MB: Gästebuch: Automailer + captcha für Sicherheit

Morgen,

ich will ein Gästebuch mit PHP 7 erstellen. Ich möchte ein einfaches captcha mit PHP Grafik erstellen eventuell noch eine Automailer bestätigung.

Frage: Wenn ich eine Automailer zum verifizieren des Eintrages programmiert habebrauch ich doch nicht die captcha funktionalität oder? Oder ist das Dennoch wichtig gegen eventuelle schade Programme?

Begründung: Wenn ich nur ein einfaches captcha programmiere und auf den Automailer verzichte, kann doch ein realer User irgendwelche Hetze in das Gästebuch posten ohne rechtlich zu Verantwortung gezogen zu werden.

grüße MB

  1. Hallo,

    ich will ein Gästebuch mit PHP 7 erstellen. Ich möchte ein einfaches captcha mit PHP Grafik erstellen eventuell noch eine Automailer bestätigung.

    Frage: Wenn ich eine Automailer zum verifizieren des Eintrages programmiert habebrauch ich doch nicht die captcha funktionalität oder? Oder ist das Dennoch wichtig gegen eventuelle schade Programme?

    was genau meinst du mit Automailer? Was genau willst du damit verifizieren und wie genau? Willst du damit feststellen, dass die vom Besucher angegebene e-Mail-Adresse wirklich existiert? Das würde dir so gut wie gar nichts sagen, schließlich kann jemand eine beliebige existierende Mailadresse angeben.

    Begründung: Wenn ich nur ein einfaches captcha programmiere und auf den Automailer verzichte, kann doch ein realer User irgendwelche Hetze in das Gästebuch posten ohne rechtlich zu Verantwortung gezogen zu werden.

    Die Aussage steht und fällt damit, was du unter einem Automailer verstehst. Ich kann mir im Moment nichts darunter vorstellen.

    So long,
     Martin

    --
    Nothing travels faster than the speed of light with the possible exception of bad news, which obeys its own special laws.
    - Douglas Adams, The Hitchhiker's Guide To The Galaxy
    1. nabend Martin,

      was genau meinst du mit Automailer?

      hat schon RolfB beatwortet.

      vlg MB

  2. Hallo MB,

    ich will ein Gästebuch mit PHP 7 erstellen. Ich möchte ein einfaches captcha mit PHP Grafik erstellen eventuell noch eine Automailer bestätigung.

    captchas sind doof.

    Begründung: Wenn ich nur ein einfaches captcha programmiere und auf den Automailer verzichte, kann doch ein realer User irgendwelche Hetze in das Gästebuch posten ohne rechtlich zu Verantwortung gezogen zu werden.

    Du als Betreiber des Gästebuches bist für seine Inhalte verantwortlich.

    Bis demnächst
    Matthias

    --
    Dieses Forum nutzt Markdown. Im Wiki erhalten Sie Hilfe bei der Formatierung Ihrer Beiträge.
  3. Captchas taugen nix. Es gibt mittlerweile Bots, die Captchas besser lösen als viele Menschen. Darum sieht man auch Fotocaptchas, wo man "alle Bilder mit Katzen" oder so aussuchen soll.

    Wenn Du gegen DUMME Script-Kiddies vorgehen willst, reicht eine Checkbox "Ja, ich bin ein Mensch". Du könntest den Submit-Button auch so gestalten, dass es ein Image-Button ist. Dann bekommst Du beim Submit die Klickposition mit schau hier. Wenn Du variable Images nimmst, auf denen eine bestimmte Position geklickt werden muss, kannst Du damit eine Hürde aufrichten (z.B. als Text "Klicken Sie zum Absenden auf das Dreieck". NICHT Rot/Grün verwenden). Allerdings grillt das die Accessibility. Ob Images mit Areamap als Submit funktionieren, müsste jemand anderes beisteuern.

    Wenn Du gegen ernstgemeinte Angriffe vorgehen willst, löst die Hälfte deiner menschlichen Besucher das Captcha nicht mehr.

    Und gegen Inhalte, die strafrechtlich relevant sind oder einfach nur Dir nicht genehm sind hilft ein Captcha eh so viel wie eine Sonnenbrille gegen Regen.

    Wenn Du mit "Automailer" meinst, dass jeder Gästebucheintrag eine Mail auslöst, die einen Bestätigungslink enthält, und nur die Einträge aktiv werden deren Link geklickt wird, dann würde ich die Usability auf einer Skala von 1-10 bei -17 anordnen. Und wenn DANN ein Script-Kiddie loslegt und dich vollspammt, hast Du auf einmal ein Gästebuch voller unbestätigter Einträge und die Datenbank läuft voll. Also - aufpassen auf deine Seite musst Du ohnehin.

    Rolf

    1. nabend Rolf

      Captchas taugen nix.

      Fotocaptchas ok

      Wenn Du gegen DUMME Script-Kiddies vorgehen willst, reicht eine Checkbox "Ja, ich bin ein Mensch".

      Ok

      Und gegen Inhalte, die strafrechtlich relevant sind oder einfach nur Dir nicht genehm sind hilft ein Captcha eh so viel wie eine Sonnenbrille gegen Regen.

      Ich bin im kontrast zu jurastudium. Ich bin Philanthrop und handle manchmal mesathropisch allein zum Schutz!

      Und wenn DANN ein Script-Kiddie loslegt und dich vollspammt, hast Du auf einmal ein Gästebuch voller unbestätigter Einträge und die Datenbank läuft voll.

      Danke für die warnung. wusste ich nicht

      vlg MB

      1. Ich (...) handle manchmal mesathropisch allein zum Schutz!

        Das glaube ich nicht, dass Du zu Deinem Schutz irgendetwas auf einem Tafelberg tust ;-p

        Was bin ich heute wieder für ein Misanthrop...

        1. Hallo RolfB,

          Das glaube ich nicht, dass Du zu Deinem Schutz irgendetwas auf einem Tafelberg tust ;-p

          ??? Das verstehe ich nicht. hab lediglich in der Orthografie gepfuscht :-p. Was hat das mit Tafelberg zutun?

          1. Hallo,

            mesathropisch

            Das glaube ich nicht, dass Du zu Deinem Schutz irgendetwas auf einem Tafelberg tust ;-p

            ??? Das verstehe ich nicht. hab lediglich in der Orthografie gepfuscht :-p.

            ja, aber durch Schreibfehler ergeben sich oft andere Bedeutungen.

            Was hat das mit Tafelberg zutun?

            mesa bedeutet zumindest im Spanischen soviel wie Tafel oder Tisch. Im Lateinischen übrigens ähnlich, nämlich mensa. Das dürfte einem bekannt vorkommen.
            Der zweite Wortteil -thropisch ergibt dann aber keinen Sinn mehr.

            So long,
             Martin

            --
            Nothing travels faster than the speed of light with the possible exception of bad news, which obeys its own special laws.
            - Douglas Adams, The Hitchhiker's Guide To The Galaxy
            1. Hallo,

              mesathropisch

              Das glaube ich nicht, dass Du zu Deinem Schutz irgendetwas auf einem Tafelberg tust ;-p

              ??? Das verstehe ich nicht. hab lediglich in der Orthografie gepfuscht :-p.

              ja, aber durch Schreibfehler ergeben sich oft andere Bedeutungen.

              Was hat das mit Tafelberg zutun?

              mesa bedeutet zumindest im Spanischen soviel wie Tafel oder Tisch. Im Lateinischen übrigens ähnlich, nämlich mensa. Das dürfte einem bekannt vorkommen.

              Wusste ich nicht. Aber da Spanisch ne romansche Sprache ist, ist das nahe liegent. Mensa assoziiere ich mit spachteln :-). Vielen Lieben Dank.

              vlgMB

              1. Nee, thropisch ergibt eigenständig überhaupt keinen Sinn. Wenn man es googelt, findet man das Wort zwar, es scheint aber eher ein Benutzername von irgendwem zu sein. Anthropos = der Mann/Mensch ist hier der griechische Stamm, und Mis-Antropos ist der, der nix von Menschen wissen will.

                Und die Mesa hab ich nur flott gegoogelt und nicht genau hingeguckt. Sonst hätt ich wohl eher auf den Tisch statt auf den Berg angespielt. Mesa=Tafelberg stammt meines Wissens aus den trockenen Gebieten der USA (Quelle)

                War ja auch nur ein Scherz.

                Rolf

                1. Hallo,

                  Und die Mesa hab ich nur flott gegoogelt und nicht genau hingeguckt. Sonst hätt ich wohl eher auf den Tisch statt auf den Berg angespielt. Mesa=Tafelberg stammt meines Wissens aus den trockenen Gebieten der USA (Quelle)

                  genau daher kenne ich den Begriff ursprünglich auch. Von der ersten USA-Reise 1992 ist mir Mesa Verde noch gut in Erinnerung - leider nur namentlich, denn der Nationalpark lag doch so weit im Landesinneren, dass das für uns mit Start- und Zielpunkt Los Angeles zu weit abseits war. Wir haben damals die südliche Hälfte Kaliforniens, ein bisschen Nevada und einige Ecken in Utah und Arizona erlebt. Traumhaft schön war's ...

                  Aber wegen der Ähnlichkeit zum lateinischen mensa habe ich dann irgendwann doch mal die ursprüngliche Bedeutung nachgeschlagen, und das hat mich überzeugt.

                  War ja auch nur ein Scherz.

                  Eben. Aber man weiß halt nie, wie so ein Scherz dann wirklich ankommt.

                  So long,
                   Martin

                  --
                  Nothing travels faster than the speed of light with the possible exception of bad news, which obeys its own special laws.
                  - Douglas Adams, The Hitchhiker's Guide To The Galaxy
                2. Hallo RolfB

                  War ja auch nur ein Scherz.

                  So habe ich es auch verstanden ;-) mir war aber nicht ganz klar wo der Scherz lag deswegen habe ich gefragt. hab eben ne lange leitung, typisch für meinen schlag.

                  vlg MB

    2. Hallo Rolf,

      Wenn Du mit "Automailer" meinst, dass jeder Gästebucheintrag eine Mail auslöst, die einen Bestätigungslink enthält, und nur die Einträge aktiv werden deren Link geklickt wird, dann würde ich die Usability auf einer Skala von 1-10 bei -17 anordnen.

      Um die Usability mache ich mir hier dann noch die geringsten Sorgen. Das lädt doch geradezu dazu ein, dass zum Spam versenden zu missbrauchen. „Ich kann eine E-Mail und einen Text eingeben - klasse! Dann sage ich meinem Bot, dass er hier die Mail einträgt und dort den Text und fertig ist die Laube!”

      LG,
      CK

      1. sehe ich ganz genau so, jedoch fehlt mir die erfahrung in jeglichem Bereich. MB

  4. Wenn ich eine Automailer zum Verifizieren des Eintrages programmiert habe, brauche ich doch nicht die Captcha-Funktionalität, oder?

    Geht die Mail an dich: Nein, da dir jeder Eintrag zur Freigabe vorgelegt wird, hast du die vollständige Inhaltskontrolle und bräuchtest kein Captcha.

    Geht die Mail an den Eintragenden: Die Mail ist sowieso bestenfalls nutzlos und in den meisten Fällen schädlich. So gut wie niemand möchte seine E-Mail-Adresse in einem Gästebuch hinterlassen und noch weniger möchten die eh schon unerwünschte Adressangabe noch extra bestätigen müssen.
    Mit so einer Aktion erreichst du nur eines: Es trägt sich keiner ins Gästebuch ein.

    Oder ist das Dennoch wichtig gegen eventuelle schade Programme?

    So manche Programme sind schon schade, aber das hat mit deinem Gästebuch nichts zu tun. Gegen Schadprogramme hingegen sollte dein Gästebuch so oder so gewappnet sein. Insbesondere dienen Captchas nicht der Sicherung gegen Schadprogramme, sondern sollen einzig automatisierte Werbeeinträge verhindern. In aller Deutlichkeit: Captchas sind keine Sicherheitseinrichtungen! In keinster Weise!

    Wenn ich nur ein einfaches Captcha programmiere

    Ich weiss nicht, was du unter "einfache Captchas" verstehst, aber falls das Grafiken mit irgendwelchen Texten sind: Die wurden schon vor zehn Jahren automatisiert überwunden. Für den Eigenbau bist du da etwas sehr spät dran.

    Die billigste Methode gegen Werbemüll in Gästebuch oder Kontaktformular ist meines Erachtens schlicht, die betreffende Seite mit einem entsprechenden robots.txt-Eintrag nicht von Suchmaschinen indizieren zu lassen. Auf dem Wege werden die nämlich erst von Spammern gefunden.

    kann doch ein realer User irgendwelche Hetze in das Gästebuch posten ohne rechtlich zu Verantwortung gezogen zu werden.

    Erstmal stehst sowieso du als Seitenbetreiber in der Verantwortung; entfernst du illegale Einträge nicht spätestens nach Hinweis, stehst du selbst vor dem Kadi.

    Zweitens zwingt dich niemand, persönliche Daten für eine Strafverfolung zu erheben; du hast, ganz im Gegenteil, eigentlich die Pflicht, so wenig persönliche Daten wie möglich abzugreifen. Mir käme es auch reichlich schräg vor, würde jemand glauben, sich in seinem Gästebuch als Hilfspolizist und Blockwart betätigen zu müssen, immer auf der Lauer, wen er verpfeifen kann.
    Gästebücher sind für nette Kommentare gedacht und genau das ist es, was ich als Gästebuchanbieter erwarten würde. Falls du hingegen Volksverhetzung und dergleichen erwartest, solltest du besser gar kein Gästebuch einrichten. Das ist den Ärger schlicht nicht wert.

    Drittens ist eine E-Mail-Adresse eh wertlos, denn wer es darauf anlegt, hat innerhalb von höchstens fünf Minuten eine anonyme angelegt.

    1. nabend,

      Wenn ich nur ein einfaches Captcha programmiere

      Ich weiss nicht, was du unter "einfache Captchas" verstehst, aber falls das Grafiken mit irgendwelchen Texten sind:

      Das verstehe ich darunter

      Die wurden schon vor zehn Jahren automatisiert überwunden. Für den Eigenbau bist du da etwas sehr spät dran.

      Wo erfährt man sowas???

      Die billigste Methode gegen Werbemüll in Gästebuch oder Kontaktformular ist meines Erachtens schlicht, die betreffende Seite mit einem entsprechenden robots.txt-Eintrag nicht von Suchmaschinen indizieren zu lassen. Auf dem Wege werden die nämlich erst von Spammern gefunden.

      Danke für die info.

      kann doch ein realer User irgendwelche Hetze in das Gästebuch posten ohne rechtlich zu Verantwortung gezogen zu werden.

      Erstmal stehst sowieso du als Seitenbetreiber in der Verantwortung; entfernst du illegale Einträge nicht spätestens nach Hinweis, stehst du selbst vor dem Kadi.

      Danke für die Hinweis. Meine Gründe warum ich fragte habe ich Rolf kurz und bündig erklärt

      Zweitens zwingt dich niemand, persönliche Daten für eine Strafverfolung zu erheben; du hast, ganz im Gegenteil, eigentlich die Pflicht, so wenig persönliche Daten wie möglich abzugreifen. Mir käme es auch reichlich schräg vor, würde jemand glauben, sich in seinem Gästebuch als Hilfspolizist und Blockwart betätigen zu müssen, immer auf der Lauer, wen er verpfeifen kann.

      Soll ich n Impressum anfertigen lassen???

      Gästebücher sind für nette Kommentare gedacht und genau das ist es, was ich als Gästebuchanbieter erwarten würde. Falls du hingegen Volksverhetzung und dergleichen erwartest, solltest du besser gar kein Gästebuch einrichten. Das ist den Ärger schlicht nicht wert.

      Nur n weitees Projekt Mehr nich

      vlg MB

      1. Hallo MB,

        Soll ich n Impressum anfertigen lassen???

        Nur n weitees Projekt Mehr nich

        Informiere dich über die Impressumspflicht.

        Bis demnächst
        Matthias

        --
        Dieses Forum nutzt Markdown. Im Wiki erhalten Sie Hilfe bei der Formatierung Ihrer Beiträge.
      2. Ich weiss nicht, was du unter "einfache Captchas" verstehst, aber falls das Grafiken mit irgendwelchen Texten sind:

        Die wurden schon vor zehn Jahren automatisiert überwunden. Für den Eigenbau bist du da etwas sehr spät dran.

        Wo erfährt man sowas???

        Das läuft einem in zehn Jahren so über den Weg.

        Das Projekt, das ich im Sinn hatte, nennt sich PWNtcha. Die Originalseite ist derzeit nicht erreichbar, es gibt aber Archiv-Kopien unter https://web.archive.org/web/20160118221401/http://caca.zoy.org/wiki/PWNtcha – die lange Liste an Captchas, die von der Software gelöst werden kann, ist mindestens neun Jahre alt und der Autor schrieb in der Einleitung, dass er zu dem damaligen Zeitpunkt schon drei Jahre hinterherhängen täte.

        Etwas weiter unten findet sich eine weitere nennenswerte Notiz: Die als gut bezeichneten Captchas sind teilweise nicht mehr von Menschen zu lösen.

        Kurzum: Den ganzen Textbilder-Captcha-Kram kann man in die Tonne treten. Entweder sind sie von Programmen lösbar oder man vergrault die Kundschaft.

        Die banalsten Mechanismen reichen davon abgesehen oftmals schon gegen Spamautomaten aus, sofern sie individuell angelegt werden – die Frage "Welche Farbe hat Milch?" kann kein Automat beantworten, sofern er nicht speziell für die betreffende Seite angepasst wurde.

        Nichtsdestotrotz sollte auch sowas erst dann eingebaut werden, wenn es tatsächlich nötig wird, weil die Spamflut überhand nimmt. Ich kenne jedenfalls keinen Laden, in dem mir der Verkäufer vor der Beratung erstmal ein Schild vor die Nase hält, "Bitte lesen sie mir das vor!"

        1. Hallo Buddelflasch Tragehaus,

          Kurzum: Den ganzen Textbilder-Captcha-Kram kann man in die Tonne treten. Entweder sind sie von Programmen lösbar oder man vergrault die Kundschaft.

          Nicht etweder … oder 😆

          Bis demnächst
          Matthias

          --
          Dieses Forum nutzt Markdown. Im Wiki erhalten Sie Hilfe bei der Formatierung Ihrer Beiträge.
          1. Interessanter Gendanke. Werde mich informieren. Ich denke des ist dennoch sinvoll eine kleine Hürde zu verwenden um spams zu vereiteln.

            gruß MB

            PS: Mein Beitrag von 17.09.2016 15:26 Bitte löschen. Hab mich verklickt

        2. Hallo Buddelflasch Tragehaus,

          Kurzum: Den ganzen Textbilder-Captcha-Kram kann man in die Tonne treten. Entweder sind sie von Programmen lösbar oder man vergrault die Kundschaft.

          Grade eben aktuell: Amazon-Partnerprogramm

          ab457f

          Amazon so: Geben Sie die Buchstaben aus der Grafik ein.
          Ich so: abf

          War natürlich prompt falsch.

          Bis demnächst
          Matthias

          --
          Dieses Forum nutzt Markdown. Im Wiki erhalten Sie Hilfe bei der Formatierung Ihrer Beiträge.
    2. Hallo Buddelflasch,

      In aller Deutlichkeit: Captchas sind keine Sicherheitseinrichtungen! In keinster Weise!

      Danke. Es brannte mir in den Fingern das klarzustellen, aber zum Glück hab ichs ausgehalten und zuerst zuende gelesen ;-)

      LG,
      CK

    3. Hallo,

      Captchas sind keine Sicherheitseinrichtungen! In keinster Weise!

      kein, keiner, am keinsten? Ich glaube, in diesem Zusammenhang kann man den nichtexistenten Superlativ mal gelten lassen ;)

      Gruß
      Kalk