Hello,

Ich denke dass die Spambots (oder was auch immer das ist) einfach die Session auslesen und so auch den Code wissen. Oder sie sind noch raffinierter und können die Zahlen in dem Bild erkennen.

bei einem normal konfigurierten Server besteht für einen externen Nutzer keine Möglichkeit auf die Inhalte einer Session zuzugreifen, ebensowenig wie auf deinen PHP-Code o.ä. Alles was der Client sieht ist das, was du ihm zuschickst. Wenn also dein Code erraten wird ist entweder das Captcha gut lesbar, oder du schreibst die Prüfsumme irgendwo mit raus.

MfG
Rouven

hi,

Es werden 5 zahlen zufällig erzeugt, dann wird damit ein Bild erstelt in dem die Zahlen stehen. Die zahlen werden einzeln in Sessions gespeichert.

Wieso einzeln?

Im Sende-Script meines Formulars wird dann die Variable $code mit den 5 session-werten gefüllt und mit der eingabe $_POST['schutz'] verglichen.

Warum dann nicht gleich die fünf Ziffern in _einer_ Sessionvariablen ablegen?

Das habe ich gestern schnell nach eine riesen Spam-Mail welle eingebaut vor einer Stunde ist es dann wieder los gegangen.
Ich denke dass die Spambots (oder was auch immer das ist) einfach die Session auslesen und so auch den Code wissen.

Das ist eigentlich nicht möglich.
Die in der Session gespeicherten Daten kennt nur der Server (wenn er sie nicht selbst dem Client verrät).

Oder sie sind noch raffinierter und können die Zahlen in dem Bild erkennen.

Möglich, aber eher unwahrscheinlich - Verhältnis Aufwand<->Nutzen zu schlecht.

Was ist der sicherste Schutz - ausser wie jetzt, das Formular auszuschalten?

Diverse Ansätze wurden hier schon ettliche Male diskutiert - befrage mal das Archiv.

Ich habe mir überlegt dass ich den erstellten Code mit md5 verschlüssele und die eingabe danna mit md5 verschlüssele und diese werte vergleiche - dürfte doch sicher sein oder?

Welchen Zusatz an Sicherheit versprichst du dir davon?
Der Client übergibt dir die Ziffernkombi '12345'.
Ob du die serverseitig mit '12345' vergleichst, oder md5('12345') mit md5('12345'), macht absolut Null Unterschied.

gruß,
wahsaga

Moin!

Was ist der sicherste Schutz - ausser wie jetzt, das Formular auszuschalten?

Es gibt diverse alternative Ansätze, die sowohl den User nicht mit solch einer Bilderkennung nerven, als auch die heute existierenden Bots zuverlässig abwehren (was sich aber - wie bei jeder technischen Maßnahme) jederzeit ändern kann.

Ein Ansatz, der auch hier im Forum schon häufiger angeregt und mit Erfolgsmeldung versehen wurde, ist das Erstellen von zusätzlichen Sinnlosfeldern im Formular, welche mittels CSS unsichtbar gemacht werden, und deren Inhalt entweder leer bleiben muß, oder nicht geändert werden darf. Bots neigen dazu, alles, was vom Typ "text" ist, mit ihrem eigenen Inhalt zu füllen, und alles, was vom Typ "hidden" ist, unverändert zu lassen.

Weiterhin scheint es dann und wann zu helfen, die Feldnamen der Formularfelder dynamisch zu generieren.

Wenn man das geschickt kombiniert, könnte sich beispielsweise sowas abspielen: Ein oder mehrere Hidden-Felder mit festem Namen enthalten als Wert die Name-Wert-Kombination von dynamisch benannten und gefüllten anderen Hidden- und Textfeldern.

Das Auswerteskript sucht nach dem Hidden-Feld mit festem Namen, entnimmt daraus die dynamischen Namen und Inhalte und prüft deren Vorhandensein und korrekte Ausfüllung.

- Sven Rautenberg

Hi,

Im Sende-Script meines Formulars wird dann die Variable $code mit den 5 session-werten gefüllt und mit der eingabe $_POST['schutz'] verglichen.

wird $_POST['schutz'] durch eine manuelle Eingabe des "Users" oder durch ein von dir vorbelegtes Hidden Feld gefüllt? Wenn letzteres, ist das etwas witzlos.

Oder sie sind noch raffinierter und können die Zahlen in dem Bild erkennen.

Es gibt einige Tools, die sowas mehr oder weniger gut können (kommt auch sehr auf die Grafik, bzw. die Darstellung des Codes an). Siehe bspw. http://sam.zoy.org/pwntcha/. Aber das ist meist mit dem Verbraten von Rechenzeit verbunden und wird daher nicht wirklich oft gemacht. Die senden halt lieber 10000 Mails als 500 :) Und wenns bei dir nicht mehr klappt, ist der nächste reif. (Schade, dass man diese P****r nicht so einfach bei den E***n packen kann)

Tschau, Stefan