Ankündigung

Einklappen
Keine Ankündigung bisher.

BOT-Schutz mit o. ohne CAPTCHA?

Einklappen

Neue Werbung 2019

Einklappen
X
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • BOT-Schutz mit o. ohne CAPTCHA?

    Hallöchen,

    i.d.R. ist es doch noch nach wie vor Sinnvoll einen CAPTCHA zu haben oder nicht?
    Also gerade bei gewerblichen Projekten, bei Registrierung, nach 3 falschen Loginversuchen und ggf. Formulare im Mitgliederbereich (Inserate, Gebote usw.).

    Bisher hatte ich jspit`s antiBot-Klasse implementiert, bin aber nicht wirklich sicher wie sinnvoll diese ist, da alles automatisch geregelt wird.
    Ein Bot kann/wird ggf. doch ebenfalls über einen Browser arbeiten und auf Grund des JS-Parts würden die entsprechenden Inputfelder gesetzt und validiert werden (also nutzlos solange der Bot nicht die Hiddenfleder mit den richtigen namen 'email' und 'password' ausfüllt). Wenn speziell eine Seite in den Fokus rückt kann man einen Bot doch sicher leicht anweisen hiddenfelder zu übergehen, insbesondere wenn diese entsprechende Klassen oder Style--Aattribute aufweisen.


    CAPTCHA-Clock, fand ich dann schon wieder recht interessant, hier könnte man natürlich den Bots das Leben noch erschweren wenn man die Aufgabe variieren würde (im Kreis Rechnen oder Lesen, Drehung und Position der Zeichen per Zufall und die Richtung per Zufall). Doch wie schwer wäre es für solche Botentwickler ein nicht linearen Bot zu schreiben. Am Ende wird es ja immer optische Merkmale geben die auf die Lösung hinweisen:
    • Sind keine Mathematische Zeichen vorhanden = lesen else rechnen
    • Man könnte die oberen beiden Zeichen links und rechts vom Scheitelpunkt für die Richtungsweisung nutzen (rechts ein Zeichen das leserlich nach rechts ausgerichtet ist = rechtsrum (linksherum das selbe auf der anderen Seite in Leserichtung ausgerichtet), dies wäre sicher auch von einem Bot zu erkennen, da könnte man vllt. hergehen und die Aufgabe ggf. separat als Text ausgeben welche stets vaiiert und vllt. schon ein kleines Rätzel ist welches die Leserichtung preisgibt.
      Heute gehen wir im/gegen den Uhrzeigersinn. Gestern gingen wir den ganzen Tag rückwärts. Die Buchstaben geben die Richtung an (zur Nutzung beider Varianten). Da könnte man sicher nen Haufen Sätze bauen die eine Richtung vorgeben.
    • Ausrichtung der Zeichen selbst, dort sind diese je nach Position stets fest definiert, aber man könnte sie ja rotieren lassen. Das zweite Zeichen im Beispiel liegt z.B. immer auf der rechten Seite, wenn dies variieren würde (Zufall), ist es sicher schwerer. Natürlich auch die Position selbst +/- 20px (x,y).
    • Zu guter letzt könnte man farblich die Zeichen variieren lassen, mit entsprechender Hintergundstruktur, dürfte es einem Bot auch schwerer machen als wenn von den Konturen her alles so klar zu erkennen ist?

    In Kürze soll ein Projekt starten und da müsste ich zusehen das Bots recht sicher abgewiesen werden können.
    Wäre daher für euer Feedback sehr dankbar.

    MfG: Paykoman

  • #2
    Zur Zeit können KIs ein Captcha schneller und zuverlässiger lösen als Menschen. Also die Anti-Bot-Funktion sperrt über kurz oder lang mehr Menschen als Bots aus. Ist das der Sinn?

    Kommentar


    • #3
      Zitat von hellbringer Beitrag anzeigen
      Zur Zeit können KIs ein Captcha schneller und zuverlässiger lösen als Menschen. Also die Anti-Bot-Funktion sperrt über kurz oder lang mehr Menschen als Bots aus. Ist das der Sinn?
      Mit "Anti-Bot-Funktion" ist die Klasse von jspit gemeint? Falls ja, würde mich das sehr wundern (natürlich muss man die Zeitbegrenzungen der Klasse richtig handhaben und ggf. auf der Seite vllt. sogar darstellen), denn einen Menschen kann diese nicht aussperren, ausser derjenige manipuliert den DOM über die Konsole (Zeit ausgenommen).

      Aber wenn das Captcha gemeint war, deshalb erwähnte ich noch mal "liniear" denn die Bots lesen laut dem Tutorial von oben-unten und links-rechts, was ja auch logisch klingt, ein Captcha im Uhrzeigersinn zu lösen ist da schon anspruchsvoller.

      Kommentar


      • #4
        Zitat von Paykoman Beitrag anzeigen
        Mit "Anti-Bot-Funktion" ist die Klasse von jspit gemeint?
        Nein, ich meine Captchas.

        Zitat von Paykoman Beitrag anzeigen
        Aber wenn das Captcha gemeint war, deshalb erwähnte ich noch mal "liniear" denn die Bots lesen laut dem Tutorial von oben-unten und links-rechts, was ja auch logisch klingt, ein Captcha im Uhrzeigersinn zu lösen ist da schon anspruchsvoller.
        Wie gesagt, KIs sind bei sowas viel effektiver. Und wenn es zu komplex für KIs wird, dann wird es auch schon zu komplex für viele Menschen.

        Zum Beispiel ich bin schon oft mehrmals hintereinander am Google Captcha (markiere alle Fahrräder auf dem Bild, etc.) gescheitert. Irgendwann geb ich dann auf und verlasse die Seite.

        Eine ganz große Freude sind übrigens Login-Formular mit Captchas, wo man dann rumraten muss, ob man das Passwort oder das Captcha falsch eingetippt hat. Ich frage mich jedesmal, wie man sich sowas Idiotisches ausdenken kann und würde demjenigen gerne zahlreiche Gegenstände auf den Kopf werfen.

        Kommentar


        • #5
          Was ist von diesem "I am not a robot"-Haken von Google zu halten?

          Irgendwo bilde ich mir ein gelesen zu haben, das das "sehr zuverlässig" funktionieren soll... Angeschaut hab ich mir das noch nicht. https://developers.google.com/recaptcha/
          The string "()()" is not palindrom but the String "())(" is.

          Debugging: Finde DEINE Fehler selbst! | Gegen Probleme beim E-Mail-Versand | Sicheres Passwort-Hashing | Includes niemals ohne __DIR__
          PHP.de Wissenssammlung | Kein Support per PN

          Kommentar


          • #6
            Suche auch mal hier im Forum, das Thema hatten wir schon öfter ziemlich ausführlich debattiert, das muss ja nicht jedes Mal erneut geschehen.

            Kommentar


            • #7
              Zitat von hausl Beitrag anzeigen
              Was ist von diesem "I am not a robot"-Haken von Google zu halten?

              Irgendwo bilde ich mir ein gelesen zu haben, das das "sehr zuverlässig" funktionieren soll... Angeschaut hab ich mir das noch nicht. https://developers.google.com/recaptcha/
              das hier wurde hier mal geposted
              https://www.youtube.com/watch?v=fsF7enQY8uI

              aber fortgeschritten ist eine Argumentation auf dem level nicht Paykoman

              Kommentar


              • #8
                tomBuilder Ja, so kann man das auch sehen/auslegen.
                The string "()()" is not palindrom but the String "())(" is.

                Debugging: Finde DEINE Fehler selbst! | Gegen Probleme beim E-Mail-Versand | Sicheres Passwort-Hashing | Includes niemals ohne __DIR__
                PHP.de Wissenssammlung | Kein Support per PN

                Kommentar


                • #9
                  Ein Captcha ist hinsichtlich der Usability erstmal großer Mist. Ich bin zu 99% weg wenn ich auf Captchas stoße. Zu empfehlen sind grundsätzlich alle Maßnahmen von denen die User gar nichts mitbekommen. Je individueller desto besser. Das reicht dann auch für die meisten Seiten.
                  [SIZE="1"]Atwood's Law: any application that can be written in JavaScript, will eventually be written in JavaScript.[/SIZE]

                  Kommentar


                  • #10
                    Ja das reCaptcha Zeug hasse ich auch wie die Pest, die "ich bin kein Roboter"-Checkbox wurde ja mehr oder weniger nur davor geschalten, ist sich das Script aber unsicher muss man das Cpatcha lösen und besagte Bilder anklicken (was leider nen Bug hat und bei mir permanent nach anklicken eines Bildes, dieses heraus nimmt und durch ein neues ersetzt = unlösbar), daher werde ich nen Teufel tun und diesen Mist einbauen

                    Fortgeschritten finde ich es schon, denn es gibt wie oben genannt durch aus Berechtigungen für den Einsatz von Captchas und da diese unbeliebt sind (bei mir auch), ist ja die Frage einer alternative, welche oben ebenfalls genannt wird aber eben auch keine wirkliche Alternative ist.

                    Beim Login hat ich ja schon angeregt dies erst nach dem 3ten Fehlversuch einzubeziehen (unter anderem um Bots nicht die Möglichkeit zu geben PWs in größeren Abständen auszuprobieren).
                    In meinem Fall geht es um ein Auktionshaus (ala eBay), hier finde ich es schon sehr wichtig das sich keine Bots registrieren, sich einloggen oder gar Auktionen oder Gebote abgeben können.
                    Die jspit.Klasse fügt ja lediglich hiddenfelder hinzu und stütz darauf die Boterkennung.

                    In meinem Registrations-Formular schaut es so aus (nur ein Beispiel, habe kein inline-code) :
                    HTML-Code:
                    <input name="authRegister_2" id="Id_authRegister_2" type="email" value="your mail" data-abot="t29763409">
                    <input name="authRegister" id="Id_authRegister" type="email" value="your mail" data-abot="t29763409">
                    
                    <script>
                    var aBot = document.querySelectorAll('[data-abot]');
                            for (var i = 0; i < aBot.length; i++) {
                                aBot[i].value = '';
                    
                                var newNode = aBot[i].cloneNode(true),
                                    $name2 = aBot[i].getAttribute('name')+'_2';
                    
                                newNode.setAttribute('name', $name2);
                                newNode.setAttribute('id', 'Id_'+$name2);
                                newNode.value = aBot[i].getAttribute('data-abot'); // das geklonte Feld enthält den token
                                aBot[i].parentNode.insertBefore(newNode, aBot[i]);
                            }
                    </script>
                    Diese Felder werden per JS gesetzt und die Klasse prüft letztlich nur ob die Werte verändert wurden bzw. mit dem intern hinterlegten Wert übereinstimmt, hat man also ein namhaftes Projekt und zieht entsprechend Aufmerksamkeit auf sich, muss ein Bot lediglich darauf getrimmt sein diese Felder zu ignorieren. Ist für mich also kein wirklich guter Botschutz.

                    Daher finde ich ist es durch aus ein fortgeschrittenes Thema, was man tun soll/kann...
                    Dazu verfällt glaube ich immer wieder der Fokus des nicht linearen-captchas, es ist doch ein Unterschied ob eine Zeichenfolge einfach von links nach rechts gelesen werden muss oder wie ein Ziffernblatt auf einer Uhr...
                    Gut ich habe mit solchen Erkennungs-skripten noch nichts zu tun gehabt aber klingt halt logisch.

                    Naja wüsste aktuell jedenfalls keinen guten Ansatz zur Lösung des Problems ohne den User belästigen zu müssen.

                    Kommentar


                    • #11
                      Zitat von Paykoman Beitrag anzeigen
                      Dazu verfällt glaube ich immer wieder der Fokus des nicht linearen-captchas, es ist doch ein Unterschied ob eine Zeichenfolge einfach von links nach rechts gelesen werden muss oder wie ein Ziffernblatt auf einer Uhr...
                      Einer KI ist sowas egal. Deswegen ist es ja eine KI und kein Algorithmus. Eine KI arbeitet nicht von links nach rechs, sondern "sieht" das Bild als Ganzes.

                      Kommentar


                      • #12
                        Zur Zeit können KIs ein Captcha schneller und zuverlässiger lösen als Menschen. Also die Anti-Bot-Funktion sperrt über kurz oder lang mehr Menschen als Bots aus. Ist das der Sinn?
                        Da kann ich nur zustimmen. Und dieser Google Captcha ist auch schrott. Kam mehrmals schon vor das ich die richtigen Bilder ausgewählt hatte aber immer wieder ein neues Captcha dargestellt wurde. Echt ärgerlich.

                        Alle Daten Serverseitig auf derren Gültigkeit überprüfen und gut ist. Hatte da noch nie Probleme.

                        Kommentar


                        • #13
                          Zitat von hellbringer Beitrag anzeigen

                          Einer KI ist sowas egal. Deswegen ist es ja eine KI und kein Algorithmus. Eine KI arbeitet nicht von links nach rechs, sondern "sieht" das Bild als Ganzes.
                          KI hin oder her, ganz so einfach ist es ja nun nicht. Denn auch eine KI ist nun mal nur ein Code der ausgeführt wird (sind ja noch nicht bei Terminator xD).
                          Es hat auch kein Auge und kann somit ein Bild nicht "sehen" (auch nicht sehen in " ) sondern nur anhand von Daten erfassen bzw. verarbeiten.
                          Dann muss einer Ki trotzdem noch beigebracht werden wie sie mit diesen Daten verfährt, denn selbst wenn die Daten tatsächlich per Ki erfasst werden, wäre es eher Datensalat (zuvor gepostete Aspekte).

                          Denn wie ich schon erwähnte sind bisherige Captchas eben zu einfach gestrickt, mit immer der selben Fragestellung.

                          Selbst wenn eine KI all das beherrschen würde, basiert sie immer noch auf einer Datenbank in der sie ihr erlerntes Wissen speichert, Wissen kann man nur dann sammeln wenn man Rückschlüsse bilden kann.
                          Das bedeutet immer die selbe(n) Fragestellung(en) zu klären um irgend wann eine Lösung zu entwickeln, dann kann die KI das Captcha lösen.

                          Wenn sich die Fragestellung selten wieder holt und sich immer ändert kann eine Software, wie ich es sehe, so etwas nicht lösen, da sich besagtes Wissen nicht ansammeln kann (sehr sehr lange dauern kann).
                          Wichtig wäre natürlich nicht endlos viele Versuche zuzulassen.

                          Aber ich merk schon, hier heißt es einfach CAPTCHAS sind nervig und unnötig, basta.

                          Zitat von strub Beitrag anzeigen

                          Da kann ich nur zustimmen. Und dieser Google Captcha ist auch schrott. Kam mehrmals schon vor das ich die richtigen Bilder ausgewählt hatte aber immer wieder ein neues Captcha dargestellt wurde. Echt ärgerlich.

                          Alle Daten Serverseitig auf derren Gültigkeit überprüfen und gut ist. Hatte da noch nie Probleme.
                          Nein eben nicht, auch ein Bot kann gültige Daten eintragen/absenden und z.B. bei Auktionen wie in eBay katastrophale Auswirkungen haben.
                          Darum gibt es durch aus Situationen in denen ein Botschutz-(Prüfung) durch aus Sinn macht.

                          Darum hoffte ich hier ein wenig konstruktiv an einer Lösung arbeiten zu können.

                          Kommentar


                          • #14
                            Zitat von Paykoman Beitrag anzeigen
                            KI hin oder her, ganz so einfach ist es ja nun nicht. Denn auch eine KI ist nun mal nur ein Code der ausgeführt wird (sind ja noch nicht bei Terminator xD).
                            Genau das ist eine KI nicht. Sicher ist auch Code dahinter. Aber eine KI ist hauptsächlich eine Mustererkennung, die selber "lernt" neue Muster zu erkennen.

                            Zitat von Paykoman Beitrag anzeigen
                            Dann muss einer Ki trotzdem noch beigebracht werden wie sie mit diesen Daten verfährt, denn selbst wenn die Daten tatsächlich per Ki erfasst werden, wäre es eher Datensalat (zuvor gepostete Aspekte).
                            Es gibt auch selbstlernende KIs.

                            Zitat von Paykoman Beitrag anzeigen
                            Denn wie ich schon erwähnte sind bisherige Captchas eben zu einfach gestrickt, mit immer der selben Fragestellung.
                            Was meinst du mit "Fragestellung"? Text? Dann hoffentlich mehrsprachig, denn nicht jeder kann Deutsch/Englisch.

                            Zitat von Paykoman Beitrag anzeigen
                            Selbst wenn eine KI all das beherrschen würde, basiert sie immer noch auf einer Datenbank in der sie ihr erlerntes Wissen speichert, Wissen kann man nur dann sammeln wenn man Rückschlüsse bilden kann.
                            Das bedeutet immer die selbe(n) Fragestellung(en) zu klären um irgend wann eine Lösung zu entwickeln, dann kann die KI das Captcha lösen.
                            Darüber haben sich sicher schon mehr Leute Gedanken gemacht. Aber es gibt trotzdem keine wirklich guten Lösungen. Warum wohl?

                            Zitat von Paykoman Beitrag anzeigen
                            Wenn sich die Fragestellung selten wieder holt und sich immer ändert kann eine Software, wie ich es sehe, so etwas nicht lösen, da sich besagtes Wissen nicht ansammeln kann (sehr sehr lange dauern kann).
                            Wieviele tausende Fragestellungen willst du den erstellen?

                            Zitat von Paykoman Beitrag anzeigen
                            Aber ich merk schon, hier heißt es einfach CAPTCHAS sind nervig und unnötig, basta.
                            Sagen wir so, selbst ein milliardenschwerer Konzern wie Google ist daran meiner Ansicht nach gescheitert. Aber DU machst es jetzt besser? Schon mal daran gedacht nur ein Captcha-System zu entwickeln und dann für Millionen Euro zu verkaufen, wenn du das so viel besser kannst?

                            Kommentar


                            • #15
                              Wenn schon alles auf die Goldwage gelegt wird:

                              Zitat von hellbringer Beitrag anzeigen
                              Genau das ist eine KI nicht. Sicher ist auch Code dahinter. Aber eine KI ist hauptsächlich eine Mustererkennung, die selber "lernt" neue Muster zu erkennen.
                              Es ist ausschließlich Code dahinter oder ist ein menschliches Gehirn daran angesteckert?


                              Zitat von hellbringer Beitrag anzeigen
                              Es gibt auch selbstlernende KIs.
                              Eine Ki ist immer selbst lernend darum Ki, was nicht lernt hat auch keine Intelligenz. Beschrieb ich ja aber ebenfalls ausführlich im von Dir Zitierten Beitrag.
                              Weshalb ich auch schrieb das eine Ki nur aus dem Resultat lernt, ohne Resultat kein lernen.


                              Zitat von hellbringer Beitrag anzeigen
                              Was meinst du mit "Fragestellung"? Text? Dann hoffentlich mehrsprachig, denn nicht jeder kann Deutsch/Englisch.
                              Selbst redend (reCaptcha ebenso jedoch immer selbes Schema, klicke xxx an) aber punkto Fragestellung habe ich oben schon ausführlich beschrieben wie diese aussehen könnte (sowohl textlich als auch grafisch).

                              Zitat von hellbringer Beitrag anzeigen
                              Darüber haben sich sicher schon mehr Leute Gedanken gemacht. Aber es gibt trotzdem keine wirklich guten Lösungen. Warum wohl?

                              Wieviele tausende Fragestellungen willst du den erstellen?

                              Sagen wir so, selbst ein milliardenschwerer Konzern wie Google ist daran meiner Ansicht nach gescheitert. Aber DU machst es jetzt besser? Schon mal daran gedacht nur ein Captcha-System zu entwickeln und dann für Millionen Euro zu verkaufen, wenn du das so viel besser kannst?
                              Nein ich sagte nicht das ich es besser mache, dazu kenne ich mich zuwenig mit besagten Ki`s aus die solche Hürden meistern, darum habe ich oben versucht logisch zu erklären aus welchen Gründen, ein Skipt das Muster erkennt oder auch Ki daran scheitern könnte und wollte wissen ob es Sinn macht.

                              Aber auch ich vertrete ja die Meinung alles wo der User nicht belästigt wird ist besser, daher ging es mir auch um diesen Aspekt und wenn es da nicht wirklich was gibt kann man das doch deutlich ausdrücken und nicht nur "ahh Captcha ist Müll"


                              Fakt ist, eine Ki kann ein Captcha nicht wie ein Mensch "sehen", wenn man eine Ki hat die zum aller ersten mal ein neuartiges Captcha öffnet (das im Gegensatz zu andere den Text im Kreis anzeigt und nicht linear), wird diese es nicht lösen können!
                              Die ki muss es unzählige male durchführen um daraus zu lernen und ich denke der Schlüssel zum Erfolg ist hier die Fragestellung zur Grafik und ein Limit der Versuche das nicht durch IP/Cookie wechsel umgangen werden kann (FP).

                              Hinzu käme natürlich noch wo die Fragestellung platziert wird, mit HTML5 gäbe es ja auch genug Möglichkeiten diese nicht im selben DOM zu platzieren oder gar als PushMsg.

                              Mit dem Google Aspekt hast Du schon recht, die Abteilungen haben den ganzen Tag nichts anderes im Kopf aber manchmal sorgt gerade das für Scheuklappen und hin und wieder sollen auch normale Menschen Geistesblitze haben


                              Kommentar

                              Lädt...
                              X