Linuchs: Registrierung gegen MIssbrauch aufrüsten

0 52

Registrierung gegen MIssbrauch aufrüsten

Linuchs
  • meinung
  1. 0
    Robert B.
    • meinung
    • sicherheit
  2. 3
    Auge
  3. 1
    Rolf B
    1. 0
      Auge
      1. 0

        „Lust“ am Formular-Missbrauch

        Raketenwilli
    2. 1
      Gunnar Bittersmann
      1. 0
        JürgenB
        • humor
        • meinung
        1. 0
          Rod
      2. 0
        Tabellenkalk
        1. 0
          Gunnar Bittersmann
          1. 0
            Robert B.
            • sprache
            • typografie
            1. 0
              Auge
              1. 0
                Der Martin
                1. 0
                  Robert B.
                2. 0
                  Gunnar Bittersmann
                  • css
                  • typografie
              2. 0
                Gunnar Bittersmann
                • html
                • sprache
                • typografie
              3. 0
                Robert B.
                • latex
                • sprache
                • typografie
            2. 0
              Tabellenkalk
              1. 0
                Rolf B
              2. 0
                Robert B.
                • typografie
      3. 0
        Der Martin
        • meinung
        • sprache
        1. 0
          Robert B.
          • offtopic
          • sprache
          1. 0
            Der Martin
            1. 0
              Linuchs
              1. 0
                Der Martin
                1. 0
                  Rolf B
                  1. 0
                    Der Martin
                    1. 0
                      Gunnar Bittersmann
              2. 0
                Robert B.
          2. 0
            Rolf B
            1. 0
              Der Martin
              1. 0
                Rolf B
                1. 0
                  Der Martin
              2. 0
                Samuel fiedler
                1. 0
                  Der Martin
                  1. 0
                    Auge
                    • browser
                    • offtopic
                    • sprache
                    1. 0
                      Samuel fiedler
                      1. 0
                        Der Martin
            2. 0
              Robert B.
        2. 0
          Gunnar Bittersmann
  4. 0
    Raketenwilli
  5. 0

    Grund der Attacke

    Linuchs
    1. 0
      Rolf B
    2. 0
      Auge
    3. 0

      Grund der Attacke - Na?

      Raketenwilli
      1. 0
        Rolf B
        1. 0
          Gunnar Bittersmann
          • musik
  6. 0
    Der Martin
    • lesen
  7. 0

    Captcha für Blinde?

    Linuchs
    1. 0
      Gunnar Bittersmann
    2. 0
      Raketenwilli

Moin,

wenn sich jemand für meinen Veranstaltungskalender registriert, wird ihm eine Bestätigungs-Mail geschickt mit Kopie an mich.

In den letzten Wochen kommt da immer wieder Blödsinn rein wie sowas:

Wer macht sich die Mühe und warum? Die Uhrzeiten sind deutlich unterschiedlich, es könnte also von Hand eingegeben worden sein. Die Freischalt-Mail kommt nicht, damit kann sich der Spaßvogel nicht anmelden.

Hab die Registrierung erstmal vom Netz genommen und brauche ein neues Konzept.

Der Sinn ist ja, dass die Person anschließend Termine eingeben, wieder aufrufen und ändern / löschen kann. Da kommt natürlich beim Missbrauch nichts.

Sollte ich vor der Registrierung die Eingabe eines Termins verlangen? Dann hat die Registrierung zwei Schritte und ist für Spaßvögel lästiger.

fragt Linuchs

  1. Moin Linuchs,

    wenn sich jemand für meinen Veranstaltungskalender registriert, wird ihm eine Bestätigungs-Mail geschickt mit Kopie an mich.

    In den letzten Wochen kommt da immer wieder Blödsinn rein wie sowas:

    Wer macht sich die Mühe und warum?

    Vermutlich hat sich da jemand einmal die Mühe gemacht ein Script zu schreiben und lässt das jetzt auf verschiedene Webseiten los.

    Die Uhrzeiten sind deutlich unterschiedlich, es könnte also von Hand eingegeben worden sein.

    Das kann auch andere Gründe haben, zum Beispiel andere Zeitzone der Spaßvögel, Streuung der Zugriffe um weniger aufzufallen, …

    Die Freischalt-Mail kommt nicht, damit kann sich der Spaßvogel nicht anmelden.

    Was heißt „kommt nicht“?

    Hab die Registrierung erstmal vom Netz genommen und brauche ein neues Konzept.

    Der Sinn ist ja, dass die Person anschließend Termine eingeben, wieder aufrufen und ändern / löschen kann. Da kommt natürlich beim Missbrauch nichts.

    Klingt nach vielen ungenutzten Datensätzen. Wenn du die Anmeldezeit hast, definiere eine Zeitspanne, bis zu der ein erster Login erfolgt sein muss, ansonsten wird der Account automatisch wieder gelöscht.

    Sollte ich vor der Registrierung die Eingabe eines Termins verlangen? Dann hat die Registrierung zwei Schritte und ist für Spaßvögel lästiger.

    Ist die Hauptidee der Registrierung Termine anzulegen? Dann wäre das ein Ansatz, mit dem dein Formular für viele Spammer vielleicht „zu ungewöhnlich“ würde. Wenn man sich auch ohne Termin registrieren lassen können soll, dann funktioniert das natürlich nicht.

    Viele Grüße
    Robert

  2. Hallo

    wenn sich jemand für meinen Veranstaltungskalender registriert, wird ihm eine Bestätigungs-Mail geschickt mit Kopie an mich.

    In den letzten Wochen kommt da immer wieder Blödsinn rein wie sowas:

    Wer macht sich die Mühe und warum? Die Uhrzeiten sind deutlich unterschiedlich, es könnte also von Hand eingegeben worden sein.

    Wahrscheinlich ist oder sind es Robots und keine manuellen Registrierungen.

    Die Freischalt-Mail kommt nicht, damit kann sich der Spaßvogel nicht anmelden.

    Das liest du aber aus anderen Informationen als denen, die du hier präsentierst ab, oder? Du siehst vermutlich kryptische E-Mail-Adressen und bekommst wohl auch die Rückmeldungen der E-Mail-Provider über die Unzustellbarkeit der Registrierungs-E-Mails.

    Hab die Registrierung erstmal vom Netz genommen und brauche ein neues Konzept.

    Der Sinn ist ja, dass die Person anschließend Termine eingeben, wieder aufrufen und ändern / löschen kann. Da kommt natürlich beim Missbrauch nichts.

    Sollte ich vor der Registrierung die Eingabe eines Termins verlangen? Dann hat die Registrierung zwei Schritte und ist für Spaßvögel lästiger.

    Die Registrierung selbst kostet die Spaßvögel selbst so gut wie nichts. [edit] Für alle anderen wirkt ein solcher Registrierungsprozess eventuell unnötig unübersichtlich. [/edit] Wenn du Pech hast, hast du mit diesem Vorgehen aber Spam als angeblich Termine von Unregistrierten, mit denen du in deinem Kalender nichts anfangen kannst, die du mit einem weiteren, eventuell manuellen Mechanismus wieder bereinigen musst und die deinem „echten“ Publikum die Benutzung deines Kalenders vermiesen.

    Dein bisheriges Konzept, die Registrierung durch eine Bestätigungs-E-Mail verifizieren zu lassen, ist schon das Richtige. Damit sonderst du genau die Registrierungsversuche aus, bei denen gefakte E-Mail-Adressen benutzt werden. Der Mechanismus versieht also klaglos seinen Dienst. Registrierungen mit nicht existenten E-Mail-Adressen können nicht verifiziert werden und können nach der für die Verifizierung angesetzten Wartezeit gelöscht werden.

    Was dir offensichtlich auf die Nerven geht, sind die Kopien der Registierungs-E-Mails in deinem Postfach. Entweder du lernst damit umzugehen, dass sie in unerwünschter Häufigkeit aufschlagen und erkennbar Fake sind oder du deaktivierst die Versendung einer Kopie an dich. Davon ausgehend, dass Accounts mit Fake-E-Mail-Adressen wegen der fehlenden Verifizierung nie aktiviert werden können, brauchst du dir darum eigentlich keinerlei Gedanken machen.

    Wenn du benachrichtigt werden willst, wenn sich jemand registriert hat, ist eine Benachrichtigung nach der Verifizierung der Registrierung wohl der bessere Ansatz. Die Fake-Registrierungen fallen damit berechtigt durchs Aufmerksamkeitsraster und du kannst wirklich erfolgreich erfolgte Registrierungen auf was auch immer prüfen.

    Tschö, Auge

    --
    200 ist das neue 35.
  3. Hallo Linuchs,

    die Frage ist, ob da jemand mit der Hand am Arm sitzt und das eingibt, oder irgendein Bot. Manuelle Scherzregistrierungen dürften auf remso.eu eher unwahrscheinlich sein. Weshalb sollte das jemand tun.

    Gegen einen Bot kannst Du Dich - in Grenzen - verteidigen, indem Du auf der Registrierseite ein CSRF-Token hinzufügst (Cross Site Request Forgery).

    Dazu braucht das Registrierformular ein hidden input Feld, in dem der Server beim Abruf des Formulars einen zufälligen Wert einträgt. Dieser Wert wird ebenfalls in der Session gespeichert. Kommt nun der POST Request, vergleichst Du das gesendete mit dem gespeicherten Token. Stimmt es nicht überein, ignorierst Du die Registrierung.

    Natürlich kann ein Bot, der sein Salz wert ist, ein CSRF-Token erkennen und mitsenden. Solche Viecher agieren gerne mal hier im Forum und posten dann auf italienisch Werbung für Hochzeitsmode, oder ähnliches. Das braucht dann aber eben einen etwas aufwändigeren Bot.

    Du kannst das CSRF Token noch durch eine Aufgabe ergänzen, die vom Registranten zu lösen ist und die Du so formulierst, dass ein Bot damit Probleme hat.

    Wenn Du hier ein paar unterschiedliche Rätsel vorsiehst, muss der Bot-Papa schon sehr hinter Dir her sein, um seinen Bot darauf anzupassen.

    Deine Idee, die Registrierung an einen Termin zu knüpfen, ist ebenfalls sinnvoll. Ich würde es aber für einfacher halten, auf der Registrierseite den Hinweis zu schalten, dass Benutzerkonten, für die kein Termin veröffentlich wird, binnen kurzer Zeit automagisch gelöscht werden und man sich deshalb nur registrieren solle, wenn man auch einen Termin einstellen möchte. Ich denke, das kannst Du relativ problemfrei scripten. Das kann man für einen Monat oder so auch per SQL Statement manuell machen, und ggf. hat der Spaßvogel dann ja schon die Lust verloren.

    Rolf

    --
    sumpsi - posui - obstruxi
    1. Hallo

      Gegen einen Bot kannst Du Dich - in Grenzen - verteidigen, indem Du auf der Registrierseite ein CSRF-Token hinzufügst (Cross Site Request Forgery).

      Ja, +1.

      Du kannst das CSRF Token noch durch eine Aufgabe ergänzen, die vom Registranten zu lösen ist und die Du so formulierst, dass ein Bot damit Probleme hat.

      Nein, -1. Das ist nichts anderes als ein nichtgraphisches Captcha. MMn ist das keine gute Idee.

      Deine Idee, die Registrierung an einen Termin zu knüpfen, ist ebenfalls sinnvoll.

      Das halte ich nicht für sinnvoll, jedenfalls nicht in der von Linuchs angedachten Art.

      Ich würde es aber für einfacher halten, auf der Registrierseite den Hinweis zu schalten, dass Benutzerkonten, für die kein Termin veröffentlich wird, binnen kurzer Zeit automagisch gelöscht werden und man sich deshalb nur registrieren solle, wenn man auch einen Termin einstellen möchte.

      Auf diese Art ergibt das Vorgehen wiederum Sinn. Wer nicht binnen X Tagen nach der Registrierung einen Termin einträgt, obwohl sie/er „vorgewarnt“ wurde, hat sich mutmaßlich nicht in ernsthafter Absicht registriert. Also: ja, +1.

      … ggf. hat der Spaßvogel dann ja schon die Lust verloren.

      Da das mit großer Wahrscheinlichkeit Skripte sind, ist „Lust“ wohl kein anwendbarer Maßstab.

        0
      + 1
      - 1
      + 1
      ---
        1
      ===
      

      Tschö, Auge

      --
      200 ist das neue 35.
      1. … ggf. hat der Spaßvogel dann ja schon die Lust verloren.

        Da das mit großer Wahrscheinlichkeit Skripte sind, ist „Lust“ wohl kein anwendbarer Maßstab.

        Leitsatz:

        • Auch der Skriptprogrammierer(in) muss „Lust“ haben. Der Antrieb muss also den Widerstand überragen.

        Und da haben wir folgende Fälle zu unterscheiden:

        1. Er, Sie oder Es will unserem Linuchs persönlich „ans Leder“ oder hat „sportliche“ Motive.

        2. Er, Sie oder Es verfolgt die Absicht, einen wirtschaftlichen Vorteil zu erlangen.

        • Im ersten Fall dürfte die Verhinderung so schwierig werden, dass diese die Benutzbarkeit der Webseite zu stark beeinträchtigt. Der, die oder das Missbraucher(in) wendet quasi unbegrenzte Mittel auf.

        • Im zweiten Fall hilft das „Emmerdieren“. Wird der Angriff zu komplex und damit zu teuer wendet sich der/die/das Angreifer(in) billiger zu „knackenden“ Opfern zu statt (in Programmierung und Ausführung „teuer“) noch ein paar mehr if, else, case oder for zu notieren oder sich bei Google, Amazon oder Facebook „KI“ via API zu kaufen. Und da in jedem Zug ein Doofer oder eine Doofe oder etwas Doofes sitzt und solche jeden Tag millionenfach geboren werden hat er, sie oder es - wie er, sie oder es genau weiß - damit quantitativ häufiger Erfolg, als wenn (wie im Fall 1) versucht würde bei jedem einzelnen Formular erfolgreich zu sein.

    2. @@Rolf B

      … noch durch eine Aufgabe ergänzen, die vom Registranten zu lösen ist und die Du so formulierst, dass ein Bot damit Probleme hat. […]

      • "Wie viele Doppelbuchstaben enthält der Straßenname Nizzaallee?"

      Ein hervorragendes Beispiel, dass man genau das, was du vorschlägst, nicht tun sollte, weil auch Menschen damit Probleme haben.

      Was, wenn ich die richtige Antwort „3“[1] eingebe und damit nicht weiterkomme? Dann hab ich zu der Website nur noch eine Frage: WTF?

      🖖 Живіть довго і процвітайте

      --
      When the power of love overcomes the love of power the world will know peace.
      — Jimi Hendrix

      1. aa ist in dem zusammengesetzen Wort kein Doppelbuchstabe, sondern das Zusammentreffen zweier a an der Wortfuge. ↩︎

      1. Hallo Gunnar,

        Ein hervorragendes Beispiel, dass man genau das, was du vorschlägst, nicht tun sollte, weil auch Menschen damit Probleme haben.

        genau, hier gehört etwas Zielgruppenorientiertes hin, z.B. das Anstimmen des Kammertons A und anschließende Frequenzmessung. 😎

        Gruß
        Jürgen

        1. genau, hier gehört etwas Zielgruppenorientiertes hin, z.B. das Anstimmen des Kammertons A und anschließende Frequenzmessung. 😎

          👍😂

      2. Hallo,

        aa ist in dem zusammengesetzen Wort kein Doppelbuchstabe, sondern das Zusammentreffen zweier a an der Wortfuge.

        Das Zusammentreffen zwei gleicher Buchstaben in einem (zusammengesetzten) Wort bildet dann was?

        Ich habe grad mal nachgeschlagen, wie Doppelbuchstabe definiert wird. Erstaunlicherweise kennen weder Duden.de noch Wikipedia diesen Begriff. Also ist das kein Fachbegriff, sondern einfach ein Kompositum, gebildet aus „Doppel“ und „Buchstabe“. „Doppelbuchstabe“ bedeutet hier also zwei gleiche Buchstaben direkt nebeneinander, die Wortfuge verhindert das Nebeneinander überhaupt nicht.

        Gruß
        Kalk

        1. @@Tabellenkalk

          Ich habe grad mal nachgeschlagen, wie Doppelbuchstabe definiert wird. Erstaunlicherweise kennen weder Duden.de noch Wikipedia diesen Begriff.

          Genau das ist der Punkt. Es mag verschiedene Definitionen geben. Und je nachdem, welche man zugrundelegt, kommt man zu verschiedenen Antworten. Wenn der Ersteller des CAPTCHAs das nicht bedacht hat, vergrault er die einen oder die anderen.

          Zusätzlich zu denen, die er vorher schon vergrault hat, weil er überhaupt ein CAPTCHA einsetzt.

          „Doppelbuchstabe“ bedeutet hier also zwei gleiche Buchstaben direkt nebeneinander, die Wortfuge verhindert das Nebeneinander überhaupt nicht.

          Es gibt eng nebeneinander und nicht so eng nebeneinander. Die beiden f in Kaffee sind eng nebeneinander; die beiden f in auf⁠fällig sind es nicht. ☞ Wortfuge

          🖖 Живіть довго і процвітайте

          --
          When the power of love overcomes the love of power the world will know peace.
          — Jimi Hendrix
          1. Moin Gunnar

            „Doppelbuchstabe“ bedeutet hier also zwei gleiche Buchstaben direkt nebeneinander, die Wortfuge verhindert das Nebeneinander überhaupt nicht.

            Es gibt eng nebeneinander und nicht so eng nebeneinander. Die beiden f in Kaffee sind eng nebeneinander; die beiden f in auf⁠fällig sind es nicht. ☞ Wortfuge

            LaTeX scheint diesen Unterschied nicht zu kennen:

            \usepackage[german]{babel}
            
            \begin{document}
            auffälliger Kaffee
            
            auf\-fälliger Kaffee
            \end{document}
            

            Die Ligaturen macht LaTeX wohl „aus dem ff“ – mit einem Trennvorschlag kann ich das nur ändern (ist eine skalierbare Vektorgrafik):

            "auffälliger Kaffee" mit und ohne Ligaturen

            Viele Grüße
            Robert

            1. Hallo

              … Wortfuge

              LaTeX scheint diesen Unterschied nicht zu kennen:

              \usepackage[german]{babel}
              
              \begin{document}
              auffälliger Kaffee
              
              auf\-fälliger Kaffee
              \end{document}
              

              Die Ligaturen macht LaTeX wohl „aus dem ff

              Nun ja, kennt LaTeX sämtliche Regeln der deutschen Sprache und alle Zusammensetzungen, die solche Pseudodoppelbuchstaben enthalten? Sprich: kann man von einem solchen System erwarten, dass es Doppelbuchstaben von zufällig nebeneinander stehenden zwei gleichen Einzelbuchstaben unterscheiden kann?

              mit einem Trennvorschlag kann ich das nur ändern (ist eine skalierbare Vektorgrafik):

              Wegen Verständnisschwierigkeit: du meinst „nur mit einem Trennvorschlag kann ich das ändern“?

              Wegen LaTeX' mutmaßlicher Unkenntnis der Grammatikregeln der deutschen Sprache ist die manuelle Vorgabe der virtuellen Trennung wohl der einzig sinnvolle Weg, so etwas anzugeben. In HTML muss man, speziell in der deutschen Sprache mit seinen Komposita, in Sachen Trennung ja auch gelegentlich nachhelfen, damit eine Trennung nicht an einer ungünstigen Stelle erfolgt. Das ist zwar ein anderes, mMn aber vergleichbares Szenario.

              Tschö, Auge

              --
              200 ist das neue 35.
              1. Hi,

                mit einem Trennvorschlag kann ich das nur ändern (ist eine skalierbare Vektorgrafik):

                Wegen Verständnisschwierigkeit: du meinst „nur mit einem Trennvorschlag kann ich das ändern“?

                so hätte ich das auch verstanden.

                Wegen LaTeX' mutmaßlicher Unkenntnis der Grammatikregeln der deutschen Sprache ist die manuelle Vorgabe der virtuellen Trennung wohl der einzig sinnvolle Weg, so etwas anzugeben. In HTML muss man, speziell in der deutschen Sprache mit seinen Komposita, in Sachen Trennung ja auch gelegentlich nachhelfen, damit eine Trennung nicht an einer ungünstigen Stelle erfolgt.

                Das kenne ich entsprechend auch von Textverarbeitungen. Automatische Silbentrennung mag ich nicht, die trennt mir tendentiell zu viel (auch wenn man das in Grenzen justieren kann). Also schalte ich die ab und setze nur bei auffällig langen Wörtern bedingte Trennstellen.

                Einen schönen Tag noch
                 Martin

                --
                Deutschland: Das Land der Dichter und Denker, Richter und Henker.
                1. Moin Martin,

                  Das kenne ich entsprechend auch von Textverarbeitungen. Automatische Silbentrennung mag ich nicht, die trennt mir tendentiell zu viel (auch wenn man das in Grenzen justieren kann). Also schalte ich die ab und setze nur bei auffällig langen Wörtern bedingte Trennstellen.

                  deshalb verwende ich tatsächlich LaTeX für vieles, weil dessen Ansatz mit den Strafpunkten relativ gut funktioniert. Nur bei meinen wissenschaftlichen Arbeiten musste ich öfter mal mit \- Hinweise geben, weil Fachbegriffe aus der Oberflächenphysik nicht per Default in der Silbentrennung enthalten sind 😉

                  Viele Grüße
                  Robert

                2. @@Der Martin

                  Automatische Silbentrennung mag ich nicht, die trennt mir tendentiell zu viel (auch wenn man das in Grenzen justieren kann).

                  Demnächst™ in Ihrem Browser: CSS-TEXT-4 §5.4.3 ff.

                  🖖 Живіть довго і процвітайте

                  --
                  When the power of love overcomes the love of power the world will know peace.
                  — Jimi Hendrix
              2. @@Auge

                Wegen LaTeX' mutmaßlicher Unkenntnis der Grammatikregeln der deutschen Sprache ist die manuelle Vorgabe der virtuellen Trennung wohl der einzig sinnvolle Weg, so etwas anzugeben. In HTML muss man, speziell in der deutschen Sprache mit seinen Komposita, in Sachen Trennung ja auch gelegentlich nachhelfen, damit eine Trennung nicht an einer ungünstigen Stelle erfolgt. Das ist zwar ein anderes, mMn aber vergleichbares Szenario.

                ­ (U+00AD) verhindert in Browsern nicht, dass Ligaturen über Wortfugen gesetzt werden.

                ‌ (U+200C) tut dies, verhindert aber auch automatische Silbentrennung an der Stelle.

                Man braucht beides: ‌­ – siehe Folie 11 und Codepen.

                🖖 Живіть довго і процвітайте

                --
                When the power of love overcomes the love of power the world will know peace.
                — Jimi Hendrix
              3. Moin Auge,

                Nun ja, kennt LaTeX sämtliche Regeln der deutschen Sprache und alle Zusammensetzungen, die solche Pseudodoppelbuchstaben enthalten? Sprich: kann man von einem solchen System erwarten, dass es Doppelbuchstaben von zufällig nebeneinander stehenden zwei gleichen Einzelbuchstaben unterscheiden kann?

                LaTeX kennt viele Regeln der Sprachen, z.B. für die Silbentrennung. Aber die sind natürlich nicht vollständig (dürfte auf Grund von Neologismen und der komplizierten Grammatik auch unmöglich sein). Laut Wikipedia liegt die Verantwortung zur Ligatur aber auch beim Setzer.

                Das dort gezeigte Beispiel mit "| erzeugt übrigens einen noch „auf-fälligeren“Abstand zwischen den beiden f:

                "auffälliger Kaffee" mit Ligatur und mit verschiedenen Abständen ohne

                mit einem Trennvorschlag kann ich das nur ändern (ist eine skalierbare Vektorgrafik):

                Wegen Verständnisschwierigkeit: du meinst „nur mit einem Trennvorschlag kann ich das ändern“?

                Ja.

                Viele Grüße
                Robert

            2. Hallo,

              auffälliger Kaffee

              was macht eigentlich das f so besonders, dass es als Zwilling nach Lig(at)urien darf, das l und e aber nicht?

              Gruß
              Kalk

              1. Hallo Tabellenkalk,

                der Kranausleger oben rechts.

                https://de.wikipedia.org/wiki/Ligatur_(Typografie)#Bleisatz

                Rolf

                --
                sumpsi - posui - obstruxi
              2. Moin Kalk,

                auffälliger Kaffee

                was macht eigentlich das f so besonders, dass es als Zwilling nach Lig(at)urien darf, das l und e aber nicht?

                meinst du ll und ee? Dazu hat Rolf die Antwort. Aber zumindest fl dürfen noch Ligaturien.

                Viele Grüße
                Robert

      3. Hallo Gunnar,

        • "Wie viele Doppelbuchstaben enthält der Straßenname Nizzaallee?"

        Was, wenn ich die richtige Antwort „3“[1] eingebe und damit nicht weiterkomme?

        genau so hatte ich auch gezählt.
        Ebenso wie auch die zwei k in Besteckkasten kein Doppelbuchstabe sind.

        Zwei Betten, die zufällig nebeneinander stehen, sind ja auch noch kein Doppelbett.

        Einen schönen Tag noch
         Martin

        --
        Deutschland: Das Land der Dichter und Denker, Richter und Henker.

        1. aa ist in dem zusammengesetzen Wort kein Doppelbuchstabe, sondern das Zusammentreffen zweier a an der Wortfuge. ↩︎

        1. Moin Martin,

          Zwei Betten, die zufällig nebeneinander stehen, sind ja auch noch kein Doppelbett.

          für alles andere gibt es so genannte „Ritzenfüller für die ‚Besucherritze‘“. Das sind Schaumstoffriegel, die den Spalt zwischen zwei Matratzen überbrücken – Bettlaken drüber, fertig ist das Doppelbett mit durchgehender Liegefläche.

          Viele Grüße
          Robert

          1. Hallo Robert,

            Zwei Betten, die zufällig nebeneinander stehen, sind ja auch noch kein Doppelbett.

            für alles andere gibt es so genannte „Ritzenfüller für die ‚Besucherritze‘“. Das sind Schaumstoffriegel, die den Spalt zwischen zwei Matratzen überbrücken – Bettlaken drüber, fertig ist das Doppelbett mit durchgehender Liegefläche.

            kenne ich auch - funktioniert aber nicht bei zwei wirklich separaten Einzelbetten. Ich dachte bei diesem Vergleich gar nicht primär an zwei Einzelmatratzen in einem Doppelbett[1], sondern an das Möbelstück Bett, das quasi den Unterbau und den Rahmen für die Matratzen bildet.

            Zwei zusammengestellte Einzelbetten werden sich bei entsprechender Nutzung[2] in kurzer Zeit auf wundersame Weise wieder voneinander entfernen. Ein Doppelbett - auch mit zwei Einzelmatratzen - tut das nicht.

            Einen schönen Tag noch
             Martin

            --
            Deutschland: Das Land der Dichter und Denker, Richter und Henker.

            1. Das habe ich bisher als normal und üblich erlebt ↩︎

            2. Kissenschlacht beispielsweise 😉 ↩︎

            1. Hallo Martin,

              Zwei zusammengestellte Einzelbetten werden sich bei entsprechender Nutzung in kurzer Zeit auf wundersame Weise wieder voneinander entfernen.

              So erlebt im Hotel in Spanien. Kissenschlacht ???

              Zwei Jahre später, neue Freundin, erster gemeinsamer Urlaub in Spanien. Wohlweislich hatte ich ein Seil im Koffer, um die Betten zusammenzubinden.

              Die großen Augen der Freundin, als ich das Seil auspackte - unvergesslich.

              1. Hallo,

                Zwei zusammengestellte Einzelbetten werden sich bei entsprechender Nutzung in kurzer Zeit auf wundersame Weise wieder voneinander entfernen.

                So erlebt im Hotel in Spanien.

                Zwei Jahre später, neue Freundin, erster gemeinsamer Urlaub in Spanien. Wohlweislich hatte ich ein Seil im Koffer, um die Betten zusammenzubinden.

                Die großen Augen der Freundin, als ich das Seil auspackte - unvergesslich.

                ich könnt' mich kugeln vor Lachen! 🤣
                Und dann war sie enttäuscht, weil sie etwas anderes erwartet hatte?

                Einen schönen Tag noch
                 Martin

                --
                Deutschland: Das Land der Dichter und Denker, Richter und Henker.
                1. Hallo Martin,

                  Und dann war sie enttäuscht, weil sie etwas anderes erwartet hatte?

                  Oder erleichtert?

                  Rolf

                  --
                  sumpsi - posui - obstruxi
                  1. Hallo,

                    Und dann war sie enttäuscht, weil sie etwas anderes erwartet hatte?

                    Oder erleichtert?

                    vielleicht auch das, wir wissen ja nicht, wie die Dame so drauf ist.

                    Einen schönen Tag noch
                     Martin

                    --
                    Deutschland: Das Land der Dichter und Denker, Richter und Henker.
                    1. @@Der Martin

                      Und dann war sie enttäuscht, weil sie etwas anderes erwartet hatte?

                      Oder erleichtert?

                      vielleicht auch das, wir wissen ja nicht, wie die Dame so drauf ist.

                      Oder drunter?

                      🖖 Живіть довго і процвітайте

                      --
                      When the power of love overcomes the love of power the world will know peace.
                      — Jimi Hendrix
              2. Moin Linuchs,

                Zwei Jahre später, neue Freundin, erster gemeinsamer Urlaub in Spanien. Wohlweislich hatte ich ein Seil im Koffer, um die Betten zusammenzubinden.

                Das nenne ich mal einen Lifehack!

                Viele Grüße
                Robert

          2. Hallo Robert,

            „Ritzenfüller für die ‚Besucherritze‘“

            Das Ding heißt "Liebesbrücke"…

            Aber zum Captcha-Thema: Okay, dass man bei der Nizzaallee ins Stolpern kommen kann, hätte ich nicht gedacht. Vor vielen Jahren habe ich in Aachen an einer Stadtrallye teilgenommen, wo dies eine Frage war, und die 4 kam mir ganz locker von der Zunge - und war auch richtig.

            Dass Captchas generell unbeliebt sind, ist schon klar - aber das gilt doch vor allem für diese Schwurbelfont-Machwerke, die mit Linien bis zur Unleserlichkeit durchsetzt sind, oder?

            Rolf

            --
            sumpsi - posui - obstruxi
            1. Hallo Rolf,

              „Ritzenfüller für die ‚Besucherritze‘“

              Das Ding heißt "Liebesbrücke"…

              den Ausdruck kannte ich bis eben noch nicht.

              Dass Captchas generell unbeliebt sind, ist schon klar - aber das gilt doch vor allem für diese Schwurbelfont-Machwerke, die mit Linien bis zur Unleserlichkeit durchsetzt sind, oder?

              Nein. Ähm, ja, vielleicht. Wie stark die graphische Darstellung von Zeichen verhunzt ist, ist mir solange egal, wie ich die Wörter wenigstens noch erschließen kann. Wenn das Captcha aber nicht in Englisch, sondern in einer für mich völlig fremden Sprache angeboten wird (ja, hatte ich auch schon), und dann noch stark verfremdet, dann mag ich auch nicht mehr.

              Viel mehr stört mich aber, dass die Eingabefelder für die Captcha-Lösungen gern mit Eventhandlern bestückt sind, die beim Focussieren des input-Elements erstmal ein Popup mit irgendeiner Internet-Casino-Seite aufmachen, das sich auf welche Weise auch immer am Popup-Blocker meines Browsers vorbeimogelt.

              Einen schönen Tag noch
               Martin

              --
              Deutschland: Das Land der Dichter und Denker, Richter und Henker.
              1. Hallo Der,

                Viel mehr stört mich aber, ...

                Dass Captchas generell als Eventfalle dienen, um "user action" zu erziehen und damit mehr JavaScript-Rechte zu bekommen, ist mir noch nicht aufgefallen. Dafür braucht man auch keine Captchas, die Cookie-Nervtöter sind dafür genauso geeignet.

                Rolf

                --
                sumpsi - posui - obstruxi
                1. Hi,

                  Viel mehr stört mich aber, ...

                  Dass Captchas generell als Eventfalle dienen, um "user action" zu erziehen und damit mehr JavaScript-Rechte zu bekommen, ist mir noch nicht aufgefallen.

                  ich habe seit längerer Zeit den Eindruck, das ist der Hauptzweck.

                  Dafür braucht man auch keine Captchas, die Cookie-Nervtöter sind dafür genauso geeignet.

                  Dagegen gibt's ja die Extension "I don't care about cookies".

                  Einen schönen Tag noch
                   Martin

                  --
                  Deutschland: Das Land der Dichter und Denker, Richter und Henker.
              2. Hallo Der Martin!

                Viel mehr stört mich aber, dass die Eingabefelder für die Captcha-Lösungen gern mit Eventhandlern bestückt sind, die beim Focussieren des input-Elements erstmal ein Popup mit irgendeiner Internet-Casino-Seite aufmachen, das sich auf welche Weise auch immer am Popup-Blocker meines Browsers vorbeimogelt.

                Das kommt daher, dass der Popup-Blocker die Popups nur blockt, wenn sie nicht durch eine Benutzerinteraktion ausgelöst wurden.

                Soweit ich weiß.

                Au revoir,
                Samuel Fiedler

                --
                In CSS gibt es ja position: absolute; und position: relative;. Was ist nun die Mischung daraus?
                Ganz klar: position: resolute!
                1. Hallo,

                  Viel mehr stört mich aber, dass die Eingabefelder für die Captcha-Lösungen gern mit Eventhandlern bestückt sind, die beim Focussieren des input-Elements erstmal ein Popup mit irgendeiner Internet-Casino-Seite aufmachen, das sich auf welche Weise auch immer am Popup-Blocker meines Browsers vorbeimogelt.

                  Das kommt daher, dass der Popup-Blocker die Popups nur blockt, wenn sie nicht durch eine Benutzerinteraktion ausgelöst wurden.

                  ja, aber welches Popup wird denn nicht durch eine Benutzer-Interaktion ausgelöst? Damit wird ein Popup-Blocker sinnlos.

                  Wirklich sinnvoll ist er nur, wenn jeder Versuch erstmal geblockt wird, dann meinetwegen die Info-Leiste eingeblendet wird und den Hinweis anzeigt: "Diese Seite hat versucht, ein Popup zu öffnen. Darf die das?"
                  So ist das im Firefox auch. Aber wenn ich dann "ja" klicke, dann gilt das nicht mehr für den zurückgehaltenen und gemeldeten Versuch, sondern nur für zukünftige. Auch blöd, weil spezielle nur einmal gültige Links dann nicht mehr benutzbar sind.

                  Einen schönen Tag noch
                   Martin

                  --
                  Fortschrittlich: In Kentucky ist es gesetzlich vorgeschrieben, mindestens einmal im Jahr zu baden.
                  1. Hallo

                    Viel mehr stört mich aber, dass die Eingabefelder für die Captcha-Lösungen gern mit Eventhandlern bestückt sind, die beim Focussieren des input-Elements erstmal ein Popup mit irgendeiner Internet-Casino-Seite aufmachen, das sich auf welche Weise auch immer am Popup-Blocker meines Browsers vorbeimogelt.

                    Das kommt daher, dass der Popup-Blocker die Popups nur blockt, wenn sie nicht durch eine Benutzerinteraktion ausgelöst wurden.

                    ja, aber welches Popup wird denn nicht durch eine Benutzer-Interaktion ausgelöst? Damit wird ein Popup-Blocker sinnlos.

                    Definiere Benutzerinteraktion!

                    Das Betätigen eines Buttons, das ein Popup öffnet, ist gewiss eine Benutzerinteraktion. Aber ist es das schließen eines Browserfensters oder -tabs, bei dem onClose ein Popup geöffnet werden will, auch? Ich würde letzteres für eine Benutzeraktion (bewusst ohne „inter“), aber eben nicht für eine Benutzerinteraktion, halten, da ich – ohne Kenntnis der Hinterv**zigkeit vieler Seitenanbieter – nicht damit rechne, dass sich bei dieser Aktion ein Popup öffnet.

                    Wirklich sinnvoll ist er nur, wenn jeder Versuch erstmal geblockt wird, dann meinetwegen die Info-Leiste eingeblendet wird und den Hinweis anzeigt: "Diese Seite hat versucht, ein Popup zu öffnen. Darf die das?"
                    So ist das im Firefox auch. Aber wenn ich dann "ja" klicke, dann gilt das nicht mehr für den zurückgehaltenen und gemeldeten Versuch, sondern nur für zukünftige.

                    Keine Ahnung, ob das vielleicht an irgendeinem verborgenen Schalter in about:config liegt, aber in meinen Firefoxes (Ubuntu 18.04, 20.04 und Windows 10) mit nicht identischer Konfiguration, aber überall mit Popup-Verbot, lassen sich Popups, die sich direkt auf eine Aktion (zum Beispiel Klick auf Button) hin öffnen sollen, auch öffnen. Mir ist nicht bewusst, in all den Browsern für die betreffenden Seiten die Popup-Erlaubnis explizit hinterlegt zu haben.

                    Für Popups, die als Folge einer indirekten Aktion geöffnet werden wollen (zum Beispiel öffne ich einen Tab und die Seite will mir onLoad ein Popup unterjubeln), wird die von dir erwähnte Info-Leiste eingeblendet.

                    Tschö, Auge

                    --
                    200 ist das neue 35.
                    1. Hallo Auge!

                      Falls du mich mit der Definition der Benutzerinteraktion gemeint hast, meinte ich deine direkte Aktion. Dazu würde eben auch ein Focus auf ein Element gehören. Aber ein Mousemove zum Beispiel nicht. Man müsste mal testen, was ein Popup öffnen darf und was nicht.

                      Au revoir,
                      Samuel Fiedler

                      --
                      In CSS gibt es ja position: absolute; und position: relative;. Was ist nun die Mischung daraus?
                      Ganz klar: position: resolute!
                      1. Hallo Samuel,

                        Falls du mich mit der Definition der Benutzerinteraktion gemeint hast, meinte ich deine direkte Aktion. Dazu würde eben auch ein Focus auf ein Element gehören.

                        ja, und meiner Ansicht eben auch das Schließen des Tabs.

                        Aber ein Mousemove zum Beispiel nicht.

                        Oh je, natürlich nicht!

                        Man müsste mal testen, was ein Popup öffnen darf und was nicht.

                        Nicht testen, einfach nachsehen.
                        Beim Firefox unter about:config der Eintrag dom.popup_allowed_events. Die Events, die in der Defaulteinstellung ein Popup auslösen dürfen, sind:

                        • change
                        • click
                        • dblclick
                        • mouseup
                        • pointerup
                        • notificationclick
                        • reset
                        • submit
                        • touchend

                        Das sind für meinen Geschmack einige zuviel.
                        [ADD:] Und es sind in Wirklichkeit noch mehr. Ich habe nicht beim Firefox nachgeschaut, sondern bei seinem Cousin Pale Moon. Firefox definiert zusätzlich noch die *down-Events, contextmenu und das mir völlig unbekannte Event auxclick. [/ADD:]

                        Einen schönen Tag noch
                         Martin

                        --
                        Fortschrittlich: In Kentucky ist es gesetzlich vorgeschrieben, mindestens einmal im Jahr zu baden.
            2. Moin Rolf,

              „Ritzenfüller für die ‚Besucherritze‘“

              Das Ding heißt "Liebesbrücke"…

              Das ist ein schöner Begriff, den merke ich mir 😀

              Vielen Dank und viele Grüße
              Robert

        2. @@Der Martin

          Zwei Betten, die zufällig nebeneinander stehen, sind ja auch noch kein Doppelbett.

          😄👍

          Was dem einen seine Wortfuge, ist dem anderen seine Besucherritze.

          🖖 Живіть довго і процвітайте

          --
          When the power of love overcomes the love of power the world will know peace.
          — Jimi Hendrix
  4. wenn sich jemand für meinen Veranstaltungskalender registriert, wird ihm eine Bestätigungs-Mail geschickt mit Kopie an mich.

    Sollte ich vor der Registrierung die Eingabe eines Termins verlangen?

    Nur, wenn das nicht auch zum Versand eines Emails führt.

    Möglicherweise hilft es ja, so wie Robert vorschlug, die Registrierung mit einem Termin zu verknüpfen. Das könnte die Skripte der Spammer(innen), Möchtegernhacker(innen) und anderer Hujus oder Trinen verwirren.

    Oder Du versuchst es erstmal unterhalb der Schwelle eines Captcha:

  5. Wie Schuppen fällt es mir von den Augen.

    Durch Empfang der Bestätigungsmail „erntet“ der Angreifer meine Absender-Mailadresse, die im Impressum per Grafik für Bots (hoffentlich) nicht als Mailadresse erkennbar ist.

    Da muss ich mich nicht wundern, dass mein Postfach überquillt.

    Und wer weiß, was dem Mail-Header noch entnommen wird.

    Wie vermeidet ihr denn diese Ernte?

    1. Hallo Linuchs,

      normalerweise verwendet man für solche Mails eine noreply-Adresse, also eine, bei der alle Mail-Eingänge unbesehen geschreddert werden.

      Die Kopie an Dich selbst kannst Du - wenn Du unbedingt musst, per BCC erzeugen oder durch einen separaten Mailversand. Oder - wie schon diskutiert - gar nicht. Der Registrierversuch ist auch durch eine DB-Query erkennbar, würde ich meinen.

      Rolf

      --
      sumpsi - posui - obstruxi
    2. Hallo

      Durch Empfang der Bestätigungsmail „erntet“ der Angreifer meine Absender-Mailadresse, die im Impressum per Grafik für Bots (hoffentlich) nicht als Mailadresse erkennbar ist.

      So what? Und was heißt hier „erntet“?

      Benutze als Absender eine No-Reply-Adresse, wie von Rolf vorgeschlagen, wenn du denn unbedingt wissen musst, wie ein Registrierungsversuch ausschaut, und gut is.

      Und wer weiß, was dem Mail-Header noch entnommen wird.

      Prinzipiell alles, was drin steht. Was davon auch immer für einen Spammer interessant sein mag.

      Wie vermeidet ihr denn diese Ernte?

      Das ist keine Ernte sondern normale Funktionalität des Systems E-Mail. Daher: irgendwo zwischen gar nicht und überhaupt nicht.

      Tschö, Auge

      --
      200 ist das neue 35.
    3. Durch Empfang der Bestätigungsmail „erntet“ der Angreifer meine Absender-Mailadresse, die im Impressum per Grafik für Bots (hoffentlich) nicht als Mailadresse erkennbar ist.

      Und weil es so schön ist, macht der (die, das Etwas) das mehrfach?

      Na?

      1. Hallo Raketenwilli,

        “Just because you're paranoid doesn't mean they aren't after you.”
        Joseph Heller, Catch-22

        Rolf

        --
        sumpsi - posui - obstruxi
        1. @@Rolf B

          “Just because you're paranoid doesn't mean they aren't after you.”
          Joseph Heller, Catch-22

          Just because you’re better than me
          Doesn’t mean I’m lazy
          Just because you’re going forwards
          Doesn’t mean I’m going backwards

          — Billy Bragg, To Have and to Have Not

          🖖 Живіть довго і процвітайте

          --
          When the power of love overcomes the love of power the world will know peace.
          — Jimi Hendrix
  6. Hallo,

    nur gut, dass ich nochmal genauer hingesehen habe. Beim ersten schnellen Blick habe ich dein Topic nämlich als Regierung gegen Missbrauch aufrüsten gelesen und mich gefragt, welche revolutionären Ideen da wohl dahinterstecken könnten.

    Einen schönen Tag noch
     Martin

    --
    Deutschland: Das Land der Dichter und Denker, Richter und Henker.
  7. brauche ein neues Konzept.

    Wie wäre es denn, ein Wort zu zeigen und die Aufgabe zu stellen:

    Bitte gib den siebten und vierten Buchstaben ein.

    Beispiel: Bei Bremerhaven wäre die Antwort hm

    1. @@Linuchs

      brauche ein neues Konzept.

      Wie wäre es denn, ein Wort zu zeigen und die Aufgabe zu stellen:

      Wie wäre es denn, deine Probleme nicht auf die Nutzer abzuwälzen‽

      🖖 Живіть довго і процвітайте

      --
      When the power of love overcomes the love of power the world will know peace.
      — Jimi Hendrix
    2. In Deinem Fall solltest Du die Registrierung einfach wieder löschen, wenn nicht binnen 10 Tagen ein Termin eingetragen wird. Plausibler Grund: Datenschutz. Ohne plausiblen Grund darfst Du keine personenbezogenen Daten speichern und wenn kein „Geschäft“ zu Stande kommt hast Du den nicht.

      Also fort damit.

      Und ja: Falls Dein Provider das zulässt nutze eine nicht existierende (aber zu Deiner Domain remso.eu gehörende) Adresse als Absender. Dann „bouncen“ die Mails (Es sei denn Du hast etwas konfiguriert, das Mails für beliebige Usernamen an Dich geleitet werden.

      Solltest Du in den nächsten paar Minuten ein Mail von mir erhalten, dann hast Du das wohl getan.


      „Versuch macht kluch“: „Ihre Nachricht wurde nicht an no_reply@remso.eu zugestellt, weil die Adresse nicht gefunden wurde oder keine E-Mails empfangen kann.


      Na bitte! Nimm die als Absender-Adresse.