phpBB.de

Guten Tag,

bin selbst kein pbpBB-Experte, aber betreibe ein kleines Forum. Seit einiger Zeit häufen sich die automatischen Anmeldungen von Spammern. Daraufhin habe ich mein Forum geupdatet und die Visual Confirmation aktiviert. Das hat die Zahl der automatischen Anmeldungen stark reduziert, aber es kommen trotzdem noch welche durch.

Es gibt offenbar verschiedene Vorschläge und Modifikationen (i.w. kompliziertere Bilder). Allerdings fürchte ich, dass meine russischen Spammerfreunde nach einigen Wochen nachgerüstet haben.

Mein Vorschlag ist, dass man das Problem aus den verschiedenen phpBB-Foren auslagert. Man könnte dann in das Standard-phpBB eine CAPTCHA integrieren, die einen externen "CAPTCHA-Provider" nutzt. Ich stelle mir das so vor:

Das PHP-Skript, das die Registrierungsseite erstellt, denkt sich zwei Zufallsstrings A und B aus und fragt dann eine URL wie folgt auf:
und bindet dort, wo das CAPTCHA-Bild erscheinen soll, als Bildquelle ein:
und erwartet als Antwort vom Benutzer den String B.

Auf dem CAPTCHA-Server läuft folgendes ab: Wenn sowohl A als auch B als Parameter übergeben werden, werden beide Strings in eine Lookup-Tabelle eingetragen. Wenn nur A als Parameter übergeben wird, wird ein Bild erstellt, auf dem der in der Lookup-Tabelle eingetragene zugehörige Schlüssel B zu sehen ist.

Vorteile: Man kann automatisch ohne Zutun der jeweiligen Foren-Admins zentral "nachrüsten", wenn es mal wieder ein Spammer geschafft hat. Bei der Erstellung des Bilds kann man Grafiklibraries nutzen, die nicht auf jedem phpBB-Server zur Verfügung stehen.

Nachteile: Traffic beim zentralen Server, zentraler Angriffspunkt für DOS-Attacken.

Was haltet ihr von dem Vorschlag?

Viele Grüße
Aust

Wozu so einen Aufwand?

Intallier dir den Advanced Visual Confirmation Mod von www.amigalinks.de

Dann tausche ein paar der Fonts gegen andere aus (beachte dabei, daß 1 und I sowie 0 und O einfach unterscheidbar sein müssen), setze eine neue Größe der Grafik (am besten was sehr krummes) fest und spiel halt ein wenig mit den Einstellungen herum.

Flexibler und einfacher als externe Dienstleister.

bei fopen() http:// erlauben ist schon grob fahrlässig und sollte/wird meist auch so gehandhabt, damit bist du bei deinem problem schon wieder am anfang

Außerdem können die Bots dann auch captcha.php?A=2323&B=232323 und dann wird die A-Lookup-Zahl mit B überschrieben... Sinnlos, oder?

@darkon: Ich habe zwei Vorteile genannt (s.o.)

@Fundus: Das wußte ich nicht, bin wie gesagt kein PHP-Profi. Läßt sich das vielleicht anders regeln? Man muss nur eine Information an den Server senden können, die der Forenbenutzer nicht sieht.

@Sebastian R.: Überschreiben kann man verbieten, es ist nicht notwendig für die Funktionsweise des Servers.

Sorry, aber die von dir genannten Punkte sind keine Vorteile, im Gegenteil das wären schon eher Nachteile.

Die Bots kommen jetzt schon teilweise durch die Visual Confirmation, weil da eben ein Standard benutzt wird. Das wird natürlich nicht besser wenn du diesen Standard auslagerst, sobald der dortige Captcha geknackt ist wird wieder munter gespammt.
Und da man dann nur noch an einer Stelle arbeiten muß zum knacken ist das sogar noch einfacher.


Das Verkomplizieren und individuelle Gestalten des Captchas ist der bessere Weg, weil man dann halt kein Standard-Captcha hat und die Bots extra für dieses Captcha programmiert werden müssen.

hauptsache der Server ist immer erreichbar und schnell

Hi,

darkon hat geschrieben:Das Verkomplizieren und individuelle Gestalten des Captchas ist der bessere Weg, weil man dann halt kein Standard-Captcha hat und die Bots extra für dieses Captcha programmiert werden müssen.

Stimmt, der beste Schutz ist immer noch ein möglichst individueller Bot-Schutz. Nicht umsonst gibt es in dieser Richtung zig Mods (etliche sind hier gelistet: [Sammlung] MOD's gegen automatische BOT-Registierungen). Warum sollte man es Script-Kiddis etc. unnötig einfach machen und nur eine zentrale Captcha anbieten?

Grüße
MagMo

OK, dann hat sich mein Vorschlag erledigt.