phpBB.de

Wie einige es vielleicht schon wissen, ist die visuelle Bestätigung von phpBB geknackt. Es gibt Scripte die diesen Code auslesen können. Deswegen habe ich mich dafür entschieden, eine neue, bessere visuelle Bestätigung für phpBB zu entwickeln. Diese basiert auf Jax Captcha.

Vorteile von Jax:

• Hintergrund wird gefüllt mir zufälligen Ellipsen die zufällige Farben haben.
• Die einzelnen Zeichen haben zufällige Größe, Position, Drehung und Farbe
• Der Charsets jedes einzelnen Zeichens wird zufällig aus der Reihe der möglichen Zeichensätze gewählt.
• Der Admin kann selber auswählen, welche Zeichensätze für die Erstellung des Codes verwendet werden sollen. Es müssen lediglich die ttf-Dateien ins /fonts/-Verzeichnis hochgeladen werden.

Eine Mod-Datei für meine erste Beta habe ich noch nicht erstellt. Ihr könnt Euch aber den "Lifetest" hier ansehen.

Bekannter Nachteil von Jax:

• Die Zeichen sind nicht immer richtig lesbar.

Welche Erweiterungen ich noch einbauen möchte:

• Admins sollen die Möglichkeit besitzen, zwischen "Zufallscode" und "Wortliste" umschalten zu können. Ist die zweite Option gewählt, wird der Bestätigungscode aus einer (hoffentlich langen) Reihe von Wörtern erzeugt, die der Admin im ACP eingeben kann.
• Die Anzahl der Zeichen für Zufallscode kann bestimmt werden.
• Die Höhe und Breite der Grafik kann eingestellt werden.
• Derzeit ist noch der Dateinamen der Captcha-Grafik der MD5-Hash des Bestätigungscodes. Somit wäre eine Attacke mit sog. Rainbow Tables möglich (wenn auch unwahrscheinlich bei Codes die mindestens 6 stellig sind). Dies will ich unterbinden, indem ich die CONFIRM_TABLE dazu nutze, den Hashcode abzuspeichern und mit einem zufälligen Dateinamen zu verbinden.
• Als Zukunftstraum (Wer weiß, wann ich dazu mal Zeit habe und finde) möchte ich die gesamte Visuelle Bestätigung in eine VCAL packen, damit man sehr einfach "überall" auf die Visuelle Bestätigung zugreifen und sie einbauen kann.

Eure Anmerkungen, Kritiken und Ideen hierzu würden mich sehr interessieren.

Grund für den "Baustopp" siehe letztes Posting von mir.

Gruß,
Tekin

Sieht bisher doch sehr gut aus !

Sollte man etwas nicht lesen können, gleich mal "refresh" im Browser drücken bevor man seine Daten eingibt

cYbercOsmOnauT hat geschrieben:Es müssen lediglich die ttf-Dateien ins /fonts/-Verzeichnis hochgeladen werden.

Das geht aber nur wenn man einen eigenen Server betreibt

Sonst sieht's gut aus.

Die Anzahl der Zeichen für Zufallscode kann bestimmt werden

Würde ich auch per Zufall machen. Max. und Min. eingeben, den Rest macht der Computer.

karstenkurt hat geschrieben:

cYbercOsmOnauT hat geschrieben:Es müssen lediglich die ttf-Dateien ins /fonts/-Verzeichnis hochgeladen werden.

Das geht aber nur wenn man einen eigenen Server betreibt

Wie kommst du da drauf?

easygo hat geschrieben:

karstenkurt hat geschrieben:

cYbercOsmOnauT hat geschrieben:Es müssen lediglich die ttf-Dateien ins /fonts/-Verzeichnis hochgeladen werden.

Das geht aber nur wenn man einen eigenen Server betreibt

Wie kommst du da drauf?

Ich glaubm er hat meine Angabe absolut angesehen (also *nix technisch). Dabei ist das Verzeichnis /fonts/ was ich meine natürlich relativ zum Forumroot-Verzeichnis gemeint.

Tekin

Hi Tekin,

ich finde die Idee großartig, auch die Umsetzung gefällt mir sehr gut.

Mit der Lesbarkeit ist das ja immer so eine Sache: Ich hatte keine Probleme damit, bei meiner Freundin sah es anders aus, aber manche haben auch Probleme mit der "normalen" visuellen Bestätigung, besonders beim Unterscheiden von O und 0, von daher...

Viel Erfolg und ich hoffe, dass wir es auch bald einsetzen können.

Gruß,
Fabrizio

cYbercOsmOnauT hat geschrieben:Dabei ist das Verzeichnis /fonts/ was ich meine natürlich relativ zum Forumroot-Verzeichnis gemeint.

Achso. Na dann, kein Poblem. Mal schauen, was draus wird.

das ist schon ein grund den nicht ein zu baun !

Die Zeichen sind nicht immer richtig lesbar.

die codes sind schon so blöde und dann noch das .[/code]

Fragt sich, was Dir wichtiger ist: Sicherheit und ein User, der einmal F5 drücken muss, um einen neuen VisCode zu bekommen, oder ein gut lesbarer Captcha, den Bots mittlerweile problemlos knacken.

Ausserdem will ich diesen Punkt ja auch angehen. Wie es scheint, kennst Du Dich nicht wirklich mit Captcha's aus Kanone. Denn sonst wüsstest Du, das es weit schlimmer lesbare VisCodes gibt draussen in der weiten Welt.

Tekin

Fabrizio hat geschrieben:...ber manche haben auch Probleme mit der "normalen" visuellen Bestätigung, besonders beim Unterscheiden von O und 0, von daher...

Sorry, ich hab die $lang des VisCode's noch nicht angepasst. Eine Null kommt im VisCode nicht vor, damit man es nicht mit einem O verwechselt.