16

Orakel / Re:Sicherheitseinstellungen

« am: Di, 21. Juni 2011, 16:06 »

So, da das mit dem Telefonat irgendwie nie klappt, weil ich drüberhinkomme und das ganze auch eher komplex ist, einmal die Antwort auf diesem Wege.

Lösung 1: CAPTCHA
Dazu muß hier nichts programmiert werden. Es gibt eine Reihe fertiger Lösungen als Module für das SMF Forum. Sogar das reCAPTCHA ist verfügbar, was ne ziemlich brauchbare Quote hat im Moment (9 von 10 in etwar). reCAPTCHA ist ein 'Nebenprodukt' aus einer großangelegten Digitalisierungsaktion. Alle Wörter, die nicht vom OCR erkannt werden, werden zusätzlich verfremdet und stehen als CAPTCHA zur Verfügung (so ein paar Millionen verschiedene am Tag). Ist also für beide Seiten eine Win/Win Situation. Außerdem verändert sich der Algorithmus ständig und es ist einfach ein Dienst den man benutzt. Hat man KEINERLEI administrativen oder programmiertechnischen Aufwand mit.
Zusätzlich gibt es einige etwas abgehobenere Lösungen, wo der Benutzer z.B. eine Uhrzeit erkennen muß etc. Sowas kann für ein nicht-mainstream-Forum wie diesese hier sinnig sein.

Lösung 2: seltsame Pflichtfelder
Habe ich mich drüber schlau gemacht und nach dem, was ich im Netz so finde, verstehe ich offengesagt nicht, wie das bei Kirara funktioniert. Bots füllen Felder mit einem unglaublichen Elan aus. Daher sehe ich nicht, wie das hinzufügen kryptisch benannter Felder da zu einem Erfolg führen kann.  Den einzigen Ansatz der Sinn macht und den ich gefunden habe besteht darin, das Feld in den HTML Code zu schreiben, es aber mit CSS auszubelenden. Bots sehen in der Regel den CSS Source nicht und malen stumpf irgendwas in die Felder. Da ein Benutzer es niemals zu Gesicht bekommt und daher nicht ausfüllen kann, weiß man mit ziemlicher Sicherheit, daß man es mit einem Bot zu tun hat, wenn was in dem Feld drin steht. Vielleicht meint Kiara das ja aber auch so, und ich habe es falsch verstanden. Über diese Idee gibt es aber Blogeinträge aus dem Jahr 2007 und selbst da wird angedeutet, daß dieses Vorgehen zu dem Zeitpunkt schon nicht so ganz neu ist. Es ist also im Bereich des Möglichen, daß sich Bots auf sowas eingestellt haben mittlerweile. Daß es keine Beispiele für so eine Implementierung aus dem aktuellen Zeitraum gibt, unterstützt das ein bißchen.

Bewertung der beiden Methoden:
Lösung 1 braucht kleinerlei Programmierarbeit. Wenn es nicht funktioniert, nimmt man das Modul wieder raus oder benutzt ein anderes. Außerdem hat man u.U. einen Mechanismus, der vom Betreiber aktuell gehalten wird und den man nicht anfassen muß. Lösung 2 kann druchaus funktionieren. Allerdings muß man dann händisch in die Sourcen vom SMF Forum eingreifen. Da stellt sich mir die Frage, wer macht das? Wer kann das vor allen Dingen? Ohne Unkas und Nimue beleidigen zu wollen, bin ich mir nicht so ganz sicher, ob die beiden das hinbekommen. Dazu kommt: Man möchte die Forumssoftware auch gern ab und an mal patchen, alle halbe Jahre kommt das vor. Macht man die Änderungen dann von Hand wieder? Geht der Patchvorgang sogar evtl. dadurch karputt? Außerdem ist hier die Frage: Was tun wenns brennt? Lösung 1 ist Modular und kann einfach ausgetauscht werden, sollte sie versagen. Wie hoch ist der Aufwand da bei Lösung2? Welchen anderen Verteidigungsmechanismus hat man überhaupt, wenn Bots das Dummy-Feld irgendwann korrekt identifizieren können? Wieder die Frage: Wer macht das dann? Nichmal das entfernen von 'karputten' Titeln aus dem Stream funktioniert zeitnahe (das ist keine Wertung, nur eine Feststellung). Wieviel Spam läuft hier auf, wenn sich keiner damit auseinandersetzen kann für, sagen wir ne Woche, daß Lösung2 explodiert ist? Das kann im Fall 1 natürlich auch auftreten aber dort muß wie gesagt nur ein Modul geändert werden.

Zusätzlich gibt es zu bedenken: Es gibt keine 100%ig Sicherheit. Spätestens wenn das Lösen von solchen Challenges an arme Chinesen oder 'Pono Farmen' ausgelagert wird, kann kein Mechanismus mehr greifen (Menschen bestehen in aller Regel jeden Turingtest).

Nimue, Du mußt Dich also fragen, was Du besser supporten kannst und bei welcher Methode Du besser auf nen 'Fehlschlag' reagieren kannst. Das ist meine auf Quellen und nicht eigene Annahmen gestützte, fachliche Meinung zu dem Thema. Das ist keine Theorie, sondern durch Fälle und Zahlen in der realen Welt belegt. Mehr kann und will ich zu diesem Thema nicht sagen.

Gruß
Lorgarn

17

Orakel / Re:Sicherheitseinstellungen

« am: Mi, 15. Juni 2011, 13:16 »

Lorgarn, es ist ja nicht schlimm, dass Du einer anderen Meinung bist, aber das Du im Gegensatz zu mir alles nur aus der Theorie aufbaust, ohne auch nur eins davon mal wirklich praxisnah zu testen, das macht die Sache schlimm. Auch wenn ich keine großen Studien von irgendwelchen Instituten als Nachweis vorlegen kann, so kann ich im Gegensatz zu Dir immerhin eigene Praxiserfahrung mitteilen.

Genau darum geht es. Was ich oder Du in der Sache testen, hat im vergleich zu großen, etablierten Foren überhaupt keinerlei Aussagekraft. Mein Forum hat ebenfalls keinerlei Probleme mit Spambots obwolh ich überhauptkeine Maßnahmen treffe. Soll ich nun aus meiner 'Praxiserfahrung' dazu raten, nichts zu unternehmen, weil sich das Problem schon selber regeln wird?
Ich baue nichts auf Theorien auf sondern aus den realen Erkenntnissen, die im Zusammenhang mit Foren aufgelaufen sind, die Mitgliederzahlen im 4 bis 5 stelligen Bereich haben und die nutzen eigentlich alle eine CAPTCHA Implementierung. Aber selbstverständlich haben die 'es alle nicht drauf' und machen den ganzen Humpa vergeblich. Sie müßten nur zwei Pflichtfelder mit aufnehmen und hätten keine Sorgen mehr. Sorry, klingt für mich nicht realistisch.

Du verwirfst scheinbar meinen Ansatz einfach nur weil es zu einfach klingt und dies obwohl ich nun schon mehrfach gesagt habe, das ich mir damit nun sämtliche Bots vom Hals gehalten bekomme. Oder meinst Du wirklich bei mir klopfen andere Bots an die Tür als in diesem Forum?

Ich verwerfe ihn aus dem Gund, weil er auf Obfuscation basiert und nicht auf nem Sicherheitsmechanismus. Und was dieses Vorgehen angeht hat die Erfahrung (wieder nicht meine, sondern die von vielen, vielen Personen und Firmen, die damit in den letzten Jahrzehnten aufs Gesicht gefallen sind) gezeigt, daß eben dieses Vorgehen nicht tauglich ist. Der Aufwand nen Bot da irgendwas eintragenzulassen ist verschwindend gering. Nur bist Du mit Deinem Forum wahrscheinlich kein 'Primärziel'. Aber je mehr Leuten Du davon erzählst, und je mehr Leute Du dazu bringst es zu benutzen, desto mehr wird es sich rumsprechen und irgendwann wird dann möglicherweise der kritische Punkt erreicht sein, wo Bots das aufeinmal raffen werden, weil es Sinn macht, darauf zu prüfen.
Aber selbstverständlich liegt es mit keinem Wort an mir, was Du oder irgendwer anders benutzt oder nicht benutzt. Wie gesagt: Wenn es funktioniert: Fein. Keinen Streß.

Gruß
Lorgarn

18

Orakel / Re:Sicherheitseinstellungen

« am: Mi, 15. Juni 2011, 11:50 »

Duhuuu Lorgarn...wollen wir die Tage mal Skypen?
Ich hab irwie echt keinen Nerv jeden Tag knapp 50 Anmeldungen zu überprüfen...die meisten sind zwar offensichtlich absurd, aber manche sind schon so gut, dass nich mal google wirklich sicher ausspuckt, obs n Bot is oder wer echtes...

Ich bin irgendwie blind. Tut mir leid, hab Deinen Beitrag hier überlesen. Wir können da gerne mal drüber sprechen, aber Skype kann ich leider aus religiösen Gründen nicht nutzen.

Gruß
Lorgarn

19

Orakel / Re:Sicherheitseinstellungen

« am: Mi, 15. Juni 2011, 09:39 »

Lorgarn, meine Methode ist im Gegensatz zur Captcha Methode geprüft und sie ist extrem Userfreundlich

Wer hat sie denn geprüft? Hat das Verfahren einen Namen? Wo kann man Informationen zu dem Verfahren herbekommen?

- warum also auf den verdammten Captchas bestehen, wenn es auch viel einfacher und wesentlich effektiver geht? Also mit anderen Worten, ich halte meine Lösung nicht nur für Effektiver, sondern weiß es, da dies bei mir seit vielen Wochen erfolgreich im Test ist.

Genau das ist der Punkt den ich anders sehe, es ist aus meiner Sicht eben nicht effektiver. Das Du es seit ein paar Wochen benutzt trifft nur eine sehr eingeschränkte Aussage darüber, wie tauglich das Verfahren ist.

Was die Captcha ansich angeht, habe ich mehrere getestet. Zum einen die Forum-Eigenen, als auch das was im Moment fast alle nutzen (keine Ahnung, war das von Google?) - alles eigene generierte zufällige Bilder, also nicht mit vorhersagbar. Also mit anderen Worten, Du kommst nicht darum herum das Captcha komplett neu zu erfinden, und es auf keinen Fall weiter zu geben (wird es bekannt, wird es umgangen/gelöst). Lediglich bei Individuallösungen scheitern bis jetzt alle Bots, da sich niemand die Mühe macht den Bot für nur eine potentielle Seite extra zu programmieren.

CAPTCHA hat, wie ich schon schrieb nichts damit zu tun, daß man Geheimniskrämerei betreibt, sondern daß es fehlerhafte Umsetzungen / Implementierungen davon gibt, die angreifbar sind. Sicherheit erreiche ich nie durch Verschleierung.
Man findet ganz gut was zum Thema Sicherheit von CAPTCHA wenn man sich über Google oder die Wikipedia mal Foren und Webseiten zu dem Thema raussucht, und ich denke schon, daß ich diese auf Grund meiner Vorbildung auch recht gut bewerten kann. Davon ausgehend, habe ich meinen ersten Post hierzu verfaßt. Deine Gegenargumentation ist jetzt 'bei mir funktioniert das aber ganz toll'. Naja, mag ja sein. Ist ja auch toll wenn es für Dich funktioniert. Drauf bauen würd ich dennoch nicht, aber gut, halten wir einfach fest, daß wir verschiedener Meinung in diesem Punkt sind.

Gruß
Lorgarn

20

Orakel / Re:Sicherheitseinstellungen

« am: Di, 14. Juni 2011, 15:24 »

Hust...
sorry, aber die Verwundbarkeit von CAPTCHA liegt in kaputter Implementierung, vorprozessierbaren Images oder darin, daß man so wenige hat, daß man über die SessionID ne Liste aufstellen kann, was für welches Bild die richtige Lösung ist. Das ist also eine Frage, wie man das umsetzt und keine Schwäche des Mechanismusses an sich.  Alles in allem halte ich das (eine vernuftige Implementierung vorausgesetzt) für bei weitem effektiver als Deine Pflichtfeldlösung.

Gruß
Lorgarn

21

Anschlagbrett / Re:Das Musikprogramm des Barden

« am: Mo, 06. Juni 2011, 13:24 »

Hab es tatsächlich heut geschafft, alle Titel zu entfernen bzw. neu hochzuladen. Nur das Abschneiden hab ich noch nicht geschafft, diese Titel werden erst wieder im Umlauf sein, wenn sie beschnitten wurden. ^^

Wolfenmond - Weidenkranz schweigt mich aber gerade schon wieder an. Evtl. ist Dir das Stück entkommen.

Gruß
Lorgarn

22

Anschlagbrett / Re:Das Musikprogramm des Barden

« am: Fr, 27. Mai 2011, 11:01 »

Huhu,
Duivelspack - Prolog ist immer noch drin....irgendeine Rückmeldung wäre evtl. nicht schlecht, ob jemand was ander Liste getan hat.

Gruß
Lorgarn

23

Anschlagbrett / Re:Das Musikprogramm des Barden

« am: Mi, 25. Mai 2011, 10:51 »

Noch eins mit ner langen Lücke:
Wolfenmond - Der Weidenkranz.

Gruß
Lorgarn

24

Anschlagbrett / Re:Das Musikprogramm des Barden

« am: Mo, 16. Mai 2011, 09:27 »

Und wieder eine laaaange Stille:
Duivelspack -Leben und Geben lassen.

Gruß
Lorgarn

25

Anschlagbrett / Re:Das Musikprogramm des Barden

« am: Di, 03. Mai 2011, 16:48 »

Wo ich es gerade höre: Duivelspack - Prolog ist zwar ne interessante und lustige Geschichte, aber nicht unbedingt Musik im strengen Sinn.

Gruß
Lorgarn

26

Anschlagbrett / Re:Vorschlag: Entfernen der Musikstücke mit 'Bonustracks'

« am: Mo, 11. April 2011, 16:51 »

Hallo,
die Stücke, die in Frage kommen über das Forum zu melden halte ich für ne gute Idee. Desweiteren könnte man über Stücke mit ner ernomen Spielzeit oder Dateigröße drüberschauen oder auf Stücke, die als leztes auf einem Album enthalten sind. Aber da weiß ich nicht wie viele das überhaupt sind und wie Eure Datenhaltung da aussieht, ob man überhaupt nach diesen Kriterien Stücke auflisten kann.

Gruß
Lorgarn

27

Anschlagbrett / Vorschlag: Entfernen der Musikstücke mit 'Bonustracks'

« am: Mo, 11. April 2011, 10:24 »

Hallo zusammen,
nachdem ich gerde wiedereinmal knapp 3 Minuten der Stille zwischen dem eigentlichen Lied, und dem ihm im gleichen mp3 folgenden Bonustracks lauschen mußte, möchte ich vorschlagen diese aus dem Stream zu entfernen, bzw. die entsprechenden mp3-Dateien anzupassen.

Gruß
Lorgarn

28

Funktionoblikus / Re:Nach neuem Beitrag wieder im Thema landen

« am: Di, 05. April 2011, 08:16 »

Endlich kann ich unbesorgt auf Schreiben klicken und kann hinterher noch mal ganz in Ruhe prüfen ob ich den Mist den ich da wieder geschrieben habe auch so stehen lassen darf :P

Ich will mit keinem Wort etwas gegen diese Funktionalität sagen, insbesondere weil jeder Benutzer sich das einstellen kann wie er möchte, aber hat für das zitierte Szenario der liebe Gott nicht eigentlich den Vorschau-Button erfunden?

Gruß
Lorgarn

29

Aussichtsturm / Nordcon 2011 vom 3ten bis 5ten Juni

« am: Di, 22. März 2011, 08:39 »

Hallo zusammen,
der Nordcon in Hamburg ist eine der größten Events bezüglich Rollenspiel, LARP, Tradingcardgames, Boardgames, etc, etc. Statt hier einen Roman zu verfassen verweise ich lieber einmal auf deren Webseite.

Das Programm lohnt sich auch für nur einen Tag, wenn man in der Nähe wohnt, jedenfalls aus meiner Sicht. Vermutlich bin ich am Samstag da, evtl. läuft man sich ja über den Weg.

Gruß
Lorgarn

30

Tafelrunde / Re:Verwerfliches und mehr...was euch halt grad so bewegt...

« am: Mo, 21. März 2011, 16:55 »

Da mich auf diesem Wege so viele liebe Gesundheitswünsche erreicht haben, schreib ich mal was fröhliches: Bewegungsfähigkeit ist nach gut 8Wochen wieder ganz da. Tut alles noch ein bißchen weh (insbesondere die Muskeln rebellieren nach wochenlangem Stillstand etwas gegen die Krankengymnastik) aber es schaut alles gut aus und mein Status ist, laut meines Physiotherapeuten, überdurchschnittlich gut. Tut sich also was und braucht alles vermutlich nicht ganz so lang, wie ich befürchtet habe. Nochmals Danke an alle, die hier Genesungswünsche bekundet haben.

Gruß
Lorgarn