doch noch ein Schlupfloch für Spam Bots trotz Captcha? - php.de

X

Forumsgast

Dabei seit: 16.03.2009

Beiträge: 109
#1

doch noch ein Schlupfloch für Spam Bots trotz Captcha?

23.05.2009, 22:01

Hallo,

ich hoffe mal dass dies jetzt auch ins Fortgeschrittenen Forum reinpasst.
Und zwar habe ich folgendes Problem:

Ich auf meiner Seite mehrere Kontaktformulare, diese waren bis heute nicht geschütz, und seit ein paar Tagen haben sich demzufolge die Spammails erhöht.
Daher habe ich mir heute mal CAPTCHA angesehen und das ganze auch für meine Formulare übernommen.
Es funktioniert auch sehr gut, nur kam dann kurz nach dem Upload der neuen Formulare, vielleicht so 5 - 10 Minuten trotzdem noch eine Spammail an. Gesendet über eines der Formulare.

Nun ist meine Frage, ob vielleicht doch was unsicher ist, oder ob vielleicht mein Mailserver eine so "hohe" Verzögerung hat, dass diese Mail noch vom ungeschützten Formular stammt?

Ich verwende 5Zeichen in Großbuchstaben, mit Zahlen, und setzte die Zeichenkette in ne Session beim Erstellen um sie dann mit der Eingabe zu vergleichen.
Stichworte: -
Forumsgast

Dabei seit: 18.06.2008

Beiträge: 10040
#2

23.05.2009, 22:17

Das kommt jetzt ganz drauf an. Ich würd erst mal abwarten, Mails können durch aus verzögert ankommen.

Aber es kann auch daran liegen dass du das Captcha falsch implementiert hast oder dass die Bots das Captcha auslesen können. Warte aber doch erst mal ab ob du die nächsten Stunden/Tage noch Emails bekommst.
Kommentar
Forumsgast

Dabei seit: 03.09.2004

Beiträge: 11787
#3

23.05.2009, 22:19

Es gibt Bots die auch viele gängige Captchas knacken, andere Möglichkeit Captchas zu knacken: sie Leuten auf anderen Seiten (Porno, Warez und co) zeigen ihnen erzählen das müssten sie ausfüllen um ihren Kram zu bekommen und in wirklichkeit blenden sie dann deinen captcha ein, die eingabe wird gespeichert an den Bot weitergegeben und der benutzt das captcha dann um zu spammen.
Kommentar
Forumsgast

Dabei seit: 16.03.2009

Beiträge: 109
#4

23.05.2009, 22:36

Danke ersteinmal für die beiden Antworten. Dann werde ich erstmal abwarten was die nächsten Stunden und Tage bringen.

@robo47: Das hört sich jetzt aber nicht gut an, was du sagst, und ich dachte CAPTCHA sind doch eine recht gut Schutzmöglichkeit? Wie kann man denn sowas verhindern, dass das eigene Captcha uf anderen Seiten angezeigt und missbraucht wird?

Wie könnte man das CAPTCHA denn falsch implementiert haben? Zum Captcha selbst, die Buchstaben und Zahlen sind auch im Winkelbereich von 330 - 030 verdreht, 3 unterschiedliche Schriftarten. Das ist doch schonmal ziemlich sicher? Oder...
Kommentar
Forumsgast

Dabei seit: 18.06.2008

Beiträge: 10040
#5

23.05.2009, 22:41

Ja mag sein dass dein Captchabild sicher ist. Wenn du aber zum Beispiel den Code als hidden Field im Formular mitsendest dann kann es der Bot genauso auslesen Da ich dein Formular nicht kenne kann ich auch nichts dazu sagen, das waren alles nur Vermutungen.

Viel machen kannst du nicht gegen diese Bots, vielleicht noch versuchen den Referrer zu checken auch wenn das nicht viel mehr Sicherheit bietet!
Kommentar
Forumsgast

Dabei seit: 03.09.2004

Beiträge: 11787
#6

23.05.2009, 22:43

Zitat von SimStar001 Beitrag anzeigen

@robo47: Das hört sich jetzt aber nicht gut an, was du sagst, und ich dachte CAPTCHA sind doch eine recht gut Schutzmöglichkeit? Wie kann man denn sowas verhindern, dass das eigene Captcha uf anderen Seiten angezeigt und missbraucht wird?

garnicht

Wie könnte man das CAPTCHA denn falsch implementiert haben? Zum Captcha selbst, die Buchstaben und Zahlen sind auch im Winkelbereich von 330 - 030 verdreht, 3 unterschiedliche Schriftarten. Das ist doch schonmal ziemlich sicher? Oder...

indem aus irgendwelchen Variablen sich wie bildname, parameter, hiddenfields den wert bekommen kann ?
Kommentar
Forumsgast

Dabei seit: 16.03.2009

Beiträge: 109
#7

23.05.2009, 22:45

hier mal der link zum Formular : Kontaktformular

Also das Formular sieht vom Aufbau her so aus:

PHP-Code:

<form style="margin-left:30px;" name="MailBug" action="captcha/mailinfo.php" method="post"> <table border="0" style="color:white"> <tr> <td width="120px" style="font-size:13pt">Vorname: * </td> <td ><input type="text" size="20" name="Name" > </td> </tr> <tr> <td width="120px" style="font-size:13pt">Nachname: *</td> <td ><input type="text" size="20" name="Nachname" > </td> </tr> <tr> <td width="120px" style="font-size:13pt">eMail: *</td> <td ><input type="text" size="53" name="eMail" > </td> </tr> <tr> <td valign="top" width="100px" style="font-size:13pt"> Geben Sie hier Ihre Frage ein: *</td> <td > <textarea name="Anfrage" cols="40" rows="5"> </textarea> </td> </tr> <tr> <td width="120px" style="font-size:13pt">Bitte gib die 5 Zeichen aus dem Bild ein: *</td> <td valign="top" style="margin-left:-3px" > <table><tr> <td valign="top" ><input type="text" name="sicherheitscode" size="5"> </td> <td><img src="captcha/captcha.php" /></td> <td valign="top"> <a href="javascript:location.reload()" style="color:#0066FF">neues Bild laden</a> </td> </tr> </table> </td> </tr> <tr> <td width="120px" style="font-size:13pt"> </td> <td > <input type="reset" value="Löschen"> <input type="submit" value="Senden"> </td> </tr> </table> </form>

PS: das Captcha Bild wird nirgends gespeichert und direkt nach Erzeugen gelöscht und vorher per Header ans Formular übertragen. Die Zeichenkette wird per Session gespeichert.
Kommentar
Forumsgast

Dabei seit: 03.09.2004

Beiträge: 11787
#8

23.05.2009, 22:56

Naja, die captchas sind im vergleich zu dem was es sonst so gibt ... recht einfach, kein rauschen, keine linien oder sonstigen geometrischen formen, immer gleiche schrift wie es scheint, keine schwierige schrift ... und selbst wenn man das alles macht, die OCR-Software von halbewegs guten Bots kann sowas erkennen wenn man sie darauf trainiert, weil genau das ist ja was die Bots im hintergrund haben, irgendeine Art von OCR-Software der das Bild übergeben wird und ausgewertet wird und Schrifterkennung ist ja schon recht weit fortgeschritten.
Kommentar
Forumsgast

Dabei seit: 18.06.2008

Beiträge: 10040
#9

23.05.2009, 22:58

Das Captcha scheint insoweit sicher zu sein. Allerdings ist das Bild selber recht leicht zu erkennen, könnte mir vorstellen das geeignete OCR Programme damit kaum Schwierigkeiten haben dürften.
Kommentar
Forumsgast

Dabei seit: 16.03.2009

Beiträge: 109
#10

23.05.2009, 23:02
Zuletzt geändert von SimStar001; 23.05.2009, 23:42.

Alles Klar, dann werde ich das bild noch etwas veränder, Linien durchzeichnen und noch andere Schriftarten verwenden.
Danke ersteinmal soweit!

So ich habe das Bild noch etwas verändert mit Bögen und Linien... ist jetzt schon schwerer zu erkennen!
Kommentar
Forumsgast

Dabei seit: 27.10.2007

Beiträge: 1707
#11

24.05.2009, 01:03

Ich habe mir das mal angeguckt und ich muss sagen ich habe Schwierigkeiten es zu entziffern.
Kommentar
Forumsgast

Dabei seit: 05.01.2009

Beiträge: 788
#12

24.05.2009, 09:50

Also ich halte nix von Captcha die man nicht lesen kann. Die sind keines wegs sicherer und eigentlich völlig sinlos.

Besser ist es wenn du logische Aufgaben stellt ein Bot ist nicht in der Lage diese Aufgaben zu lösen.

Du kannst dabei mit Bilder sowie mit Text arbeiten. Die gut erkennbar sind.

Beispiel:

Du sieht ein Bild mit mehren obst früchten.
Die Frage stellung könnte lauten:
Schreibe den Name des grünen Obst rein
Antwort: apfel

Oder du kanst teile auf einen Bild markieren mit Punkt/rahmen unsw. die man dann nennen muß.

Oder zähle alle Bananen zusammen.

Ein Bot ist nicht in der Lage so einfache Aufgaben zu beantworten.Er kann zwar formen erkennen aber nicht im zusammenhang der frage stellung antworten.

Um so verstrickter sie Fragestellung ist um so unwarscheinlicher ist es das sie ein Bot beantworten kann.

Mach ein bild mit einen Rahmen das wie ein Haus auschaut.
Fragestellung dazu:

Zähle alle grünen birnen die sich im Haus befinden.

Mfg Splasch
Kommentar
Forumsgast

Dabei seit: 05.04.2009

Beiträge: 290
#13

24.05.2009, 10:48

Splash, das ist keine gute Idee.
Erstmal ist es sehr mühselig die danzen Fragen/Bilder manuell zu erstellen und dadurch bedingt ist der Fragenpool relativ klein. Der Bot muss also nur einmal angelernt werden und kann dann alle Aufgaben lösen, er muss die Bildinhalte also nichtmal "erkennen".
Kommentar
Forumsgast

Dabei seit: 05.01.2009

Beiträge: 788
#14

24.05.2009, 11:28

Zitat von yab Beitrag anzeigen

Splash, das ist keine gute Idee.
Erstmal ist es sehr mühselig die danzen Fragen/Bilder manuell zu erstellen und dadurch bedingt ist der Fragenpool relativ klein. Der Bot muss also nur einmal angelernt werden und kann dann alle Aufgaben lösen, er muss die Bildinhalte also nichtmal "erkennen".

Das hast du eben falsch verstanden das waren nur ein paar kurze Beispiele du kannst natürlich das selbe Bild mit einer anderen Frage auch verwenden. Die Antwort wird immer anderes sein.
Desweiteren muß man für das Prinzip keine Bilder verwenden es war ja nur ein kleines Beispiel.

Diese Art von prüfung funktioniert besser als nicht lesbare Captcha bilder und ist dazu noch User freundlicher.

Den Captcha die ein Mensch nur schwer oder garnicht entzieferen kann bring keinen was da hat oft der Bot eine höhere Treffer quote als der Mensch selber.

Mfg Splasch
Kommentar
Forumsgast

Dabei seit: 18.06.2008

Beiträge: 10040
#15

24.05.2009, 11:30

Die Frage ist ob der "Bot" es auf seine Webseite abgesehen hat oder ob es zufällige Bots sind. Wenn es jemand auf ihn abgesehen hat hast du sowieso kaum eine Chance. Da das aber eher unwahrscheinlich ist reicht ein einfaches Captcha das der Bot eben noch nicht kennt.

Meiner Meinung nach sollte ein Captcha verwendet werden das möglichst einfach für den Benutzer ist (zum Beispiel Obst auswählen) und trotzdem ausreichend Schutz vor Spam bietet. Der Vorteil an der eigenen Seite sehe ich darin dass man das Captcha erst einfach machen kann und sollte dann wieder Spam vorkommen das Captcha komplizierter stricken.
Kommentar

Vorherige 1 2 Weiter

Lädt...

X