captcha taugt nichts

T

-TFS-

Aktives Mitglied
Da meine captcha's regelmäßig geknackt und somit umgangen werden, habe ich mich jetzt mal nach einer Alternative umgesehen, und bin auf KittenAuth gestoßen. Hier muss der Benutzer aus neun Tierbildern alle anklicken, auf denen das gefragte Tier dargestellt wird.

Hört sich ja vielversprechend an, hat schon jemand Erfahrung gemacht mit so einem System bezüglich Akzeptanz / Sicherheit?

-TFS-
 
Ich bin da skeptisch.

Erstens habe ich auf der Beispielseite nicht alle entsprechenden Tiere als die Gesuchten erkannt da ich nicht so der Tierkenner bin und die Fotos teilweise nur Ausschnitte des Tieres zeigten.

Ausserdem hilft das Ganze garnichts gegen die beliebte Methode die captchas auf eigene Seiten weiter zu leiten und dort von unwissenden Menschen auf der Suche nach Gratis-Angeboten lösen zu lassen.
Siehe Überschrift "Lösen durch Menschen" im entsprechenden Artikel von wikipedia http://de.wikipedia.org/wiki/Captcha#L.C3...._durch_Menschen
 
Nun ich denke nicht, dass es generell ein Problem mit dem Captcha gab.
Hast du ein fertiges von einer (grösseren) Seite eingebunden?

Oder selbst eines programmiert? Alles richtig gemacht?

Also ich biete Captchas in meinen Tutorials (www.stoppt-den-spam.info) an.

Und diese sind noch nie geknackt worden, da du einen Code ändern kannst, somit ist jedes captcha anders verschlüsselt, der Bot hat gar keine Chance
wink.gif


Denn der Bot kann höchst selten die captchas "lesen", dafür wäre auch der Aufwand zu gross. Viel eher wird es einfach ausgelsen, etwa weil ein hidden Feld schon den Code mitliefert, er im Head Teil liegt, da es per Java Script geprüft wird, oder sonst offen liegt.
 
Ich setze auf einer Site die Tiere ein... Habe es aber selbst geschrieben. Aber wie TSc sagt, lösen durch Menschen, da gibt es keinen Schutz!
 
Vielen Dank für eure Antworten. Ich setze jetzt erstmal die animierten captcha's ein, werde aber das mit den Tieren bestimmt noch testen
wink.gif
 
Jede Autorisierungsmethode ist irgendwie logisch analysierbar, es ist alles eine Frage des Aufwandes. Daher ist die Problematik eigentlich eine ganz andere;

Wird dasselbe Script mit demselben Autorisierungsmechanismus x-fach verwendet, steigt das Interresse und das Potenzial für Spamer und Bot's. Wird der Mechanismus einmal aufgelöst, kann diese "Lösung" für alle entsprechenden Seiten verwendet werden.

Wird dagegen eine "Eigenbau"-Autorisierung verwendet, wird sich nur bei ganz bestimmten Scripts jemand derart viel Mühe machen, diesen Mechanismus aufzulösen, um damit bei nur gerade diesem einen Script "durchzubrechen". Für 99% aller Webapplikationen sicherlich nicht zutreffend.

Wer also ein Standartscript verwendet, und irgendeinen öffentlichen Captcha-Hack einbaut kann sich die Arbeit sparen...

Bei unseren Applikationen bauen wir eigene, variable Autorisierungen, bisher ohne jegliche visuellen Elemente und Zusatzfelder welche vom Benutzer bedient werden müssen. Bisher gab es kein Spam/Botproblem..


 
Wie Alonso schon gesagt hat, je öfter eine Antispammaßnahme eingesetzt wird, desto interessanter wird es für Spammer, sie zu knacken. Die Idee mit den Tieren halte ich für eine sehr dumme Idee, weil man sobald man einmal alle Tiere durchhat ganz einfach das richtige Bild findet -> spart auch noch Rechenleistung. Am besten ist es, man verwendet ein eigenes Captcha, das man von Zeit zu Zeit wechselt, dann rechnet sich der Aufwand für Spammer nicht.

@Roberto Zehnder:
Für was ist die Funkion encrypt() in deinem Script gut?
 
QUOTE (David T. @ Mi 27.12.2006, 3:33) @Roberto Zehnder:
Für was ist die Funkion encrypt() in deinem Script gut?

Wenn das Captcha generiert wird, wird die Lösung temporär in einer Session gespeichert. Um nun ganz sicher zu gehen, wird die Lösung noch verschlüselt, also selbst wenn der Robot zugriff auf die Session hat, was meines Wissens gar nicht geht, ist der Code immernoch verschlüsselt. Somit eine 99.999999% sichere Sache.
 
QUOTE (sd12 @ Mi 27.12.2006, 10:28) Einen Zugriff auf die Session bekommte jeder Browser, bzw. Robot.

OT:
Wo wird diese dann gespeichert?

Dann ist ja umsobesser, dass das Captcha verschlüsselt ist.
 
Wie diese Gespeichert wird, ist sache des Browsers. Im Normalfall macht der Browser ein Cookie daraus.
 
Hmm, im Browser (Cookie) wird nur die SessionID abgelegt, die Sessioninformationen dazu liegen normalerweise im Temporärverzeichniss des Webservers (z.B. /tmp, /var/lib/phpx etc..). Ergaunert man also eine "fremde" SessionID, hat man direkt alle dazugehörigen Informationen die in der Session abgelegt sind. Mit einigen zusätzlichen Sicherheitsmechanismen kann man das ganze aber eigentlich ganz ordentlich absichern..

P.s.: Robots sind auch nur Clients. Alles was ein Client kann, kann daher auch einem Bot beigebracht werden..
 
QUOTE (Alonso @ Mi 27.12.2006, 11:31) Hmm, im Browser (Cookie) wird nur die SessionID abgelegt, die Sessioninformationen dazu liegen normalerweise im Temporärverzeichniss des Webservers (z.B. /tmp, /var/lib/phpx etc..)

Sprich, der Captcha Code gelangt gar nie zum Client.
 
Roberto;
Nein, da ist nichts zu machen, dieser Weg ist "sicher". Lediglich die einfache Variante wo der Code z.B. in einem hidden-form zum Client mitgesendet wird, ist unsinnig.

Das Hauptproblem ist, dass die Captchas ansich dekodiert werden können. Link zum Thema: http://sam.zoy.org/pwntcha/

Selbiges ist für jede weitere Variante möglich..

 
QUOTE (Alonso @ Mi 27.12.2006, 14:07) Das Hauptproblem ist, dass die Captchas ansich dekodiert werden können. Link zum Thema: http://sam.zoy.org/pwntcha/

Da hast du Recht, ein Captcha kann früher oder später gecrackt werden. Womit wir wieder am Anfang sind
wink.gif


Doch wir können es den Bots schwierig machen und das Captcha öfters mal anpassen, anderen Hintergrund, Font, Schriftfarbe, somit wird es den Bots früher oder später verleiden.

Und wenn schlussendlich 1 mal im Monat noch eine Spam Mail kommt oder ein Spam Gästebuch Eintrag, spielt ja dann auch keine Rolle mehr
cool.gif
 
Sie müssen sich einloggen oder registrieren, um hier antworten zu können.
Zurück
Oben