Antworten: 65
|
|
 MindcrimeGeekboy  Beiträge: 1155 |
# Antwort: 21 - 21.06.2011 um 16:55 Uhr
Btw die cs_captcha ist eh nicht correct. GD text sind ISO-LATIN-1, die hash ist ein UTF-8, also muss erst der hash convertiert werden... global $cs_main; $hash = iconv($cs_main['charset'], 'ISO-8859-1//TRANSLIT', $hash); @Jam2: Selbe IP will nichts sagen, es gibt schon botnetwerke die sowas machen und die IP vom webserver als distributions liste bekommen. Daneben kommen die um die X minuten zurueck zum selben server und benutzen dan eine andere news ID oder aehnliches um wieder denselben nachricht zu schicken... Zuletzt editiert von Mindcrime am 21.06.2011 um 17:02 Uhr (1x Editiert) |
Inaktiv |
 |  |
 Jam2  Highlander  Beiträge: 3291 |
# Antwort: 22 - 21.06.2011 um 17:06 Uhr
Wie wäre es das Captcha Feld zu einem Honigtopf zu machen  ?
------------------ Gruß/ Best regards Jam2 Nützliche Forumbeiträge/Codepastes: (Useful comments in our board / codepastes) Template Switch for index.php Board Navlist last posts Edi: könnte man denn auch hier eine erweiterung einfügen?
Jam2: das web ist wie toyota.....  Edi: hö ? Jam2: nichts ist unmöglich! |
Inaktiv |
| |
| Mindcrime Geekboy Beiträge: 1155 |
# Antwort: 23 - 21.06.2011 um 17:13 Uhr
Folgendes sollte functionieren: Index: gd.php =================================================================== --- gd.php (revision 2841) +++ gd.php (working copy) @@ -4,13 +4,29 @@ function cs_captcha($hash) { + global $cs_main; + + $hash = iconv($cs_main['charset'], 'ISO-8859-1//TRANSLIT', $hash); + $gd_info = gd_info(); $chars = strlen($hash); $height = $chars == 3 ? 18 : 40; $charsize = $chars * 20; - $img = ImageCreateTrueColor($charsize,$height); - $bgc = ImageColorAllocate($img,rand(0,80),rand(0,80),rand(0,80)); - ImageFill($img,0,0,$bgc); + /* try uploaded versions first of captcha_120x40.xxx or captcha_60x18.xxx */ + $captchaimg = '../../uploads/captcha/captcha_'.$charsize.'x'.$height; + if (!empty($gd_info["PNG Support"]) && file_exists($captchaimg.'.png')) + $img = imagecreatefrompng($captchaimg.'.png'); + else if ((!empty($gd_info["JPG Support"]) OR !empty($gd_info["JPEG Support"])) && file_exists($captchaimg.'.jpg')) + $img = imagecreatefromjpeg($captchaimg.'.jpg'); + else if (!empty($gd_info["GIF Create Support"]) && file_exists($captchagif.'.gif')) + $img = imagecreatefromgif($captchaimg.'.gif'); + else + { + /* do default way */ + $img = ImageCreateTrueColor($charsize,$height); + $bgc = ImageColorAllocate($img,rand(0,80),rand(0,80),rand(0,80)); + ImageFill($img,0,0,$bgc); + } for($i=1;$i<$chars;$i++) { $linecolor = ImageColorAllocate($img,rand(0,150),rand(0,150),rand(0,150)); Man muss dan noch eine uploads/captcha/ ordner machen mit dadrin ein .htaccess (deny from all) und folgende bilder drin: captcha_120x40.png (fuer grosse version 120x40 pixel) captcha_60x18.png (fuer kleines mini version 60x18 pixel) oder die .jpg oder .gif versionen Wenn es die bilder nicht gibt, macht er es wie gewohnt... Zuletzt editiert von Mindcrime am 22.06.2011 um 11:19 Uhr (4x Editiert) |
Inaktiv |
| |
 CyberonicBeginner Beiträge: 4 |
# Antwort: 24 - 21.06.2011 um 18:25 Uhr
Die beste Möglichkeit ist doch anstelle der Captchas 5 Bilder von für Menschen eindeutig identifizierbaren Objekten zu haben und dann in einer Abfrage zu fragen um was für ein Objekt es sich handelt. Am besten Fotos und keine Cliparts. Das kann kein Bot knacken. Zuletzt editiert von Cyberonic am 21.06.2011 um 18:25 Uhr (1x Editiert) |
Inaktiv |
| |
| hajo VIP - Poster  Herkunft: Barsbüttel Beiträge: 9411 |
# Antwort: 25 - 21.06.2011 um 18:28 Uhr
wer gast kommentare / beiträge erlaubt muss mit zusätzlichen gefahren rechnen. allgemein bieten sich z.b. javascript-captchas an, die rechenaufgaben stellen oder ähnliches, so etwas kann man nicht so leicht knacken, wenn es gut implementiert ist. ------------------ ClanSphere - professional clan care starts here |
Inaktiv |
| |
| Jam2 Highlander Beiträge: 3291 |
# Antwort: 26 - 21.06.2011 um 18:32 Uhr
21.06.2011 um 18:25 Uhr - Cyberonic: Die beste Möglichkeit ist doch anstelle der Captchas 5 Bilder von für Menschen eindeutig identifizierbaren Objekten zu haben und dann in einer Abfrage zu fragen um was für ein Objekt es sich handelt. Am besten Fotos und keine Cliparts. Das kann kein Bot knacken. Man nehme alle Bilder und assoziiere diese mit den richtigen Begriffen. Was machst du dann? ------------------ Gruß/ Best regards Jam2 Nützliche Forumbeiträge/Codepastes: (Useful comments in our board / codepastes) Template Switch for index.php Board Navlist last posts Edi: könnte man denn auch hier eine erweiterung einfügen?
Jam2: das web ist wie toyota..... Edi: hö ? Jam2: nichts ist unmöglich! |
Inaktiv |
| |
| Cyberonic Beginner Beiträge: 4 |
# Antwort: 27 - 21.06.2011 um 19:50 Uhr
Man nehme alle Bilder "Man" ist in diesem Fall ein Mensch und kein Bot. Dass der das kann ist klar. Aber der hätte sich ja auch registrieren können. |
Inaktiv |
| |
| Jam2 Highlander Beiträge: 3291 |
# Antwort: 28 - 21.06.2011 um 20:09 Uhr
Der Bot wird durch den Menschen erstellt. Der Mensch "lernt" dem Bot die Bilder und dann ist deine "Lösung" auch nichtig ------------------ Gruß/ Best regards Jam2 Nützliche Forumbeiträge/Codepastes: (Useful comments in our board / codepastes) Template Switch for index.php Board Navlist last posts Edi: könnte man denn auch hier eine erweiterung einfügen?
Jam2: das web ist wie toyota..... Edi: hö ? Jam2: nichts ist unmöglich! |
Inaktiv |
| |
| Mindcrime Geekboy Beiträge: 1155 |
# Antwort: 29 - 21.06.2011 um 20:10 Uhr
Theorie und praxis blabla... Laut meine praxis hilft eigene hintergrund bilder die farbmaessig aenderungen haben... |
Inaktiv |
| |
| floH Rock the board  Herkunft: Reichenberg Beiträge: 82 |
# Antwort: 30 - 21.06.2011 um 21:12 Uhr
Habt ihr euch mal meinen Link angesehen und habt ihr gemerkt was dieser kleine Code bereits umgeht? Dieser Code ist für jeden zugänglich also auch für Scriptkiddies. Wenn jetzt andere Firmen die damit Geld verdienen sich Möglichkeiten suchen ein Captcha zu umgehen dann helfen keine bunten Hintergründe, Bilder von Gegenständen oder Rechenaufgaben. Egal ob Flash, Java oder Ajax/PHP. Ein OpenSource CMS wie Clansphere das sich immer größerer beliebtheit erfreut wird zwangsläufig früher oder später Opfer solcher Bots. Da der Code wie gesagt Open Source ist kann der Bot Nutzer darauf zugreifen sich das ganze anschauen wie es funktioniert und diesen dann binnen 5 min umgehen. Egal was ihr da macht oder was ihr für Bilder benutzt. Es müssen andere Lösungen gefunden werden und das ist eben nicht so einfach denn die Technik ist uns immer einen Schritt vorraus. Schlieslich nutzen wir diese um so etwas zu verhindern warum also sollte es anderen nicht möglich sein diese zu nutzen um das wiederrum zu umgehen. Setzt die rosarote Brille ab, Captcha ist nicht mehr das was es einmal war. Warum ein Bot nur einen Eintrag macht? Warum ein Bot nicht alles voll Spammt? -> Effektivere Werbund da der Webbetreiber nicht sofort aufmerksam wird und es wenige gibt die Tag für Tag alle Seiten durch klicken. Es werden pro Eintrag in der Liste 1-2 Einträge gemacht und dann kommt der nächste... so Listen können gut und gerne weit über die 1000 Einträge haben. Warum Boteinträge weniger werden wenn ich ein Hintergrundbild einbaue? -> Der Bot muss das erst neu lernen. Entweder die Erkennungssoftware arbeitet gut genug um das zu entgehen oder der Botersteller muss dem Bot erst das neue System beibringen. Weil klar ist das der Bot gelert werden muss um was für ein System es sich handelt. Und da ist es egal ob Rechenaufgabe, Buchstaben, Zahlen, Bilder oder oder oder... alles was der Mensch sich ausdenkt kann der Mensch einem Bot auch lehren. Wenn man sich zusammen aufrafft und sich etwas ausdenkt vielleicht bekommt man etwas ausgefallenes hin was den Aufwand am Anfang nicht lohnt das zu implementieren bei den Bots und man hat eine kleine Sicherheit vor diesen Plagegeistern. Gruß |
Inaktiv |
| |
| Mindcrime Geekboy Beiträge: 1155 |
# Antwort: 31 - 21.06.2011 um 22:37 Uhr
21.06.2011 um 21:12 Uhr - floH: Habt ihr euch mal meinen Link angesehen und habt ihr gemerkt was dieser kleine Code bereits umgeht? Hast du auch die kommentare gelesen. Hintergrund, font und farbwechsel erschweren schnell die loesung: "A pretty good captcha that uses a wide variety of backgrounds and fonts. " "Weaknesses: constant font, almost aligned glyphs, no rotation, no deformation, constant background, no colour variation, no additional perturbation." Der CS captcha hat: ++ keine "aligned glyphs" ++ "colour variation glyphs" +/- minimal "additional perturbation" - constant font - no rotation - no deformation -- constant background Mit eine extra eigenes (farbenwechselnde) hintergrund bild: ++ keine "constant background" ++ keine "aligned glyphs" ++ "colour variation glyphs" +/- minimal "additional perturbation" - constant font - no rotation - no deformation Das bringt schon ziemlich was, weil der hintergrund sorgt fuer extra problem wegen farben und ist auch eine extra form von "additional perturbation"... Und mit einige kleine aenderungen kann ich es noch besser machen... Warum Boteinträge weniger werden wenn ich ein Hintergrundbild einbaue? -> Der Bot muss das erst neu lernen. Entweder die Erkennungssoftware arbeitet gut genug um das zu entgehen oder der Botersteller muss dem Bot erst das neue System beibringen. Weil klar ist das der Bot gelert werden muss um was für ein System es sich handelt. Und da ist es egal ob Rechenaufgabe, Buchstaben, Zahlen, Bilder oder oder oder... alles was der Mensch sich ausdenkt kann der Mensch einem Bot auch lehren. Dieser genannte bot lernt nicht wie ein neurales netzwerk. Der macht nur bestimmte routinen ausfuehren die er schon kennt... Und fuer meine einzelne seite die zeit rein stecken um mein captcha bild zu knacken ist zeitaufwand, und wenn es mal geknackt ist, kann ich selber in 2 minuten ein anders bild reinmachen... Das lohnt sich nicht fuer die bots entwickler. Es lohnt sich nur wenn die hunderte seiten gleichzeitig mit den code knacken koennen... Klar, CAPTCHA ist nicht die erloesung des problems, aber ein guter captcha kann bis jetzt noch immer viel aufhalten. Und eine richtige wirklich funktionierende andere loesung gibts es immo auch nicht... Zuletzt editiert von Mindcrime am 21.06.2011 um 22:38 Uhr (1x Editiert) |
Inaktiv |
| |
| floH Rock the board Herkunft: Reichenberg Beiträge: 82 |
# Antwort: 32 - 21.06.2011 um 22:47 Uhr
http://www.cs.sfu.ca/~mori/research/gimpy/ Auch hier sind viele Hintergründe mit eingebunden und egal wie dieser ist das meiste ist geknackt. Hier geht es nicht darum einzelne Bilder dem Bot beizubringen sondern eine Technik um noch feiner die Pixel auszuwerten. Da kannst du Bilder alle 2 Wochen ändern und es bringt dir am Ende zu 90% nichts Ich such mal eben fix was raus und poste das dann hier, das denke ich wird vielen die Augen öffnen was überhaupt möglich ist. |
Inaktiv |
| |
| Mindcrime Geekboy Beiträge: 1155 |
# Antwort: 33 - 21.06.2011 um 22:52 Uhr
Ich weiss was moeglich ist, wirklich gute bots machen filtering der pixeln um den laerm raus zu filtern um dan letztendlich die codes zu haben. Das ist nicht viel schwerer dan die software die die POST und andere systeme benutzen um auf handgeschriebene briefe die adressen zu lesen und die schmutzflekken raus zu filtern... |
Inaktiv |
| |
| floH Rock the board Herkunft: Reichenberg Beiträge: 82 |
# Antwort: 34 - 21.06.2011 um 23:06 Uhr
Es geht um sehr viel Geld und das ist das wichtigste was man nicht vergessen darf. Mit http://decaptcher.com/client/ kann man Captcha umgehen in fast jeder Varriation. Denn hier zahlt der Benutzer Geld dafür das ein Bot seine Homepage besucht und die Werbung klickt. Und das kann man ebenso nutzen für Soameinträge. Spammer machen das nicht weil ihnen langweilig ist oder sie die Menschheit nerven wollen (wobei es Scriptkiddies gibt die das machen) sondern weil sie damit Geld verdienen, Benutzerdaten ausspionieren oder Computer infizieren. Hinter 90% der machenschaft steckt immer der Faktor Geld und gegen diesen anzukommen ist mehr als schwer Ein interessanter Lösungsansatz war http://www.markvandenbergh.com/archives/119/captcha-is-useless/ und auch dieser ist bereits unbrauchbar da es auch erkannt wird. Und in Zeiten der Raubkopie dauert es meist nie lang bis Codezeilen für Geld irgendwo frei zugänglich für alle Benutzer sind die Schaden anrichten wollen. Es gibt viele Lösungsideen aber es wird auch immer einen geben der diese Lösungsidee wieder pulverisiert und damit dann auch wieder Geld verdient.
|
Inaktiv |
| |
| SCHIRI Weltmeister Herkunft: Hamburg Beiträge: 5299 |
# Antwort: 35 - 21.06.2011 um 23:07 Uhr
@floh: Was schlägst du denn vor? So wie du hier gegen Captchas argumentierst scheinst du ja eine geniale alternative zu kennen. Meiner Meinung nach ist es aber sowieso fragwürdig unregistrierten Besuchern das schreiben von Kommentaren zu erlauben. ------------------ www.laszlokorte.de |
Inaktiv |
 | |
| floH Rock the board Herkunft: Reichenberg Beiträge: 82 |
# Antwort: 36 - 21.06.2011 um 23:38 Uhr
Naja meine Meinung hierzu ist folgende: Captcha war eine Grundidee um Spambots von der eigenen Webseite fern zu halten. Was anfangs auch funktioniert hat. Jedoch wie schon oben geschrieben ist die motivation des Geldverdienens größer als die eine Seite vor Bots zu schützen. Captcha war und ist aber auch mal von dem ganzen abgesehen eine nervige Sache und es gibt viele die sich dadurch belästigt fühlen. Nicht nur das es Captchas gibt bei denen man selber verzweifelt obwohl man doch ein Mensch ist?! Captcha läuft hier auf einem sehr schmalen Grad zwischen Benutzerfreundlichkeit und Sicherheit. Wer zu 100% frei von Spam bleiben will muss Emails ausblenden, Kommentare verbieten und keine Interaktion zulassen mit dem Benutzer. Denn nicht nur Gäste Spammen nein auch die Bots mit denen Geld verdient wird registrieren sich kurzer Hand und spammen dann als registrierter Benutzer. Absoluten Schutz vor den Spambots gibt es nicht und Captcha ist Benutzerunfreundlich. Es gibt 2 und evtl. 3 Möglichkeiten ohne Captcha eine etwas einfachere Lösung herbeizurufen. Ohne dabei auf Benutzerfreundlichkeit verzichten zu wollen. 100% Spamschutz gibt es nicht und darum sollte man Kompromisse eingehen. Ich habe z.B. aus Clansphere komplett Captcha rausgenommen und habe mir 2 "abfragen" eingebaut: 1. Wurde das Formular unter 10 sek ausgefüllt? Wenn ja dann als Spam makieren und einen Moderator um freigabe bitten. 2. Wurde das verstecke Feld ausgefüllt? Wenn ja dann als Spam makieren und einen Moderator um freigabe bitten. Grundidee war folgende: Wie kann ich eine abfrage einbauen ohne dabei den Benutzer zu nötigen etwas auszufüllen oder anzuklicken? Ausfüllgeschwindigkeit: Bots füllen Forumulare in bruchteilen von einer Sekunde aus, schlaue Bots zögern es hinnaus und dennoch brauchen sie weniger als Menschen. Denn Zeit ist Geld. Daher habe ich versucht herrauszufinden wie schnell das Formular ausgefüllt wurde -> Ich fahre mit 10 Sekunden ganz gut. Anfangs hatte ich 30 Sekunden aber das war wieder etwas Benutzerunfreundlich da für Schnelltipper die nur einen Satz eingeben Kommentare sofort als Spam makiert wurden und auf freigabe gewartet werden musste. Bei 10 Sekunden habe ich im Monat 1-3 Einträge von Benutzern die ungewollt als Spam makiert wurden und Bots die Spam verfassen werden sehr gut ausgefiltert. Hier bleiben bereits 80% hängen und verschwinden in der Versenkung. Zusätzlich habe ich einen Filter eingebaut der "Standarttexte" erkennt und diese sofort löscht ohne um Freigabe zu bitten. Dann habe ich eine zweite Sicherheitsabfrage eingebaut die wieder nicht von Benutzern gehandhabt werden muss: Versteckte Felder überprüfen: Bots füllen möglichst viele Felder aus und wissen dabei nicht um was es sich handelt. Mit hilfe von CSS habe ich Felder generiert die für menschliche Benutzer nicht sichtbar sind. Leeres Feld-> Darf beim ankommen der Daten nach dem abschicken keine Daten enthalten. Benutzer die dieses Feld nicht sehen füllen dieses auch nicht aus, Bots hingegen sehen dies und füllen es "zwangsweise" aus. Gut auch nicht alle aber wie schon gesagt absoluten Schutz gibt es nicht. Einziger Nachteil bei dem zweiten Lösungsansatz ist das Benutzer die CSS deaktiviert haben dieses Feld sehen. Edit: Es gibt noch mehr Möglichkeiten und keine ist zu 100% sicher. Ich fahre mit meiner Lösung ganz gut und dank der Standarttexte kann ich mittlerweile ohne Sorge meinen "Spamordner" öffenen und habe nur vereinzelnt noch etwas zu löschen oder freizugeben. Ich habe z.B. auch bei Benutzern die öfters mal im Spam landen aber keine Spammer sind abgefragt. Wenn ein Beitrag als spam makiert wird dann wird zunächst überprüft ob der Benutzer (falls registiert) auf der Whitelist steht oder nicht. Man könnte auch noch Felder verstecken und diese "email" "name" "comment" oder sonst wie nennen nur um Bots in die Irre zu führen. Aber man könnte so vie.  Ich bin mit meiner Lösung echt zufrieden.
Zuletzt editiert von floH am 21.06.2011 um 23:44 Uhr (1x Editiert) |
Inaktiv |
| |
| Mindcrime Geekboy Beiträge: 1155 |
# Antwort: 37 - 21.06.2011 um 23:44 Uhr
Stimmt, das (hidden) leere feld ist auch ein bekannter antispam massnahme das gut funktioniert... Besonders wenn man dieses feld den namen "email" oder so gibt...
|
Inaktiv |
| |
| floH Rock the board Herkunft: Reichenberg Beiträge: 82 |
# Antwort: 38 - 21.06.2011 um 23:48 Uhr
21.06.2011 um 23:44 Uhr - Mindcrime: Stimmt, das (hidden) leere feld ist auch ein bekannter antispam massnahme das gut funktioniert... Besonders wenn man dieses feld den namen "email" oder so gibt... Ja genau, die Bots in die Irre führen. Man könnte da nun auch das Feld zufällig benennen: name, captcha, email, comment, com etc... |
Inaktiv |
| |
| SlayR Geekboy  Herkunft: Calbe (Saale) Beiträge: 1133 |
# Antwort: 39 - 22.06.2011 um 00:35 Uhr
Warum nicht gleich so, floH? Also wäre der effektivste (vom Aufwand auch leicht zu rechtfertigendste) Spamshutz, ein Captcha mit zufälligem Hintergrundbild und einem "Honeypot"-hidden Field(oder gleich mehreren)? Klar die "Stoppuhr" ist auch ziemlich Klasse, man könnte noch IP's von Botnetzwerken filtern, und und und... ------------------ --- CLANSPHERE ---
Professional clan care starts here |
Inaktiv |
 | |
| floH Rock the board Herkunft: Reichenberg Beiträge: 82 |
# Antwort: 40 - 22.06.2011 um 00:48 Uhr
 SlayRCaptcha würde ich komplett raus nehmen. Grund: Benutzerfreundlichkeit Verstecktes Feld einbauen. Grund: Einfach und verständlich für Benutzer die CSS deaktiviert haben "Stoppuhr" einbauen. Grund: Bots sind automatisiert und Zeit ist Geld... einfache und relativ effektive Methode Ip's zu filtern ist Zwecklos. Gar nicht erst dran denken. Um Werbeanzeigen auszutricksen muss man für jeden "Klick" eine neue IP verwenden wa also in den ganzen Bots schon berücksichtigt ist. Alles was als "Spam" makiert wird einfach zum Admin schicken für die Freigabe. Filter für "Standarttexte" und Benutzer kann noch hinzugefügt werden um das Auswahlverfahren zu optimieren. Es ist und bleibt ein gutes Stück arbeit. Evtl. biete ich meinen Code gegen Bezahlung an. Aber das weis ich noch nicht. Gruß der floH |
Inaktiv |
| |
Antworten: 65
|
|
| Sie müssen sich registrieren, um zu antworten. |
