[RLpUG]: Idee oder Aufruf

Underhill · Beitrag von **Underhill** » 01.12.2006 14:28

Hi,

hier ein kurzer Artikel den ich mal verfasst habe:

--------------------------------------------------------------------

Ein weiterer Ansatz für CAPTCHA
von Rainer Obermann

Die CAPTCHA-Methode (Completely Automated Public Turing-Test to tell Computers and Humans Apart) wurde im wesentlichen entwickelt, um Computer und Menschen zu unterscheiden. Auch in unserem Beispiel phpBB wurde diese Methode gewählt, um die Sicherheit zu erhöhen und SPAM zu vermeiden. Eine sehr verbreitete Art von CAPTCHAS sind Bilder. Buchstaben oder Zahlenkombinationen werden in Bildform auf dem Monitor angezeigt, und der menschliche Leser muss diesen Text in ein Eingabefeld abtippen. Diese Methode ist leider jedoch nicht mehr sicher, da es sich einige Menschen zur Aufgabe gemacht haben, Dinge, die andere Menschen erstellt haben, wieder kaputt zu machen. Über den Sinn oder Unsinn wollen wir aber hier nicht eingehen. Jedenfalls gibt es mittlerweile im Internet ein paar frei verfügbare Werkzeuge, die über eine Art Bildschirmlesefunktion dieses mühsam erstelle Bild-CAPTCHA in Sekundenschnelle auslesen können.

Ich möchte mit diesem Artikel einmal neue Ansätze für ein CAPTCHA erstellen und vielleicht auch noch andere Menschen dazu überreden, auch Interesse für neue CAPTCHAS zu entwickeln. Aber fangen wir einmal ganz vorne an:

Der Mensch nimmt die Umwelt schon nach Aristoteles mit seinen fünf Sinnen wahr:

akustisch (Gehörsinn)
olfaktorisch (Geruchssinn)
gustatorisch (Geschmackssinn)
visuell (Sehsinn)
haptisch (Tastsinn)

Die moderne Physiologie kennt für den Menschen noch vier weitere Sinne:

Thermozeption (Temperatursinn)
Nozizeption (Schmerzempfindung)
vestibulär (Gleichgewichtssinn)
Propriozeption (Körperempfindung oder Tiefensensibiliät)

Für eine Prüfung auf Menschlichkeit über das Internet scheiden die Sinne Geschmack, Geruch und die vier "neuen" Sinne erstmal komplett aus, da unsere Computer aktuell nicht über die entsprechenden Ein- und Ausgabegeräte verfügen. Bleiben wir bei den übrig gebliebenen drei Sinnen:

Der Sehsinn
Die am meisten verbreitete CAPTCHA-Methode. Bilder mit Buchstaben oder Piktogrammen sollen Computer von Menschen durch Denk- oder Rechenaufgaben unterscheiden. Einige davon auch mehr oder weniger effektiv. Das Problem ist hierbei wie immer der Mensch selbst. Barrierefreiheit ist nicht nur ein Schlagwort für die Internetauftritte von Behörden. Wie soll ein Farbenblinder die rote, verdrehte Buchstabensuppe auf einer grünen gemusterten Tapete erkennen? Was ist mit Schlaumeiern, die immer wieder versuchen, den Begriff "Canis lupus" neben einem Bild, das einen Hund zeigt, einzugeben, wo doch "Hund" oder "dog" völlig ausreichend wäre? Was ist mit Menschen, die aufgrund einer oft erfolgreich selbst eingeredeten Rechenschwäche Aufgaben wie "Was ist 8 x 5 + 2?" nicht lösen können? Ganz einfach - Sie werden nicht an dieser Community teilhaben, weil sie sich nicht registrieren können. Aber macht ja nichts - Die meisten dieser CAPTCHAS sind auch mittlerweile durch Texterkennungssoftware geknackt, so dass sich der Betreiber eines Forum immer noch mit den SPAM-BOTS beschäftigen kann.

Der Gehörsinn
Einige Webseiten sollen in der freien Wildbahn dieses CAPTCHA schon unterstützen. Anstelle eines Bildes bekommt man einen Link, der nach dem Anklicken mit einer schlecht verständlichen, synthetischen Stimme oft ein englisches oder gar amerikanisches Wort vorgelesen bekommt. Sicher ist sogar der heutige Stand der Spracherkennungssoftware dazu in der Lage, dieses Piepsen zu verstehen. Wahrscheinlich sogar eher als ein Mensch.

Der Tastsinn
Warum verfolgen wir nicht diese Methode? Kann ein Computer eine Maus bewegen? Lohnt es sich wirklich, den Fischertechnikkasten rauszukramen und die RS232-Schnittstelle zu bemühen, einen anderen Computer zu bedienen? Man sieht doch schon mal Software von Banken, die richtige Zufallszahlen durch die Mausposition generieren. Wie wäre es damit, dieser Methode ein wenig Aufmerksamkeit zu geben?

Ich selbst habe mir einmal die Arbeit gemacht und so einen Zufallszahlengenerator unter PHP und JavaScript nachgebaut. Läuft nach meiner Meinung auch schon ganz gut. Natürlich fehlt noch so einiges. Meine Beispielversion sendet erstmal nur die mit Mausbewegungen generierte Zufallszahl mittels POST an eine PHP-Seite, aber mit ein wenig AJAX-KnowHow und frischen Ideen kann man da sicher etwas ganz neues draus machen.

Achja - der Demo-URL: http://www.underhill.de/tests/zzpmm/

Gruß
Underhill

fanrpg · Beitrag von **fanrpg** » 10.12.2006 17:13

Hi,
Hab den Thread wohl irgendwie verpennt, deswegen so spät eine Antwort

Eins habe ich bei deinem Demoscript aber nicht verstanden, wie will man da prüfen ob ein Bot kommt? Kann ja jeder Benutzer irgendwas anderes machen, habe es kein einziges mal geschafft nur einmal denselben Code zu generieren.

Ich hatte mir schonmal auch den Gedanken gemacht um Spam-Bot Bekämpfung, und bei pmf habe ich einfach einen input mit beliebigen namen und Inhalt intregriert, das bisher alle Spambots ferngehalten.
Daher kam mir die Idee man schreibt einen Mod der bei Installation 3 Namen vom Benutzer (!) abfragt und dazu je einen value feld, und diese dann einmal als hidden feld, einen als text und vielleicht textarea macht (falls ein bot auf die idee kommt, die seite zu scannen, natürlich mit display:none; in der .css Datei).

Ich denke damit wäre jeder Spam-Bot ne Zeit lang beschäftigt, wenn die überhaupt sowas knacken würden.

Underhill · Beitrag von **Underhill** » 10.12.2006 18:15

Hi,

deine Idee finde ich auch gut...

Das sind prima Voraussetzungen ein paar neue Projekte zu starten

BTW habe ich auch grade unter http://www.phpbb.de/viewtopic.php?p=801408#801408 versucht weitere Leute zu koedern

Gruss
Underhill