Das deutsche QBasic- und FreeBASIC-Forum

[Jojo]

[MOD]

Gut, das Beispiel war nicht so gut, ich weiß schon, dass Blinde surfen können, aber man hat glaub ich verstanden, was ich gemeint hab.
Wo gibt es denn noch einfache Textcaptchas, überall nur Bildcaptchas und um die zu erkennen braucht ein Blinder die gleiche Funktion, die ein Bot hat, nämlich das Auslesen.

[Jojo]

http://sagamusix.de/de/comment/write/timelord/
Einfaches und für einen nicht spezialisierten Bot unlösbares Textcaptcha. Und sollte er es doch mal lösen können, hab ich schon den nächsten (textbasierten) Plan...
_________________
» Die Mathematik wurde geschaffen, um Probleme zu lösen, die es nicht gäbe, wenn die Mathematik nicht erschaffen worden wäre.

[Mao]

Kannst du kurz erklären, wie deine Captcha-Methode funktioniert?
_________________
Eine handvoll Glück reicht nie für zwei.
--

[Jojo]

Ist relativ einfach.

Hürde 1: Ein per CSS-Klasse verstecktes eingabefeld mit dem gerne benutzten namen "name". CSS-Klasse deshalb, weil Bots kein CSS parsen, erst recht nicht in stylesheets.

Hürde 2: Ein Textcaptcha, das mit simplen CSS-Methoden von rechts nach links ausgegeben wird. Für alle Browser, die kein CSS unterstützen wird bei falscher Eingabe der Hinweis angezeigt: "bei weiteren Problemen den Text umdrehen".
Lautet das Captcha also "1234", steht im Quelltext "4321" und der Benutzer sieht trotzdem das richtige Captcha. Ist übrigens eine gute Methode, um E-Mail-Adressen spamfrei zu halten.
_________________
» Die Mathematik wurde geschaffen, um Probleme zu lösen, die es nicht gäbe, wenn die Mathematik nicht erschaffen worden wäre.

[A.K.]

Mal ein Gedankenspiel:

Was ist von folgender Anti-Bot-Methode zu halten die keine Captchas benötigt, dafür aber JavaScript?:

Beispiel einer Registrierung:

1. php-script erzeugt eine eingabemaske mit 10 Eingabefeldern.
Davon werden 3 Felder für "Name, PW und PWrepeat" benötigt.
Die Reihenfolge der Eingabeboxen ist zufällig und jede Eingabebox erhält bei seinem Namen/ID einfach einen zufallsbasierten ID-String.
Zusätzlich wird eine SessionID mitgegeben.

2. das php script erzeugt danach einen JavaScript-Teil der dann die Eingabefelder mit den nicht benötigten ID's unsichtbar macht und die Beschriftung der Felder setzt. Das ganze evtl. ein bisschen "verschlüsselt/unkenntlich gemacht im Js".

Wenn der User seine Daten in die 3 Felder eingibt und senden drückt, werden alle 10 Felder gesendet. 7 Davon sind leer und 3 voll. Anhand der SessionID wird dann nach den entsprechenden ID's per $_POST geschaut im nächsten php-schritt und die Registrierung ausgeführt.

Ein Bot sollte in den wenigsten Fällen einen JavaScriptParser haben. (oder?)
Er würde die 10 Eingabefelder vorfinden und wäre erstmal verwirrt.
Dann würde er versuchen alle Felder auszufüllen und abzuschicken.
Das nächste php-Script erkennt dann das Daten in Eingabefeldern drin sind wo keine drin sein dürften oder das Daten nicht vollständig sind.
Und Schwups ist der Bot erkannt.

Bei jedem neuen Ausfüllversuch kommen dann andere ZufallID's zum Einsatz.

Das ganze geht dann ohne Captchas, dafür aber mit JavaScript. Der Bot müßte JS parsen können und ausführen können. Weil aus dem Quellcode selber die Felder nicht eindeutig zugeordnet werden könnten.

Macht das Sinn, bzw. wäre das erfolgreich?

MFG A.K.
_________________

http://forum.IconSoft.de
http://www.pnpbb.de - hol dir jetzt dein eigenes kostenloses Forum *NEU*

[ThePuppetMaster]

Du kannst es ja noch härter machen, und einfach n Flash Plugin als Captcha nutzen.

Flash kann sicher kein Bot der welt verarbeiten.


MfG
TPM
_________________
[ WebFBC ][ OPS ][ ToOFlo ][ Wiemann.TV ]

[Devilkevin]

[A.K.]

Passend zum Thema:

http://www.heise.de/newsticker/Handschrift-als-Mittel-gegen-Spambots--/meldung/122396

MFG A.K.
_________________

http://forum.IconSoft.de
http://www.pnpbb.de - hol dir jetzt dein eigenes kostenloses Forum *NEU*

[Jojo]

JavaScript ist wohl noch die bestmögliche Methode (meine Methode könnte man kaum auf vielen Seiten einsetzen, sonst würde sie viel zu schnell gecrackt werden). JS wird ja auch z.B. von recaptcha verwendet.
_________________
» Die Mathematik wurde geschaffen, um Probleme zu lösen, die es nicht gäbe, wenn die Mathematik nicht erschaffen worden wäre.

[28398]

@Muh:
Ich würde es ohne JS machen, dafür aber die Labels in umgekehrter Reihenfolge (so wie bei Jojos Captcha per CSS) notieren...

[Jojo]

Hier übrigens noch ein Artikel zu Captchas und der "Porno-methode":
http://news.bbc.co.uk/2/hi/technology/7067962.stm
_________________
» Die Mathematik wurde geschaffen, um Probleme zu lösen, die es nicht gäbe, wenn die Mathematik nicht erschaffen worden wäre.

[dreael]

Habe dieses Thema nun als separaten Thread herausgetrennt, weil es doch um eher etwas Ernsthaftes geht: Herr werden mit der in den letzten Tagen grassierenden Spamwelle, denn auch ich beobachtete dieses Problem in diversen Foren und war da und dort (und auch bereits hier), wo ich Moderationsrechte habe, am Aufräumen.

Konstruktiver Vorschlag ansonsten von mir fürs QB-Forum: Leichte, aber bewusst individuell programmierte Änderung der jetzigen Captcha-Routine, soweit, dass der Spambot auf die Nase fällt. Wobei wir allerdings nicht wissen, ob der Spammer bereits Personen via Schmuddelwebsite unsere Captchas lösen lässt.
_________________
Teste die PC-Sicherheit mit www.sec-check.net

[Jojo]

Eine weitere nahezu perfekte lösung ist, die registrierung durch eine mit .htaccess geschützte Datei zu leiten. Die Aufforderung bei der eingabe des passwortes dort lautet dann "gib als benutzternamen x und als passwort y ein". daran kommt auch kein spambot vorbei.
_________________
» Die Mathematik wurde geschaffen, um Probleme zu lösen, die es nicht gäbe, wenn die Mathematik nicht erschaffen worden wäre.

[frebas]

[Jojo]

[MOD]

Was soll hier heißen, noch weniger Ahnung??
Lass den Leuten einfach Ihre Meinung, sofern du keine Blinde kennst, hast du genauso viel Ahnung.
Außerdem geht es hier um Captchas und nicht darum, wer sich auf PC's für Sehbehindere auskennt.

[Manuel]

Ich empfehle mal, sich mal diverse Reportagen über Blinde anzusehen. Natürlich brauchen diese Leute Spezialsoftware die sonst kein anderer braucht, ansonsten gibt es auch Leute, die mit eben jener Software ihre Lieblingsprogramme (sogar die ganzen Office-Suiten, und natürlich der Browser) bedienen können, mit Blindentastatur etc... Ganz ehrlich, ich konnte mir es auch nicht vorstellen, bis man mal durch Zufall eine solche Reportage ansieht. Gibt selbst Spiele im Beat'em Up-Genre, die blinde Menschen gerne spielen...

Klar muss solche Software von einem Fachkundigen eingerichtet werden, danach sind blinde Menschen aber problemlos in der Lage, ihre Programme ohne fremde Hilfe in vollem Funktionsumfang zu bedienen. Solche Software ist auch für Normalsterbliche bezahlbar und wird stellenweise von Krankenkassen auch gefördert... Das Bedienkonzept ist freilich ein anderes als das, was ein Sehender als eine Art "Quasi-Standard" betrachtet

Der Ratschlag mit den Reportagen ist ernstgemeint: Blinde Menschen sind (nicht nur) vor dem PC zu weit mehr fähig, als man allgemein annimmt...
_________________
DL Walk (Denkspiel) | DL Malek (Denkspiel) | DL Warrior (ASCII-Adventure) | DL Sokodos (Sokoban-Klon)
---
www.astorek.de.vu

[ThePuppetMaster]

@frebas .. da bringst du mich auf eine ziemlich geile idee

Wir wäre ein Capcha, das nicht mit buchstaben,wörter oder Zahlen arbeitet, sondern mit Punkten. Kleine runde Kreise, die unterschiedliche grössen besitzen. Diese werden dann in unterschiedlichen Farben (sehr differenzierte Farben) chaotisch in ein Bild gezeichnet. Anschliessend muss der User eine der Farben, in einer bestimmten grösse zählen, und diese eingeben

Alternativ kann man auch Kreise nutzen, die nicht ausgefüllt sind. Das würde sicher das OCR'en weiter erschweren.

VIele OCR Programme nutzen ja die tatsache aus, das viel Farbe vorhanden ist, um mit der umrandung die entsprechenden Buchstaben zu extrahieren. Je grösser die Buchstaben sind, desto treffsicherer werden Sie. Aber bei Punkten kann es zu problemen kommen.

Man könnte z.B. im Captcha (etwas gesteuert) 3 kleine punkte relativ nahe anordnen, und einen grossen darüber legen. Ich glaube nicht, das das ein OCR regestrieren könnte, da es eine abstrakte figur ist.

Mann könnte auch nach den Ausbeulungen frage. z.B. wie viele grosse oder kleine Ausbeulungen ein bestimmter kreis hat. z.B. der linke, oder der linke und mittlere. Man hat auf jeden fall schonmal sehr viel mehr möglichkeiten der Fragestellungen.





Was bei einem Forum, in dem ich Admin bin, auch sehr gut geschützt hat, war eine Abgestufte Postingreihenfolge. Der Poster hatte sich vorstellen müssen, in einem Bestimtmen Thread, in einem bestimmten Forum. Sonst konte er keine weiteren Postins schreiben. (was austomatisch geschah, das freischalten auf das gesammte borad.

Diesen Thread zu finden ist nicht einfach, und dank des Posting-Time schutzes des Forums kann er auch keine 20000 Threads pro tag durchcrawln. Das hat schon mal geholfen, das Spammen zu verhinden.



MfG
TPM
_________________
[ WebFBC ][ OPS ][ ToOFlo ][ Wiemann.TV ]

[Muttonhead]

... ich weiss, wenn man keine Ahnung hat, einfach mal die Fresse halten. Öhhm, ich machs trotzdem...

@ThePuppetMaster ... gute Idee. Aber wie sieht die Antwort eines menschlichen Users aus? Es wird eine Zahl sein.
Ich bin kein Psychologe, aber nach mehr als 10 zu suchenden Elementen in deinen Bildern würde ich aussteigen.
Also wird sich die Antwort eines Users im einstelligen Bereich bewegen.
Ein Bot hätte selbst mit Random in diesem Fall immernoch ne gute Chance

aber wie gesagt... ich hab keine Ahnung

Mutton