16
Orakel / Re:Sicherheitseinstellungen
« am: Di, 21. Juni 2011, 16:06 »
So, da das mit dem Telefonat irgendwie nie klappt, weil ich drüberhinkomme und das ganze auch eher komplex ist, einmal die Antwort auf diesem Wege.
Lösung 1: CAPTCHA
Dazu muß hier nichts programmiert werden. Es gibt eine Reihe fertiger Lösungen als Module für das SMF Forum. Sogar das reCAPTCHA ist verfügbar, was ne ziemlich brauchbare Quote hat im Moment (9 von 10 in etwar). reCAPTCHA ist ein 'Nebenprodukt' aus einer großangelegten Digitalisierungsaktion. Alle Wörter, die nicht vom OCR erkannt werden, werden zusätzlich verfremdet und stehen als CAPTCHA zur Verfügung (so ein paar Millionen verschiedene am Tag). Ist also für beide Seiten eine Win/Win Situation. Außerdem verändert sich der Algorithmus ständig und es ist einfach ein Dienst den man benutzt. Hat man KEINERLEI administrativen oder programmiertechnischen Aufwand mit.
Zusätzlich gibt es einige etwas abgehobenere Lösungen, wo der Benutzer z.B. eine Uhrzeit erkennen muß etc. Sowas kann für ein nicht-mainstream-Forum wie diesese hier sinnig sein.
Lösung 2: seltsame Pflichtfelder
Habe ich mich drüber schlau gemacht und nach dem, was ich im Netz so finde, verstehe ich offengesagt nicht, wie das bei Kirara funktioniert. Bots füllen Felder mit einem unglaublichen Elan aus. Daher sehe ich nicht, wie das hinzufügen kryptisch benannter Felder da zu einem Erfolg führen kann. Den einzigen Ansatz der Sinn macht und den ich gefunden habe besteht darin, das Feld in den HTML Code zu schreiben, es aber mit CSS auszubelenden. Bots sehen in der Regel den CSS Source nicht und malen stumpf irgendwas in die Felder. Da ein Benutzer es niemals zu Gesicht bekommt und daher nicht ausfüllen kann, weiß man mit ziemlicher Sicherheit, daß man es mit einem Bot zu tun hat, wenn was in dem Feld drin steht. Vielleicht meint Kiara das ja aber auch so, und ich habe es falsch verstanden. Über diese Idee gibt es aber Blogeinträge aus dem Jahr 2007 und selbst da wird angedeutet, daß dieses Vorgehen zu dem Zeitpunkt schon nicht so ganz neu ist. Es ist also im Bereich des Möglichen, daß sich Bots auf sowas eingestellt haben mittlerweile. Daß es keine Beispiele für so eine Implementierung aus dem aktuellen Zeitraum gibt, unterstützt das ein bißchen.
Bewertung der beiden Methoden:
Lösung 1 braucht kleinerlei Programmierarbeit. Wenn es nicht funktioniert, nimmt man das Modul wieder raus oder benutzt ein anderes. Außerdem hat man u.U. einen Mechanismus, der vom Betreiber aktuell gehalten wird und den man nicht anfassen muß. Lösung 2 kann druchaus funktionieren. Allerdings muß man dann händisch in die Sourcen vom SMF Forum eingreifen. Da stellt sich mir die Frage, wer macht das? Wer kann das vor allen Dingen? Ohne Unkas und Nimue beleidigen zu wollen, bin ich mir nicht so ganz sicher, ob die beiden das hinbekommen. Dazu kommt: Man möchte die Forumssoftware auch gern ab und an mal patchen, alle halbe Jahre kommt das vor. Macht man die Änderungen dann von Hand wieder? Geht der Patchvorgang sogar evtl. dadurch karputt? Außerdem ist hier die Frage: Was tun wenns brennt? Lösung 1 ist Modular und kann einfach ausgetauscht werden, sollte sie versagen. Wie hoch ist der Aufwand da bei Lösung2? Welchen anderen Verteidigungsmechanismus hat man überhaupt, wenn Bots das Dummy-Feld irgendwann korrekt identifizieren können? Wieder die Frage: Wer macht das dann? Nichmal das entfernen von 'karputten' Titeln aus dem Stream funktioniert zeitnahe (das ist keine Wertung, nur eine Feststellung). Wieviel Spam läuft hier auf, wenn sich keiner damit auseinandersetzen kann für, sagen wir ne Woche, daß Lösung2 explodiert ist? Das kann im Fall 1 natürlich auch auftreten aber dort muß wie gesagt nur ein Modul geändert werden.
Zusätzlich gibt es zu bedenken: Es gibt keine 100%ig Sicherheit. Spätestens wenn das Lösen von solchen Challenges an arme Chinesen oder 'Pono Farmen' ausgelagert wird, kann kein Mechanismus mehr greifen (Menschen bestehen in aller Regel jeden Turingtest).
Nimue, Du mußt Dich also fragen, was Du besser supporten kannst und bei welcher Methode Du besser auf nen 'Fehlschlag' reagieren kannst. Das ist meine auf Quellen und nicht eigene Annahmen gestützte, fachliche Meinung zu dem Thema. Das ist keine Theorie, sondern durch Fälle und Zahlen in der realen Welt belegt. Mehr kann und will ich zu diesem Thema nicht sagen.
Gruß
Lorgarn
Lösung 1: CAPTCHA
Dazu muß hier nichts programmiert werden. Es gibt eine Reihe fertiger Lösungen als Module für das SMF Forum. Sogar das reCAPTCHA ist verfügbar, was ne ziemlich brauchbare Quote hat im Moment (9 von 10 in etwar). reCAPTCHA ist ein 'Nebenprodukt' aus einer großangelegten Digitalisierungsaktion. Alle Wörter, die nicht vom OCR erkannt werden, werden zusätzlich verfremdet und stehen als CAPTCHA zur Verfügung (so ein paar Millionen verschiedene am Tag). Ist also für beide Seiten eine Win/Win Situation. Außerdem verändert sich der Algorithmus ständig und es ist einfach ein Dienst den man benutzt. Hat man KEINERLEI administrativen oder programmiertechnischen Aufwand mit.
Zusätzlich gibt es einige etwas abgehobenere Lösungen, wo der Benutzer z.B. eine Uhrzeit erkennen muß etc. Sowas kann für ein nicht-mainstream-Forum wie diesese hier sinnig sein.
Lösung 2: seltsame Pflichtfelder
Habe ich mich drüber schlau gemacht und nach dem, was ich im Netz so finde, verstehe ich offengesagt nicht, wie das bei Kirara funktioniert. Bots füllen Felder mit einem unglaublichen Elan aus. Daher sehe ich nicht, wie das hinzufügen kryptisch benannter Felder da zu einem Erfolg führen kann. Den einzigen Ansatz der Sinn macht und den ich gefunden habe besteht darin, das Feld in den HTML Code zu schreiben, es aber mit CSS auszubelenden. Bots sehen in der Regel den CSS Source nicht und malen stumpf irgendwas in die Felder. Da ein Benutzer es niemals zu Gesicht bekommt und daher nicht ausfüllen kann, weiß man mit ziemlicher Sicherheit, daß man es mit einem Bot zu tun hat, wenn was in dem Feld drin steht. Vielleicht meint Kiara das ja aber auch so, und ich habe es falsch verstanden. Über diese Idee gibt es aber Blogeinträge aus dem Jahr 2007 und selbst da wird angedeutet, daß dieses Vorgehen zu dem Zeitpunkt schon nicht so ganz neu ist. Es ist also im Bereich des Möglichen, daß sich Bots auf sowas eingestellt haben mittlerweile. Daß es keine Beispiele für so eine Implementierung aus dem aktuellen Zeitraum gibt, unterstützt das ein bißchen.
Bewertung der beiden Methoden:
Lösung 1 braucht kleinerlei Programmierarbeit. Wenn es nicht funktioniert, nimmt man das Modul wieder raus oder benutzt ein anderes. Außerdem hat man u.U. einen Mechanismus, der vom Betreiber aktuell gehalten wird und den man nicht anfassen muß. Lösung 2 kann druchaus funktionieren. Allerdings muß man dann händisch in die Sourcen vom SMF Forum eingreifen. Da stellt sich mir die Frage, wer macht das? Wer kann das vor allen Dingen? Ohne Unkas und Nimue beleidigen zu wollen, bin ich mir nicht so ganz sicher, ob die beiden das hinbekommen. Dazu kommt: Man möchte die Forumssoftware auch gern ab und an mal patchen, alle halbe Jahre kommt das vor. Macht man die Änderungen dann von Hand wieder? Geht der Patchvorgang sogar evtl. dadurch karputt? Außerdem ist hier die Frage: Was tun wenns brennt? Lösung 1 ist Modular und kann einfach ausgetauscht werden, sollte sie versagen. Wie hoch ist der Aufwand da bei Lösung2? Welchen anderen Verteidigungsmechanismus hat man überhaupt, wenn Bots das Dummy-Feld irgendwann korrekt identifizieren können? Wieder die Frage: Wer macht das dann? Nichmal das entfernen von 'karputten' Titeln aus dem Stream funktioniert zeitnahe (das ist keine Wertung, nur eine Feststellung). Wieviel Spam läuft hier auf, wenn sich keiner damit auseinandersetzen kann für, sagen wir ne Woche, daß Lösung2 explodiert ist? Das kann im Fall 1 natürlich auch auftreten aber dort muß wie gesagt nur ein Modul geändert werden.
Zusätzlich gibt es zu bedenken: Es gibt keine 100%ig Sicherheit. Spätestens wenn das Lösen von solchen Challenges an arme Chinesen oder 'Pono Farmen' ausgelagert wird, kann kein Mechanismus mehr greifen (Menschen bestehen in aller Regel jeden Turingtest).
Nimue, Du mußt Dich also fragen, was Du besser supporten kannst und bei welcher Methode Du besser auf nen 'Fehlschlag' reagieren kannst. Das ist meine auf Quellen und nicht eigene Annahmen gestützte, fachliche Meinung zu dem Thema. Das ist keine Theorie, sondern durch Fälle und Zahlen in der realen Welt belegt. Mehr kann und will ich zu diesem Thema nicht sagen.
Gruß
Lorgarn