gebacken. Kann mir da Jemand evtl. helfen?


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

19.11.2008, 13:58
Manko10 Supermoderator HD Registriert seit: 16.03.2008 Beiträge: 8.709 PHP-Kenntnisse: Fortgeschritten	Hallo, das mag jetzt vielleicht kontraproduktiv klingen, aber lies dir doch erstmal diesen zweiteiligen Artikel durch, bevor du auf graphische Captchas setzt (die dazu auch noch von einer Seite kommen, die Captchas anbietet, auf die sich Bots auch bereits spezialisiert haben könnten): OpenWebBoard / Tutorials / HTML & CSS / Barrierefreie CAPTCHAs (1/2) __________________ Refining Linux Advent Calendar series “24 Outstanding ZSH Gems”

19.11.2008, 14:17
jakkob Neuer Benutzer Registriert seit: 26.10.2008 Beiträge: 12	Schaut gut aus. Hat aber imho drei Haken: 1. Ist nur die erste Methode (Seite) nicht wirklich sicher, da allein schon gegen Bots die CSS lesen wirkungslos. 2. Ist die Implementierung aller Tipps auf Seite zwei doch eher ne abendfüllende Aufgabe (mindestens). 3. Ist es definitiv einfacher ein auf diese Tipps angepasstes Script Script zu schreiben als ein Script gegen ein gutes Captcha. Das kann dann halt Niemanden anders, deine Seite aber dafür perfekt nerven... Ich hätte schon Lust das mal zu probieren (weil selber captcha-verschreiber-könig), aber für dieses Projekt brauche ich doch etwas, was sich schon bewährt hat... Danke für den Tipp

19.11.2008, 14:28
Manko10 Supermoderator HD Registriert seit: 16.03.2008 Beiträge: 8.709 PHP-Kenntnisse: Fortgeschritten	1. Kaum (oder vielleicht sogar kein) Bot liest CSS. Das wäre viel zu aufwendig und ebenso sinnlos. 2. Das mag sein, aber gute Captchas zu programmieren ist mindestens ebenso aufwendig. 3. das glaube ich nicht. Du musst nämlich zwischen zwei Arten von Spamschutz unterscheiden. Einmal die Abwehr von Spam (Captcha) und einmal die Filterung von Spam. Letzteres ist sehr effektiv. Man setzt den Bots nichts direkt entgegen, analysiert aber den Beitrag und sortiert ihn eventuell aus. Du kannst dir ja mal den Spamzähler auf der linken Seite ansehen. Die Methode ist ziemlich effektiv (und ich habe sogar nur die Hälfte der Tipps implementiert). Einen guten Spamfilter zu schreiben, ist langwierig, aber die User werden es dir danken. Und bedenke: E-Mail-Filter funktionieren genauso und sind sehr effizient. Wenn du keine Lust hast, die Spams selbst zu filtern, kannst du auch mal nach offenen Spamfiltern suchen. An diese kannst du den geschriebenen Beitrag dann senden. Alternativ kannst du auch einen auf dem Server installierten Filter nutzen. Du wirst deinen Usern auf jeden Fall einen großen Dienst leisten. __________________ Refining Linux Advent Calendar series “24 Outstanding ZSH Gems”

19.11.2008, 15:15
jakkob Neuer Benutzer Registriert seit: 26.10.2008 Beiträge: 12	Also ich bind er Sache jetzt zumindest soweit auf die Pelle gerückt, dass ich bei meinem free-Websapce das ganze am laufen habe. Und zwar musste/konnte ich dort (safe-mofer=off) als Verzeichnis den Eintrag users_tmp_dir aus der php.ini nehmen. Bei meinem kpostenpflichtigen Webspace, auf der das ganze laufen soll, hat dieser Eintrag leider aber "no value". kann mir Jemand vielleicht sagen, welcher Ordner angegeben werden muss, wenn ich den Link zu der entspr. php.ini poste ? phpinfo() wäre super....! jakob

19.11.2008, 15:43
jakkob Neuer Benutzer Registriert seit: 26.10.2008 Beiträge: 12	@nikosch ja...ich weiss. Habe diese Doku auch gründlich gelesen. Ich meinte ja auch am Anfang schon, dass eig. alles super erklärt ist...Aber ich checke halt die ganzen Berrechtigungen trotzdem nicht. Wem gehört denn mein php-Skript. Und welche Ordner gehören dem Fremden Kerl noch? Ich habe einfach schon alle möglichen Ordner eingetragen -->erfolglos... Auf bplaced.net war der safe_mode=off, trotzdem musste ich den Ordner ändern...Aber da gab es halt users_tmp_dir. Und mit dem Verzeichnis gings. Nur welches soll ich benutzen, wo users_tmp_dir 'no value' ist?

19.11.2008, 15:45
Manko10 Supermoderator HD Registriert seit: 16.03.2008 Beiträge: 8.709 PHP-Kenntnisse: Fortgeschritten	Schau mal, unter welchem Benutzernamen PHP läuft oder lass PHP den Ordner selbst erstellen. Andere Möglichkeit: Rechte auf 755 oder 777 setzen (ist aber letzte Möglichkeit, vorher sollte alles andere versucht werden). __________________ Refining Linux Advent Calendar series “24 Outstanding ZSH Gems”

19.11.2008, 15:58
Manko10 Supermoderator HD Registriert seit: 16.03.2008 Beiträge: 8.709 PHP-Kenntnisse: Fortgeschritten	Jop, aber ich würde vorschlagen, mal in ein Verzeichnis zu schauen, das von PHP benutzt wird, wie z.B. das Session-Verzeichnis. Dort kann man den User sicherlich herausfinden. Beitrag editiert: […] Oft heißt der User www-data oder ähnlich. __________________ Refining Linux Advent Calendar series “24 Outstanding ZSH Gems”