Ankündigung

Einklappen
Keine Ankündigung bisher.

Captcha selbst programmieren

Einklappen

Neue Werbung 2019

Einklappen
X
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • #46
    @Naubel
    Stand Deine Emailadresse schon mal auf Spamlisten? Anscheinend nicht, sonst würdest Du nicht solche Sprüche klopfen.

    Kommentar


    • #47
      Was haben Emailaddressen damit zu tun? Das heisst, du glaubst WIRKLICH dass man Spam zu 100% vermeiden kann? Oder packst du deine Emailaddresse auch noch vielleicht in ein Verzeichniss auf deinem Webserver und drueckst dir die Daumen?

      Kommentar


      • #48
        Zitat von Alexander11 Beitrag anzeigen
        Wie ist denn so die Vorgehensweise beim Knacken eines Captchas?
        Captchas kann man auf mehrere Arten "knacken".

        Die einfachste wäre eine OCR-Software nutzen. Deren Erkennungsraten sind heutzutage so hoch das man es aus jeden Fall probieren sollte.

        Etwas aufwändiger und exotischer wäre der Weg über ein neuronales Netzwerk aber mit höheren Erkennungsraten als der Mensch.

        Aber das braucht man heute alles nicht mehr zwingend. Heute lässt man das einfach andere User erledigen. Geh einfach mal auf einer der zahlreichen Webseiten auf denen man Serials oder Cracks runterladen kann. Irgenwo läuft Dir dann mal ein Captcha über den weg. Und der ist mit Sicherheit nicht von der illegalen Webseite sondern von irgendwo anders z.B. als iframe eingebunden. Die Wahrscheinlichkeit das eine Private Webseite so attakiert wird ist nur gegeben wenn sie was lohnenswertes bieten kann. Aber die anderen beiden OCR und neuronales Netz sind beides Sachen schon ordentlich zuverlässig funktionieren.

        Dagegen schützen kannst Du Dich nicht zuverlässig außer du lässt das blöde Captcha weg.

        Wichtig ist das Du so viele bekannte Schutzmechanismen wie möglich kombinierst und das am besten völlig unsichtbar für den Benutzer, ohne das deswegen vom Besucher extra interaktionen nötig wären. Wenn doch mal eine Interaktion nötig ist dann sollte diese zumindest so gut versteckt sein das der Besucher es nicht explizit mitbekommt.

        Nur mal ein Paar der Möglichkeiten:
        • Zufällige Feldnamen die sich bei jedem Request ändern.
        • Honeypods
        • Zeitvorgaben zum Ausfüllen eines Formulars
        • Contextbezogene Inhaltsanalyse der Formulardaten
        • Je nach Kontext kann auch JavaScript als voraussetzung angesehen werden (z.B. bei administrativen Webseiten) damit kann man es bots auch erschweren
        Ich hab jetzt sicher nicht alles genannt.

        Gruß, Ulf
        PHP-Manual ¡ mysql_* ist veraltet ¡ Debugging: Finde DEINE Fehler selbst ¡ Passwort-Hashing ¡ Prepared Statements

        Kommentar


        • #49
          Zitat von Ulfikado Beitrag anzeigen

          Nur mal ein Paar der Möglichkeiten:
          • Zufällige Feldnamen die sich bei jedem Request ändern.
          • Honeypods
          • Zeitvorgaben zum Ausfüllen eines Formulars
          • Contextbezogene Inhaltsanalyse der Formulardaten
          • Je nach Kontext kann auch JavaScript als voraussetzung angesehen werden (z.B. bei administrativen Webseiten) damit kann man es bots auch erschweren

          Ich hab jetzt sicher nicht alles genannt.

          Gruß, Ulf
          Danke

          Zeitangaben, sodass eine bestimmte Mindestzeit ablaufen muss, bis das Formular durchlaufen wird?

          Zitat von Ulfikado Beitrag anzeigen
          Dagegen schützen kannst Du Dich nicht zuverlässig außer du lässt das blöde Captcha weg.
          Versteh schon aber ich mache das unter anderem allerdings auchaus Übung. Just for Fun mit einem Hintergrund, der wenigstens etwas (wie viel kann ich nciht wirklcih beurteilen) hilfreich ist. Dass Captcha komplett nutzlos sind, würde ich nicht sagen. Zumindest werden schonmal die Leute abgewehrt, die Spaß am zerstören haben. Die restlichen Dinge kann man ja zusätzlich einbauen

          Kommentar


          • #50
            Zitat von Naubel Beitrag anzeigen
            (...) du glaubst WIRKLICH dass man Spam zu 100% vermeiden kann? (...)
            Natürlich nicht. Aber bei Captchas & Co. geht es m.E. nicht nur um Spamvermeidung, sondern auch darum den Missbrauch der eigenen Emailadresse zu vermeiden. Denn in der Regel nutzt man ja im Kontaktformular die reguläre Emailadresse, obwohl auch "info@seite.de" leicht auf dem Index landen kann.

            Kommentar


            • #51
              Zitat von Alexander11 Beitrag anzeigen
              (...) Versteh schon aber ich mache das unter anderem allerdings auchaus Übung. Just for Fun mit einem Hintergrund, der wenigstens etwas (wie viel kann ich nciht wirklcih beurteilen) hilfreich ist. (...)
              Wichtig bei Bildcaptchas ist m.E. dass man nicht immer die selben Bilder einsetzt. Und selbstsprechende Namen für die Bilder sind auch nicht optimal. Vielleicht sind Bots irgendwann mal in der Lage auch die Klickereignisse auszuwerten, fall sie es nicht ohnehin schon können, und dann wären selbstsprechende Namen und immer die selben Bilder m.E. kontraproduktiv. Aber dass Du üben möchtest ist ganz gut. Vielleicht hat ja einer der Profis hier mal eine Antwort auf Deine eigentliche Frage.

              Zitat von Alexander11 Beitrag anzeigen
              (...) Zumindest werden schonmal die Leute abgewehrt, die Spaß am zerstören haben. (...)
              Aber auch Menschen mit Handycap.

              Kommentar


              • #52
                Zitat von Alexander11 Beitrag anzeigen
                Dass Captcha komplett nutzlos sind, würde ich nicht sagen.
                Sie halten jedenfalls mehr Menschen ab als Bots.

                Es ist einfacher das menschliche Auge zu verwirren als ein Computerprogramm, sei dir dessen stets bewusst.
                Captchas wurden schon vor 10 Jahren zu über 90% von Computern geknackt. Gesichtserkennung gibt es mittlerweile sogar schon als Javascript-Script, was willst du da noch mit Captchas?.



                Kommentar


                • #53
                  Die Gesichtserkennung soll aber noch nicht so gut sein. Fingerabdrücke sind auch schon geknackt. Honigtöpfe müssen aber auch nicht zwangsläufig sicher(er) sein. Man kann nur versuchen den Bots immer einen Schritt voraus zu sein. Oder man verzichtet gänzlich auf Kontaktformulare. Zum Üben sollte man aber durchaus mal alles durchprobieren.

                  Kommentar


                  • #54
                    Zitat von Ulfikado Beitrag anzeigen
                    [*]Zeitvorgaben zum Ausfüllen eines Formulars
                    Was ist damit genau gemeint?

                    Kommentar


                    • #55
                      Mit "Zeitvorgabe" ist die bereits erwähnte Session gemeint. Beim Laden des Formulars wird zuerst ein verstecktes Feld mit der aktuellen Uhrzeit gefüllt. Beim Absenden des Formulars wird geprüft wieviel Zeit vom Laden bis zum Absenden vergangen ist. Bots brauchen weniger als 2 Sekunden. Das kann man ausnutzen und das Senden der Email verweigern wenn die Zeit nich den Vorgaben (z.B. 20 Sekunden mindestens) entspricht.

                      Kommentar


                      • #56
                        Ehm, nichts ist sicher. Da ist die Liste lang, und das sollte auch garnicht zur Debatte stehen.

                        Kommentar


                        • #57
                          Zitat von mumpel Beitrag anzeigen
                          Mit "Zeitvorgabe" ist die bereits erwähnte Session gemeint. Beim Laden des Formulars wird zuerst ein verstecktes Feld mit der aktuellen Uhrzeit gefüllt. Beim Absenden des Formulars wird geprüft wieviel Zeit vom Laden bis zum Absenden vergangen ist. Bots brauchen weniger als 2 Sekunden. Das kann man ausnutzen und das Senden der Email verweigern wenn die Zeit nich den Vorgaben (z.B. 20 Sekunden mindestens) entspricht.
                          Merci

                          Kommentar

                          Lädt...
                          X