Diskussion: Bessere CAPTCHAS

[nickvergessen]

Was blockt mehr Regs? Das neue Captcha oder das Fake-Feld? Was wäre wenn die Bots ausschließlich am neuen Captcha scheitern, weil sie die erste Anfrage ohne gefüllten Capcha-Feld abschicken?

Nicht das mich jmd falsch versteht, mir gehts lediglich darum, dass es keine dauerhafte (Universal-)Lösung gibt und geben wird ... es wird IMMER an den Seitenbetriebern liegen, den (individuellen) Schutz aufrecht zu erhalten. Solange Spam genug Geld abwirft, wirds Spam in immer ausgereifteren Varianten geben!

Das kann ich dir nicht beantworten, ich weiß nur, dass von 739 Bots nur einer das neue Captcha geknackt hat. Wieviele Bots das richtige Feld benutzt haben weiß ich nicht. Aber gespamt wird bei mir nicht mehr seit ich das umgebaut habe.
Die MOD die ich dabei verwende ist folgende: http://www.phpbb.com/community/viewtopi ... &t=1576255

Ich konnte damit übrigens auch das Captcha von phpBB2 verwenden und hatte keine Spam-Anmeldungen. Also nicht nur eine Frage des Captchas

[4seven]

Wenn sowas üblich wäre, dann werden die Bots drauf getrimmt, die erste Anfrage ohzne gefülltes Captchafeld abzuschicken ... Schutz passé.

drum variere ich immer mal wieder mutliple (und vor allem verschiedene/individuelle) methoden,
so das es immer wieder ein fitzelchen anders ist
wenn das jeder admin so machen würde (und jeder natürlich anders) gäbe es keine linie mehr, nach dem sich der bot-mainstream richten könnte, da es nur noch individuelle mixed-methoden geben würde (siehe auch dazu zb. nickvergessen's ansatz bzw..(halt nur mal so als idee zus.

Ferner komplettes Non-Parsing und Tot-legen der (für Bots) entscheidenden Felder
http://www.phpbb.de/community/viewtopic ... 46#p918946

ferner:

Also nicht nur eine Frage des Captchas

..drum

[tas2580]

@DerPate
Ich will dir nichts unterstellen, das hast du falsch verstanden oder ich habe mich schlecht ausgedrückt. Du hast oben geschrieben das man Leute bezahlen könnte die Captchas knacken, aber das muss man nicht mal, wenn man was tolles verspricht gibt es genug Leute die Captchas freiwillig und ohne Bezahlung eingeben. Das Captcha holt man dann eben von einer fremden Seite die man vollspammen will, wenn ein Besucher dann das Captcha löst kann der Bot damit spammen gehen, so könnte man beinahe jedes Captcha knacken ohne einen tollen Bot zu schreiben oder Leute zu bezahlen.

@WEEDman
Bots füllen die Felder gar nicht aus, sie senden einfach eine Anfrage an den Server die so aussieht als ob das Formular ausgefüllt und abgesendet wurde. Damit sie wissen wie das Formular aussieht müssen sie aber vorher den Quelltext lesen. Ein Feld per CSS zu verstecken funktioniert bei mir recht gut, allerdings sollte man das CSS dazu dann auslagern da manche Bots CSS verstehen und so erst die ausgelagerte Datei runter laden müssen um das zu erkennen.
Man könnte das Feld auch per JavaScript verstecken, niemand ist so blöd (Ausnahme 98% der echten Besucher) einfach fremden Code auf seinem Rechner (Bot) auszuführen, falls es doch einen gibt könnte man dann den Bot auf eine Seite schicken die per JavaScript irgendwas in einer Endlosschleife macht dann währe der Bot erstmal beschäftigt.

Gruß Tobi

[dieck]

Ihr mögt Katzen?
Ich habe eine PHP-Klasse geschrieben die durch abfangen von POST-Requests ohne haarige Konfiguration einfach in verschiedene Systeme, u.a. auch phpBB eingebunden werden kann.

Installationsanleitung für phpBB liegt bei

http://code.google.com/p/asirra-php/

[Dr.Death]

Das ist aber dann Problematisch wenn der WebServer keine Verbindung zur Außenwelt besitzt ( IntraNet Umgebung ).

[djchrisnet]

und wie kommen die Bots in ein IntraNet ohne Anbindung zur Aussenwelt???

Manchmal kann man auch zu Krampfhaft nach Ecken und Kanten suchen....

[Dr.Death]

Ich meinte auch den generellen Einbau von CAPTCHA Systemen, die auf fremde Dienste angewiesen sind.
Es ist mir schon klar, das ein IntraNet Server keine Angst vor BOTs aus der InterNET Welt haben zu brauch.

[gn#36]

Wer weiß was es für böse Mitarbeiter und Viren gibt

[kellanved]

Mittlerweile sind die neuen Plugins im SVN angekommen. Der grosse Vorteil ist, dass nun neue Captchas ohne Änderungen am Code installiert werden können. Zudem ist das Interface in der Lage mit HTML-basierenden Ansätzen - etwa reCaptcha oder Frage-Antwort - umzugehen.

http://www.phpbb.com/blog/2009/06/10/phpbb-306-plans/