nicht angemeldet
Captchas
0 0 
Gunnar Bittersmann
0 1 0
Captchas
Hallo Forum,
ich befasse mich gerade damit, das Mail-Formular auf einer Website
gegen Spambots zu schützen. Die Eingaben i.d. Formular werden per
JS geprüft, mit method=post an die Empfängerseite geschickt und da
per php:mail() versand. Nun sieht man ja immer häufiger diese
generierten Zahlen- / Zeichenfolgen (sog. Captchas), die eingegeben
werden müssen. Für ein öffentliches Forum oder ein Weblog mag das
ja ein probates Mittel sein, aber für die Internet-Präsenz einer
Firma finde ich das zweifelhaft.
Was meint Ihr, kann man das vernünftig lösen, ohne den User zu
einer Eingabe eines abgelesenen Textes oder der Beantwortung
einer Frage zu zwingen ?
Danke für eure Meinung und
beste gruesse,
martin
-
Hi martin;
Was meint Ihr, kann man das vernünftig lösen, ohne den User zu
einer Eingabe eines abgelesenen Textes oder der Beantwortung
einer Frage zu zwingen ?Ich kann diese Seite empfehlen:
http://www.1ngo.de/web/captcha-spam.html
Ich schließe mich da auch der Meinung des Autors dieser Seite an.
Ich denke der Tipp mit der Zeit ist der sinvollste durch dieses muster werden glaub die meisten Bots ausgesiebt. Wenn du willst kannst du ja die Zeitramen etwas enger setzen als im Vorschlag.mfg,
haltich -
@@heinetz:
Für ein öffentliches Forum oder ein Weblog mag das ja ein probates Mittel sein
Nö, auch dafür nicht. [Wikipedia: Captcha]
Was meint Ihr, kann man das vernünftig lösen, ohne den User zu einer Eingabe eines abgelesenen Textes oder der Beantwortung einer Frage zu zwingen ?
Ja. Spambots Fallen stellen, bspw. versteckte Formularfelder, in die ein menschlicher Nutzer nichts einträgt, ein Bot aber doch.
Live long and prosper,
Gunnar--
Erwebsregel 208: Manchmal ist das einzige, was gefährlicher als eine Frage ist, eine Antwort. -
hi,
Was meint Ihr, kann man das vernünftig lösen, ohne den User zu
einer Eingabe eines abgelesenen Textes oder der Beantwortung
einer Frage zu zwingen ?Sowas habe ich auch mal umgesetzt mit Hilfe eines Cookie:
- Das Formular muss einmal aufgerufen werden, damit der Cookie gesetzt und eine Sessin servseitig erzeugt wird,
- der POST darf erst nach ein paar Sekunden erfolgen, CountDown per Javscript auf dem Absendebutton, damit der User das auch sieht (!), die Delay-Zeit wird außerdem zufällig erzeugt innerhalb gewisser Grenzen,
- innerhalb einer Session (gültig auch nur in einer Browsersitzung) darf nur ein POST erfolgen.
Das Ganze ist umso wirkungsvoller, wenn in der POST-Response kein Cookie mitgegeben wird, ein Bot, der einfach nur postet, sieht somit nicht, das ein Cookie im Spiel sein muss.
Wer Cookies nicht mag, kann den SessionKey auch URL-encoded im POST-Request mitgeben, das ist jedoch leichter zu knacken (Cookies übrigens auch), das Ganze aus der Sicht des KnackerBots:
- Sessionkey besorgen und DelayZeit in Erfahrung bringen (GET auf Formular),
- POST mit Sessionkey nach Ablauf der DelayZeit.
Die meisten Bots, die mir so untergekommen sind, analysieren ein Formular, wenn dieses auch noch zufällig mit verschiedenen hiddenFields generiert wird, die allesamt irgendeinen wiederum zufälligen Wert haben müssen, der anhand eines SessionKeys serverseitig hinterlegt wird, ist das kaum noch zu knacken.
Viele Grüße,
Hotte-
Mahlzeit ;-)
Mein o.g. Verfahren zur SPAM-Abwehr habe ich beschrieben auf:
http://rolfrost.de/spamprot.htmlmit einer interessanten Alternative zum Cookie, Sichwort: AJAX.
Viel Spaß damit, ich werde dieses Verfahren demnächst testen,
Hotte
-
Was meint Ihr, kann man das vernünftig lösen, ohne den User zu
einer Eingabe eines abgelesenen Textes oder der Beantwortung
einer Frage zu zwingen ?Ich schwöre auf die Methode der Zwangsvorschau mit verstecktem Timestamp:
http://blog.decaf.de/2007/10/spam-kommentarspam-timestamp-stirb-langsamEs ist in >9 Monaten nicht eine einzige automatisierte Spamnachricht durchgegangen.
Grundsätzlich: Ein Formular, das gleich im ersten Schritt abgesendet werden kann, kann ohne Beeinträchtigung des Nutzers kaum spamresistent gemacht werden.
Viele Grüße!
_Dirk--
»Falls man Sie nach der gewünschten Größe Ihres Getränks fragt, sagen Sie nicht "normal". Es gibt fast immer klein, mittel und groß. Das ist ganz normal.«
- Top Fives, Verhalten im Coffee House -
Hallo Forum,
danke für euren Statements. Ich bin auch dazu gekommen,
dass mir der Ansatz unter http://www.1ngo.de/web/captcha-spam.html
ambeste gefällt.beste gruesse,
heinetz