Vorschlag für CAPTCHA

In diesem Forum können Mod-Autoren ihre Mods vorstellen, die sich noch im Entwicklungsstatus befinden. Der Einbau in Foren im produktiven Betrieb wird nicht empfohlen.
Forumsregeln
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.0, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
Antworten
Aust
Mitglied
Beiträge: 3
Registriert: 13.06.2006 14:33

Vorschlag für CAPTCHA

Beitrag von Aust »

Guten Tag,

bin selbst kein pbpBB-Experte, aber betreibe ein kleines Forum. Seit einiger Zeit häufen sich die automatischen Anmeldungen von Spammern. Daraufhin habe ich mein Forum geupdatet und die Visual Confirmation aktiviert. Das hat die Zahl der automatischen Anmeldungen stark reduziert, aber es kommen trotzdem noch welche durch.

Es gibt offenbar verschiedene Vorschläge und Modifikationen (i.w. kompliziertere Bilder). Allerdings fürchte ich, dass meine russischen Spammerfreunde nach einigen Wochen nachgerüstet haben.

Mein Vorschlag ist, dass man das Problem aus den verschiedenen phpBB-Foren auslagert. Man könnte dann in das Standard-phpBB eine CAPTCHA integrieren, die einen externen "CAPTCHA-Provider" nutzt. Ich stelle mir das so vor:

Das PHP-Skript, das die Registrierungsseite erstellt, denkt sich zwei Zufallsstrings A und B aus und fragt dann eine URL wie folgt auf:

Code: Alles auswählen

fopen("http://www.beispiel.de/captcha.php?A=123456&B=234567", "r");
und bindet dort, wo das CAPTCHA-Bild erscheinen soll, als Bildquelle ein:

Code: Alles auswählen

http://www.beispiel.de/captcha.php?A=123456
und erwartet als Antwort vom Benutzer den String B.

Auf dem CAPTCHA-Server läuft folgendes ab: Wenn sowohl A als auch B als Parameter übergeben werden, werden beide Strings in eine Lookup-Tabelle eingetragen. Wenn nur A als Parameter übergeben wird, wird ein Bild erstellt, auf dem der in der Lookup-Tabelle eingetragene zugehörige Schlüssel B zu sehen ist.

Vorteile: Man kann automatisch ohne Zutun der jeweiligen Foren-Admins zentral "nachrüsten", wenn es mal wieder ein Spammer geschafft hat. Bei der Erstellung des Bilds kann man Grafiklibraries nutzen, die nicht auf jedem phpBB-Server zur Verfügung stehen.

Nachteile: Traffic beim zentralen Server, zentraler Angriffspunkt für DOS-Attacken.

Was haltet ihr von dem Vorschlag?

Viele Grüße
Aust
Nach oben
Benutzeravatar
darkon
Mitglied
Beiträge: 1133
Registriert: 08.08.2003 15:07
Wohnort: Wölfersheim

Beitrag von darkon »

Wozu so einen Aufwand?

Intallier dir den Advanced Visual Confirmation Mod von www.amigalinks.de

Dann tausche ein paar der Fonts gegen andere aus (beachte dabei, daß 1 und I sowie 0 und O einfach unterscheidbar sein müssen), setze eine neue Größe der Grafik (am besten was sehr krummes) fest und spiel halt ein wenig mit den Einstellungen herum.

Flexibler und einfacher als externe Dienstleister.
Nach oben
Fundus
Mitglied
Beiträge: 488
Registriert: 29.03.2004 21:22

Beitrag von Fundus »

bei fopen() http:// erlauben ist schon grob fahrlässig und sollte/wird meist auch so gehandhabt, damit bist du bei deinem problem schon wieder am anfang :wink:
Nach oben
Sebastian R.
Mitglied
Beiträge: 328
Registriert: 18.03.2006 23:21
Kontaktdaten:
Kontaktdaten von Sebastian R.

Beitrag von Sebastian R. »

Außerdem können die Bots dann auch captcha.php?A=2323&B=232323 und dann wird die A-Lookup-Zahl mit B überschrieben... Sinnlos, oder?
Modeinbau, Banner- und Grafik-Design - gegen einen kleinen Aufpreis! Mail: sebastian@rayloaded.de oder per PN

Rayloaded.de - Your programmers heaven.
Nach oben
Aust
Mitglied
Beiträge: 3
Registriert: 13.06.2006 14:33

Beitrag von Aust »

@darkon: Ich habe zwei Vorteile genannt (s.o.)

@Fundus: Das wußte ich nicht, bin wie gesagt kein PHP-Profi. Läßt sich das vielleicht anders regeln? Man muss nur eine Information an den Server senden können, die der Forenbenutzer nicht sieht.

@Sebastian R.: Überschreiben kann man verbieten, es ist nicht notwendig für die Funktionsweise des Servers.
Nach oben
Benutzeravatar
darkon
Mitglied
Beiträge: 1133
Registriert: 08.08.2003 15:07
Wohnort: Wölfersheim

Beitrag von darkon »

Sorry, aber die von dir genannten Punkte sind keine Vorteile, im Gegenteil das wären schon eher Nachteile.

Die Bots kommen jetzt schon teilweise durch die Visual Confirmation, weil da eben ein Standard benutzt wird. Das wird natürlich nicht besser wenn du diesen Standard auslagerst, sobald der dortige Captcha geknackt ist wird wieder munter gespammt.
Und da man dann nur noch an einer Stelle arbeiten muß zum knacken ist das sogar noch einfacher.


Das Verkomplizieren und individuelle Gestalten des Captchas ist der bessere Weg, weil man dann halt kein Standard-Captcha hat und die Bots extra für dieses Captcha programmiert werden müssen.
Nach oben
bazillus
Mitglied
Beiträge: 149
Registriert: 15.12.2005 17:53
Wohnort: NWM
Kontaktdaten:
Kontaktdaten von bazillus

Beitrag von bazillus »

hauptsache der Server ist immer erreichbar und schnell ;)
Nach oben
Benutzeravatar
MagMo
Ehemaliges Teammitglied
Beiträge: 584
Registriert: 30.10.2005 16:06
Wohnort: Köln
Kontaktdaten:
Kontaktdaten von MagMo

Beitrag von MagMo »

Hi,
darkon hat geschrieben:Das Verkomplizieren und individuelle Gestalten des Captchas ist der bessere Weg, weil man dann halt kein Standard-Captcha hat und die Bots extra für dieses Captcha programmiert werden müssen.
Stimmt, der beste Schutz ist immer noch ein möglichst individueller Bot-Schutz. Nicht umsonst gibt es in dieser Richtung zig Mods (etliche sind hier gelistet: [Sammlung] MOD's gegen automatische BOT-Registierungen). Warum sollte man es Script-Kiddis etc. unnötig einfach machen und nur eine zentrale Captcha anbieten?

Grüße
MagMo
Nach oben
Aust
Mitglied
Beiträge: 3
Registriert: 13.06.2006 14:33

Beitrag von Aust »

OK, dann hat sich mein Vorschlag erledigt.
Nach oben
Antworten

Zurück zu „phpBB 2.0: Mods in Entwicklung“