RLboard
Radio => Orakel => Thema gestartet von: Nimue am So, 02. Januar 2011, 10:56
-
Huhus,
da leider jetzt schon nötig, habe ich die Sicherheitsvorkehrungen bei der Registrierung erhöhen müssen.
Das sollte nur Neuanmeldungen betreffen und sich nicht auf eure bestehenden Nutzerkonten auswirken.
3 Banns und Acclöschung waren damit heute auch auf der Tagesordnung. An dieser Stelle lieben Dank an jene, die mich via PN über derartige User informieren. Wenn es hier in der Zukunft mal unübersichtlicher werden sollte :lehrer: , wird mir das sehr helfen :thumbs1:
-
Wie aufmerksame Forumuser sicher bemerkt haben, werden wir seit zwei Tagen massiv mit Botanmeldungen zugespamt.
Ich habe jetzt alle Anmeldemodalitäten massiv angezogen und werde künftig von Hand freischalten...was bei dem übersichtlichen Userkreis sicherlich nich so das Problem sein dürfte^^
Wills hier nur sagen, damit ernsthafte Anmelder sich nicht wundern.
LG Nimue
-
Hi Nimue
Das Problem hatte ich im meinem Forum auch. Setze einfach ein (oder besser 2 unterschiedliche) eigene Pflichtfelder in die Registrierung. Wähle bei den Feldernamen aber irgendetwas kryptisches, damit kein inteligenter Bot damit was anfangen kann (mit Feldnamen meine ich die Variable, nicht das was im Profil als Name angezeigt wird, da sollte natürlich nichts kryptisches stehen). Ich habe bei mir im Forum zum einen ein Feld zur Bestätigung der Akzeptanz der Gildenkarta (mit ja/nein Auswahl) und noch mal zusätzlich ein Überprüfungsfeld wo man eine Zahl die als Text im Text steht eintragen muss. Seit dem habe ich nicht mehr eine Bot-Anmeldung. Wichtig hierbei ist nur bei der Erstellung der Felder auszuwählen, dass diese Pflichtfelder für die Registrierung sind.
Habe derweil seit Monaten keinen Bot mehr gehabt, der sich registriert hat und seit kurzem habe ich sogar die Freischaltung per EMail aktiviert. Habe bei mir zwar noch einen Mod installiert der die DNS des Benutzers gegen Blacklists abgleicht, aber denke das sollte auch ohne gehen, weil trotz des Mods hatte ich vor den beiden neuen Feldern immer noch Bot-Registrierungen.
Kenne leider Deine Forumsoftware nicht (bzw. hier den Adminbereich), da ich das von phpBB benutze, aber ich denke das Anlegen von benutzerdefinierten Profilfeldern gehört schon etwas länger zum Standard, so das Du es irgendwo im Adminbereich finden solltest.
Ciao
Kirara
-
...wo man eine Zahl die als Text im Text...
Captcha!
Hätte ich auch drauf kommen können, DIE Standartantwort gegen Bots!
http://www.stoppt-den-spam.info/webmaster/captcha-tutorial/index.html
ist relativ einfach erklärt, sogar mit Codeschnipseln, die man so gut wie unverändert rüber kopieren kann ^^
-
Captcha (ausser Du machst wirklich dein eigenes Ding) ist nicht effektiv genug, weil die Bots alle gängigen bis jetzt schon schaffen zu umgehen, oder zu lösen. Da man sich sein eigenes Captcha nicht zwingend selber von grund auf programmieren kann (oder falls man es kann zeitlich einfach nicht will), so ist das was ich oben vorgeschlagen habe effektiver.
Es ist also wichtig etwas zu machen, wo sich kein Bot drauf einstellen kann - dank der beiden Felder lebe ich bei mir im Forum komplett ohne Captcha. Da die Bots die Captcha erfolgreich umgehen/lösen können, ist das eh nur noch da um die Benutzer zu ärgern -> also unbedingt abschalten!
Ciao
Kirara
-
Hust...
sorry, aber die Verwundbarkeit von CAPTCHA liegt in kaputter Implementierung, vorprozessierbaren Images oder darin, daß man so wenige hat, daß man über die SessionID ne Liste aufstellen kann, was für welches Bild die richtige Lösung ist. Das ist also eine Frage, wie man das umsetzt und keine Schwäche des Mechanismusses an sich. Alles in allem halte ich das (eine vernuftige Implementierung vorausgesetzt) für bei weitem effektiver als Deine Pflichtfeldlösung.
Gruß
Lorgarn
-
Duhuuu Lorgarn...wollen wir die Tage mal Skypen?
Ich hab irwie echt keinen Nerv jeden Tag knapp 50 Anmeldungen zu überprüfen...die meisten sind zwar offensichtlich absurd, aber manche sind schon so gut, dass nich mal google wirklich sicher ausspuckt, obs n Bot is oder wer echtes...
-
Lorgarn, meine Methode ist im Gegensatz zur Captcha Methode geprüft und sie ist extrem Userfreundlich - warum also auf den verdammten Captchas bestehen, wenn es auch viel einfacher und wesentlich effektiver geht? Also mit anderen Worten, ich halte meine Lösung nicht nur für Effektiver, sondern weiß es, da dies bei mir seit vielen Wochen erfolgreich im Test ist.
Was die Captcha ansich angeht, habe ich mehrere getestet. Zum einen die Forum-Eigenen, als auch das was im Moment fast alle nutzen (keine Ahnung, war das von Google?) - alles eigene generierte zufällige Bilder, also nicht mit vorhersagbar. Also mit anderen Worten, Du kommst nicht darum herum das Captcha komplett neu zu erfinden, und es auf keinen Fall weiter zu geben (wird es bekannt, wird es umgangen/gelöst). Lediglich bei Individuallösungen scheitern bis jetzt alle Bots, da sich niemand die Mühe macht den Bot für nur eine potentielle Seite extra zu programmieren.
Also nochmal die Frage, warum sich erst die Arbeit machen ein komplett neues Captcha zu entwickeln, wenn es doch auch so einfach (und zwar getestet!) geht?
Ciao
Kirara
-
Lorgarn, meine Methode ist im Gegensatz zur Captcha Methode geprüft und sie ist extrem Userfreundlich
Wer hat sie denn geprüft? Hat das Verfahren einen Namen? Wo kann man Informationen zu dem Verfahren herbekommen?
- warum also auf den verdammten Captchas bestehen, wenn es auch viel einfacher und wesentlich effektiver geht? Also mit anderen Worten, ich halte meine Lösung nicht nur für Effektiver, sondern weiß es, da dies bei mir seit vielen Wochen erfolgreich im Test ist.
Genau das ist der Punkt den ich anders sehe, es ist aus meiner Sicht eben nicht effektiver. Das Du es seit ein paar Wochen benutzt trifft nur eine sehr eingeschränkte Aussage darüber, wie tauglich das Verfahren ist.
Was die Captcha ansich angeht, habe ich mehrere getestet. Zum einen die Forum-Eigenen, als auch das was im Moment fast alle nutzen (keine Ahnung, war das von Google?) - alles eigene generierte zufällige Bilder, also nicht mit vorhersagbar. Also mit anderen Worten, Du kommst nicht darum herum das Captcha komplett neu zu erfinden, und es auf keinen Fall weiter zu geben (wird es bekannt, wird es umgangen/gelöst). Lediglich bei Individuallösungen scheitern bis jetzt alle Bots, da sich niemand die Mühe macht den Bot für nur eine potentielle Seite extra zu programmieren.
CAPTCHA hat, wie ich schon schrieb nichts damit zu tun, daß man Geheimniskrämerei betreibt, sondern daß es fehlerhafte Umsetzungen / Implementierungen davon gibt, die angreifbar sind. Sicherheit erreiche ich nie durch Verschleierung.
Man findet ganz gut was zum Thema Sicherheit von CAPTCHA wenn man sich über Google oder die Wikipedia mal Foren und Webseiten zu dem Thema raussucht, und ich denke schon, daß ich diese auf Grund meiner Vorbildung auch recht gut bewerten kann. Davon ausgehend, habe ich meinen ersten Post hierzu verfaßt. Deine Gegenargumentation ist jetzt 'bei mir funktioniert das aber ganz toll'. Naja, mag ja sein. Ist ja auch toll wenn es für Dich funktioniert. Drauf bauen würd ich dennoch nicht, aber gut, halten wir einfach fest, daß wir verschiedener Meinung in diesem Punkt sind.
Gruß
Lorgarn
-
Duhuuu Lorgarn...wollen wir die Tage mal Skypen?
Ich hab irwie echt keinen Nerv jeden Tag knapp 50 Anmeldungen zu überprüfen...die meisten sind zwar offensichtlich absurd, aber manche sind schon so gut, dass nich mal google wirklich sicher ausspuckt, obs n Bot is oder wer echtes...
Ich bin irgendwie blind. Tut mir leid, hab Deinen Beitrag hier überlesen. Wir können da gerne mal drüber sprechen, aber Skype kann ich leider aus religiösen Gründen nicht nutzen.
Gruß
Lorgarn
-
*gg*
stimmt ja, da war was^^
na dann telefonieren wir vielleicht mal traditioinell oder nutzen TS oder so...ich halt das hier schon noch n paar Tage aus, aber ein Dauerzustand kanns nich sein^^
-
Lorgarn, es ist ja nicht schlimm, dass Du einer anderen Meinung bist, aber das Du im Gegensatz zu mir alles nur aus der Theorie aufbaust, ohne auch nur eins davon mal wirklich praxisnah zu testen, das macht die Sache schlimm. Auch wenn ich keine großen Studien von irgendwelchen Instituten als Nachweis vorlegen kann, so kann ich im Gegensatz zu Dir immerhin eigene Praxiserfahrung mitteilen.
Du verwirfst scheinbar meinen Ansatz einfach nur weil es zu einfach klingt und dies obwohl ich nun schon mehrfach gesagt habe, das ich mir damit nun sämtliche Bots vom Hals gehalten bekomme. Oder meinst Du wirklich bei mir klopfen andere Bots an die Tür als in diesem Forum?
Ciao
Kirara
PS@Nimue: Ich empfehle Dir meinen Vorschlag einfach mal auszuprobieren, sollte dies bei Dir nicht zum Erfolg führen, kannst Du immer noch den komplizierten (und ja leider auch bentutzerunfreundlichen) Weg beschreiten.
-
Lorgarn, es ist ja nicht schlimm, dass Du einer anderen Meinung bist, aber das Du im Gegensatz zu mir alles nur aus der Theorie aufbaust, ohne auch nur eins davon mal wirklich praxisnah zu testen, das macht die Sache schlimm. Auch wenn ich keine großen Studien von irgendwelchen Instituten als Nachweis vorlegen kann, so kann ich im Gegensatz zu Dir immerhin eigene Praxiserfahrung mitteilen.
Genau darum geht es. Was ich oder Du in der Sache testen, hat im vergleich zu großen, etablierten Foren überhaupt keinerlei Aussagekraft. Mein Forum hat ebenfalls keinerlei Probleme mit Spambots obwolh ich überhauptkeine Maßnahmen treffe. Soll ich nun aus meiner 'Praxiserfahrung' dazu raten, nichts zu unternehmen, weil sich das Problem schon selber regeln wird?
Ich baue nichts auf Theorien auf sondern aus den realen Erkenntnissen, die im Zusammenhang mit Foren aufgelaufen sind, die Mitgliederzahlen im 4 bis 5 stelligen Bereich haben und die nutzen eigentlich alle eine CAPTCHA Implementierung. Aber selbstverständlich haben die 'es alle nicht drauf' und machen den ganzen Humpa vergeblich. Sie müßten nur zwei Pflichtfelder mit aufnehmen und hätten keine Sorgen mehr. Sorry, klingt für mich nicht realistisch.
Du verwirfst scheinbar meinen Ansatz einfach nur weil es zu einfach klingt und dies obwohl ich nun schon mehrfach gesagt habe, das ich mir damit nun sämtliche Bots vom Hals gehalten bekomme. Oder meinst Du wirklich bei mir klopfen andere Bots an die Tür als in diesem Forum?
Ich verwerfe ihn aus dem Gund, weil er auf Obfuscation basiert und nicht auf nem Sicherheitsmechanismus. Und was dieses Vorgehen angeht hat die Erfahrung (wieder nicht meine, sondern die von vielen, vielen Personen und Firmen, die damit in den letzten Jahrzehnten aufs Gesicht gefallen sind) gezeigt, daß eben dieses Vorgehen nicht tauglich ist. Der Aufwand nen Bot da irgendwas eintragenzulassen ist verschwindend gering. Nur bist Du mit Deinem Forum wahrscheinlich kein 'Primärziel'. Aber je mehr Leuten Du davon erzählst, und je mehr Leute Du dazu bringst es zu benutzen, desto mehr wird es sich rumsprechen und irgendwann wird dann möglicherweise der kritische Punkt erreicht sein, wo Bots das aufeinmal raffen werden, weil es Sinn macht, darauf zu prüfen.
Aber selbstverständlich liegt es mit keinem Wort an mir, was Du oder irgendwer anders benutzt oder nicht benutzt. Wie gesagt: Wenn es funktioniert: Fein. Keinen Streß.
Gruß
Lorgarn
-
Ich denke, wir sollten tatsächlich einfach mal testen - und mit welcher Variante wir dabei beginnen, überlasse ich mal eben Frau Forenadmin. :blumenstrauss: XD
-
Ich such grade den "Like"-Button zu Unkas Beitrag =D
Wenns für euch funzt schön und gut und keiner hier wird wirklich ne Peilung davon haben wies wirklich läuft, jeder kanns nur ahnen.
Sorry aber selbst Leute mit Cyber-Vergangenheit benutzen teilweise andere Methoden... so wie sich die bessere DVD mit BluRay zusammen auf den markt Gedrängelt hat, aber nur die BluRay überlebt hat... warum auch immer. Es wird jedenfalls trotz allem immer Konkurrenzprodukte geben.
Und son Botbausatz fürn 10er bekommt jeder, wer Ahnung von HTML hat kann sich das Ding sogar auf 1-2 Foren anpassen, wenns sein muss (dauert meist keine 3 Minuten und man hat Wochenlang "Spaß" dran, bis jemand endlich was dagegen tut. z.B. auf manuelle Übernahme der Anmeldungen zu setzen! Das funzt derzeit ja wohl am besten, wenn man betrachtet das es in diesem Forum kein einzigen Bot mehr gibt! Statistisch gesehen also eh das sicherste Verfahren ;) Aber traue keiner Statistik, die du nicht selbst gefälscht hast.)
Und zu guter letzt wollt ich anmerken, dass man mit SCHULINFORMATIK, sprich: Delphi 4 in meinem Falle, es wunderbar schafft Spambots zu kreieren die in unter einer Stunde mit minimalen Vorkentnissen fertig sind und so schnell in der Klasse beliebt waren, dass es irrelevant ist, was man dagegen setzt.
Meistens reichts doch aus 3-4 Zeilen Code anzupassen und man hat ein Programm, dass auf dem selben Wege arbeitet aber trotzdem neu getarnt ist...
Bei Captcha hat man natürlich den Nachteil, dass diese irgendwann geknackt werden, falls das Interesse besteht. Man betrachte z.B. mal den J-Downloader. Rapidshare baut ein neues Captchasystem ein, zwei Tage lang muss der Nutzer die Captchas per Hand eingeben, dann kam das Update!
Wenn also interesse da ist, sind Captchas ganz schnell unnötig!
Aber Pflichtfelder implementieren ist eben auch mit ein paar Codezeilen umgangen...
Hat eben alles so seine Schwächen und solange man versucht seine Foren und Co. zu schützen, so lange wird es Leute geben, die sich einen Spaß daraus machen die neu entwickelten Abwehrmechanismen zu umgehen, auszuhebeln oder umzukehren.
Ich denke, dass Nimue am Ende eh entscheidet was für das RL-Board am besten ist, wie Unkas schon sagte.
Hoffe aber auch, dass ich den Streit ein wenig schlichten konnte... wenn nicht, dann zickt lieber mich an und das per Chat und net hier im Thread.
-
Aber wir zicken uns doch gar nicht (mehr) an - genaugenommen haben wir sogar genau den selben Gedanken und der geht weg von der Stangenware und hin zur Individuallösung. Solange die Seite (ohne es jetzt negativ zu meinen) absolut uninteressant bleibt, wird sich kaum jemand die Mühe machen diese Individuallösung zu umgehen/zu lösen.
Dein Beispiel bezüglich Captcha und Rapidshare finde ich übrigens sehr gelungen. Da Bots die Dinger wesentlich (und ich meine wirklich wesentlich) einfacher lösen können als es ein Mensch kann, ist es halt vergebene Liebesmühe und nur ein Ärger für den Benutzer (jeder der schon öfter mal mit dem Lösen von Captchas konfrontiert wurde, weiß sicher wovon ich spreche).
Das meine Lösung sicher nicht die Sicherste ist geb ich ja zu, aber sie kann bei erneutem Befall von jedem Admin, ohne jegliche Programmierkenntnisse sofort angepasst werden (also wesentlich einfacher als erstmal den Dreamweaver oder ähnliches Prog zu starten und im Soucecode rumzuwerkeln). Dies geht natürlich nur so lange gut, bis die Bots annähernd menschliche Intelligenz erreichen, aber dann brauchen wir uns über Captchas oder sonstige Sicherheitsmaßnahmen auch nicht mehr zu unterhalten, weil dann alles was ein Mensch umgehen kann auch der Bot umgehen kann, aber soweit sind wir zum Glück noch nicht :)
Ciao
Kirara
-
So, da das mit dem Telefonat irgendwie nie klappt, weil ich drüberhinkomme und das ganze auch eher komplex ist, einmal die Antwort auf diesem Wege.
Lösung 1: CAPTCHA
Dazu muß hier nichts programmiert werden. Es gibt eine Reihe fertiger Lösungen als Module für das SMF Forum. Sogar das reCAPTCHA ist verfügbar, was ne ziemlich brauchbare Quote hat im Moment (9 von 10 in etwar). reCAPTCHA ist ein 'Nebenprodukt' aus einer großangelegten Digitalisierungsaktion. Alle Wörter, die nicht vom OCR erkannt werden, werden zusätzlich verfremdet und stehen als CAPTCHA zur Verfügung (so ein paar Millionen verschiedene am Tag). Ist also für beide Seiten eine Win/Win Situation. Außerdem verändert sich der Algorithmus ständig und es ist einfach ein Dienst den man benutzt. Hat man KEINERLEI administrativen oder programmiertechnischen Aufwand mit.
Zusätzlich gibt es einige etwas abgehobenere Lösungen, wo der Benutzer z.B. eine Uhrzeit erkennen muß etc. Sowas kann für ein nicht-mainstream-Forum wie diesese hier sinnig sein.
Lösung 2: seltsame Pflichtfelder
Habe ich mich drüber schlau gemacht und nach dem, was ich im Netz so finde, verstehe ich offengesagt nicht, wie das bei Kirara funktioniert. Bots füllen Felder mit einem unglaublichen Elan aus. Daher sehe ich nicht, wie das hinzufügen kryptisch benannter Felder da zu einem Erfolg führen kann. Den einzigen Ansatz der Sinn macht und den ich gefunden habe besteht darin, das Feld in den HTML Code zu schreiben, es aber mit CSS auszubelenden. Bots sehen in der Regel den CSS Source nicht und malen stumpf irgendwas in die Felder. Da ein Benutzer es niemals zu Gesicht bekommt und daher nicht ausfüllen kann, weiß man mit ziemlicher Sicherheit, daß man es mit einem Bot zu tun hat, wenn was in dem Feld drin steht. Vielleicht meint Kiara das ja aber auch so, und ich habe es falsch verstanden. Über diese Idee gibt es aber Blogeinträge aus dem Jahr 2007 und selbst da wird angedeutet, daß dieses Vorgehen zu dem Zeitpunkt schon nicht so ganz neu ist. Es ist also im Bereich des Möglichen, daß sich Bots auf sowas eingestellt haben mittlerweile. Daß es keine Beispiele für so eine Implementierung aus dem aktuellen Zeitraum gibt, unterstützt das ein bißchen.
Bewertung der beiden Methoden:
Lösung 1 braucht kleinerlei Programmierarbeit. Wenn es nicht funktioniert, nimmt man das Modul wieder raus oder benutzt ein anderes. Außerdem hat man u.U. einen Mechanismus, der vom Betreiber aktuell gehalten wird und den man nicht anfassen muß. Lösung 2 kann druchaus funktionieren. Allerdings muß man dann händisch in die Sourcen vom SMF Forum eingreifen. Da stellt sich mir die Frage, wer macht das? Wer kann das vor allen Dingen? Ohne Unkas und Nimue beleidigen zu wollen, bin ich mir nicht so ganz sicher, ob die beiden das hinbekommen. Dazu kommt: Man möchte die Forumssoftware auch gern ab und an mal patchen, alle halbe Jahre kommt das vor. Macht man die Änderungen dann von Hand wieder? Geht der Patchvorgang sogar evtl. dadurch karputt? Außerdem ist hier die Frage: Was tun wenns brennt? Lösung 1 ist Modular und kann einfach ausgetauscht werden, sollte sie versagen. Wie hoch ist der Aufwand da bei Lösung2? Welchen anderen Verteidigungsmechanismus hat man überhaupt, wenn Bots das Dummy-Feld irgendwann korrekt identifizieren können? Wieder die Frage: Wer macht das dann? Nichmal das entfernen von 'karputten' Titeln aus dem Stream funktioniert zeitnahe (das ist keine Wertung, nur eine Feststellung). Wieviel Spam läuft hier auf, wenn sich keiner damit auseinandersetzen kann für, sagen wir ne Woche, daß Lösung2 explodiert ist? Das kann im Fall 1 natürlich auch auftreten aber dort muß wie gesagt nur ein Modul geändert werden.
Zusätzlich gibt es zu bedenken: Es gibt keine 100%ig Sicherheit. Spätestens wenn das Lösen von solchen Challenges an arme Chinesen oder 'Pono Farmen' ausgelagert wird, kann kein Mechanismus mehr greifen (Menschen bestehen in aller Regel jeden Turingtest).
Nimue, Du mußt Dich also fragen, was Du besser supporten kannst und bei welcher Methode Du besser auf nen 'Fehlschlag' reagieren kannst. Das ist meine auf Quellen und nicht eigene Annahmen gestützte, fachliche Meinung zu dem Thema. Das ist keine Theorie, sondern durch Fälle und Zahlen in der realen Welt belegt. Mehr kann und will ich zu diesem Thema nicht sagen.
Gruß
Lorgarn
-
Ich kann leider nicht sagen warum es bei mir funktioniert - es hat jedenfalls nichts mit versteckten Feldern zu tun. Möglicherweise liegt es daran das ich in dem rein deutschen Forum auch eine deutsche Frage stelle (der Bot also gar nicht weiß was ich da eingetragen haben will). Möglicherweise gibt es wirklich keine Bots die auf nicht-standard Variablen reagieren können. Ich vermute aber mal eher, das es an der Frage liegt und diese übersetzt oder nicht, einrfach nicht ins auswerteschema des Bots passt. Jedenfalls hat mir weder das Captcha (wohlgemerkt Verschiedene mit unterschiedlichen Einstellungen, zum Teil so schwer das es für einen Menschen schon fast nicht mehr zu lösen war), noch die DNS-Blacklisten wirklich Ruhe gebracht.
Also ich kann wirklich nicht sagen wo dran es liegt, habe nicht irgendwo getrickst (also sprich ich hab nichts eingebaut von dem ich hier nichts geschrieben hab) und kann nur sagen, es funktioniert.
Ciao
Kirara
-
Ein kleiner Nachtrag zu meinen Gedanken oben:
Es mag auch sein, dass durch die großflächig eingesetzten Captchas die Bots nur noch darauf optimiert werden und es nur deswegen bei mir funktioniert. Dies würde dann auch wieder meine These stützen die ich schon mal aufgestellt habe, setze nichts ein was jeder einsetzt und Du hast Ruhe :)
Ciao
Kirara
-
Ich kann leider nicht sagen warum es bei mir funktioniert
Dann ist es auch keine Lösung! Du kannst ja nichtmal davon ausgehen, daß die Methode überhaupt für Rado Legende funktioniert. Was ist wenn Nimue sich die Arbeit damit macht und es in diesem Forum einfach nicht funktioniert? Dann sagtst Du 'Tja, das verstehe ich auch nicht, bei mir funktioniert es.' Davon kann sie sich dann aber nichts kaufen.
Gruß
Lorgarn
-
Lol - bei meiner Methode von arbeit zu sprechen ist wirklich krass. Die 2 Minuten solche Felder einzubauen, unterschreitet jedes andere Addon um Weiten (ok, vielleicht braucht man noch mal 5 Minuten es im Adminbereich zu finden :) ). Schon alleine das Einstellen des Captcha, welches schwer genug aber nicht zu schwer für einen Menschen ist, kostet schon viel viel mehr Zeit - von der Zeit ein möglichst barrierefreies Captcha zu finden mal ganz zu schweigen (AFAIK gibt es da derzeit nur das mehr schlecht als recht funktionierende von glaube Google, wo Du noch nicht mal groß Einstellmöglichkeiten hast).
Also wo ist da bitte das Problem es einfach mal auszuprobieren, wenn es doch kaum arbeit kostet?
Ciao
Kirara
-
Lol
Wenn Antworten so anfangen hab ich eh schonmal die Pappe auf....
bei meiner Methode von arbeit zu sprechen ist wirklich krass. Die 2 Minuten solche Felder einzubauen, unterschreitet jedes andere Addon um Weiten (ok, vielleicht braucht man noch mal 5 Minuten es im Adminbereich zu finden :) ).
Du fügst also einfach über ein wie auch immer aussehendes AdminTool Deiner Forensoftware ein Feld hinzu? Sorry, aber das KANN KEINERLEI HÜRDE für einen Bot sein! Ich verstehe nicht, was Du da machst, ich verstehe nicht, wie das in irgendeiner Form helfen soll. Aber hey, ich hab nun nen Diplom, was verstehe ich schon davon.
Schon alleine das Einstellen des Captcha, welches schwer genug aber nicht zu schwer für einen Menschen ist, kostet schon viel viel mehr Zeit - von der Zeit ein möglichst barrierefreies Captcha zu finden mal ganz zu schweigen (AFAIK gibt es da derzeit nur das mehr schlecht als recht funktionierende von glaube Google, wo Du noch nicht mal groß Einstellmöglichkeiten hast).
Es gibt verschiedene fertige CAPTCHA Module für diese Forumssofware hier. Runterladen, Zip entpacken, glücklich sein! Schrieb ich schon. Aber Du liest meine Beiträge ja nur auf einzelne Worte, die Du dann schön zitieren kannst. Irgendeine technische Aussage, wie Dein Verfahren funktioniert konntest Du bisher nicht geben. Stimmen im Netz zeigen mir ziemlich deutlich, daß das was Du tust so kein Schutz sein kann (wie man er richtig machen könnte, habe ich bereits geschrieben). Aber natürlich kannst Du es besser als die vielen hunderttausen Menschen auf der Welt, die sich teilweise um Foren mit bis zu 10000 Mitgliedern kümmern müssen. Die haben alle unrecht, weil Du es besser weißt, alles auf der Begründung 'bei mir klappt es ja, weiß auch nicht warum'.
Du kritisierst mich, weil mein Ansatz zu theoretisch und weltfremd sei, wie weltfremd ist denn bitteschön das, was Du hier von dir gibst, um Deine These zu stützen?
Also wo ist da bitte das Problem es einfach mal auszuprobieren, wenn es doch kaum arbeit kostet?
Darum geht es nicht, natürlich kann man das ausprobieren. Ich wurde um eine technische Einschätzung gebeten, das habe ich gemacht. Jedenfalls für die CAPTCHA Methode, zu Deinem Pflichtfeld Ansatz gib es ja nur Dein Wort als Aussage, wie gut es funktioniert und nix messbares.
Aber im endeffekt stelle ich fest, daß ich mich mal wieder um ungelegte Eier kümmere. Letztlich, geht es mich nichts an, wie und ob hier ein Spamschutz eingerichtet wird. Ich entschuldige mich für das aufblasen dieses Threats.
Gruß
Lorgarn
-
Zerreisst euch bitte nicht. Ihr habt beide eure Methoden erklärt und ob sie überzeugen und angewandt werden, werdet ihr schon erfahren. Es ist zwar sinnvoll, Vor- und Nachteile einzelner Vorgehensweise zu erläutern, aber mal ehrlich, es geht euch beiden doch mittlerweile gar nicht mehr wirklich um das Technische. Nimue wird sich schon melden, wenn sie weitere Fragen zu einer der Methoden hat. Beruhigt euch bitte wieder, regelt eure Ansichten per PN untereinander aber bitte zofft euch nicht hier im Forum.
-
Du hast wohl recht Drosselbart - es geht eigentlich nur noch darum das er meine praktische Erfahrung durch sein theoretisches Wissen komplett auszuhebeln versucht nur weil ich es nicht in der Theorie besser erklären kann. Und meine Erfahrungen mit Captchas (sowohl in der Anwendung, als auch in der Sicherheit), werden auch schlichtweg ignoriert (womöglich auch nur weil ich es in der Theorie nicht besser belegen kann).
Ich vermute aber mal dies ist der übliche Weg, wenn Praktiker und Theoretiker aneinander geraten - es wird einfach auf zu unterschiedlichen Ebenen gedacht. Aus diesem Grund sage ich hier dann auch mal fu2p (=Rest per PN, falls noch was ist).
Ciao
Kirara
-
So, seit gestern abend ist reCaptcha implementiert...mit dem sagenhaften Ergebnis, dass ich heute (bis jetzt) anstatt knapp 60 nur noch 40 erfolgreiche Anmeldungen hatte.
Ihr dürft euch also weiter Gedanken machen^^
-
So, seit gestern abend ist reCaptcha implementiert...mit dem sagenhaften Ergebnis, dass ich heute (bis jetzt) anstatt knapp 60 nur noch 40 erfolgreiche Anmeldungen hatte.
Das ist in der Tat eine sehr niedrige Quote.
Frage dazu:
-Kann man das reCAPTCHA konfigurieren und nen Einfluß auf die erzeugten Bilder nehmen?
-Kannst Du es mit einem der anderen SMF Module ersetzen? Ich meine da einige recht ausgefallene gesehen zu haben, bei denen Uhrzeiten erkannt oder Brigriffe richtigen Kategorieen zugeordnet werden müssen?
-Hast Du mit Kirara gesprochen, wie sich seine Methode bei dir einrichten läßt?
Gruß
Lorgarn
-
Ich habe gestern abend versucht Kiaras Vorschlag bezüglich des Forenupgrades auf 2.0 zu realisieren, weil das eventuell schon die Bots stoppen könnte.
Mit dem Ergebnis, das danach (trotz sauberer Installation in der Datenbank) sehr viel kaputt war (dass die Zusatzmodule nicht gehen, ist mir klar, ich meine das grundsätzlich).
Woran das liegt, kann ich leider nicht genau sagen.
Wir haben jetzt erstmal wieder auf die 1.1.14 zurückgesetzt. So wie ich bisher rausfinden konnte, ist dieses Upgrade auch nicht wirklich notwendig, weil die 1er weiter supportet werden und sicherheitstechnisch angeblich keine Nachteile entstehen, wenn man bei 1.xx bleibt.
Ich werde jetzt mal ein Testforum der 2.0 aufsetzten und mir anschauen was da alles schon an Mods zur Verfügung steht. Mit den Bots soll das aber nichts zutun haben (Maiilauskunft eines Admins von smfhacks).
Ob sich das reCaptcha konfigurieren lässt, weiß ich noch nicht - defacto wird mir nichts angezeigt, was darauf schließen lässt, aber ich wollt nochmal im support lesen.
Diese anderen Captchaarten, die du ansprichst, habe ich ebenfalls schon im Blick gehabt....das ganze heißt fürs SMF dann Anti Bot Registration Puzzle, wo man etwa Farben erkennen muss, leichte Rechenaufgaben zu lösen hat oder Ecken in einem Bild zählt...joa. Habs auch schon installiert. Allerdings kann ich es noch nicht aktiv benutzen, weils mit der Sprachdatei ein Problem gibt...muss mir erstmal die deutsche Variante schreiben, damit überhaupt was angezeigt wird.^^
Soweit von meiner Seite...
-
Nochmal ein kleines Update:
Habe neue Schlüssel von reCaptcha angefordert und das jetzt vernünftig zum Laufen gebracht (was schonmal ne ganze Menge Bots gestoppt zu haben scheint)...obendrauf hab ich jetzt noch eine kleine Ausfüllaufgabe eingebaut (Anti Bot Registration Puzzle), die nach Übersetzung jetzt ebenfalls funktioniert - und bisher ist keine unerwünschte Anmeldung mehr durchgekommen.
Mal gucken, ob überhaupt noch wer durchkommt...also wer "Echtes" ^^
-
...obendrauf hab ich jetzt noch eine kleine Ausfüllaufgabe eingebaut (Anti Bot Registration Puzzle), die nach Übersetzung jetzt ebenfalls funktioniert - und bisher ist keine unerwünschte Anmeldung mehr durchgekommen.
Na hab ich doch gesagt das sowas funktioniert :-)
Wobei es sogar noch umfangreicher umgesetzt ist als meine einfache Lösung. Eventuell kommt Dir da auch noch zum Vorteil das es Übersetzt ist, weil Bots (je nachdem wie verbreitet das Addon ist) wenn dann nur die englische Version kennen und interpretieren würden und nicht diese individualisierte Version.
Eventuell könntest Du nun auch wie ich komplett auf das Captcha verzichten - wenn Du mal lusten hast, kannst Du es ja ausprobieren.
Ciao
Kirara
-
Hmm nur eine Neuregistrierung am gesamten Samstag - das nenn ich doch mal Erfolg auf ganzer Linie :-)
BTW - Nimue, ich hoffe Dir wird nun nicht langweilig, weil Du keine Bot-Registrierungen mehr löschen musst :-P
Ciao
Kirara
-
Huhus,
also ich habe jetzt pro Tag 0-1 Bot, der die Anmeldung schafft. Damit kann ich prima leben und das von Hand löschen.
Als ich testweise das reCaptcha ausgestellt habe, waren es sofort wieder 5 Anmeldungen in 10 Minuten^^ Das wird also anbleiben *grins*
Und nein, ich werde mich nich langweilen...hab nur wieder mehr Zeit zum Basteln und Werkeln und Dies und Das^^
-
Wie es aussieht scheint sich das mit den Registrierungen nun so bei fast 0 zu halten - also würde ich sagen lass es so laufen wie es ist und probiere erst was neues, wenn die Zahl wieder ansteigen sollte.
Edit: Danke das Du das mit dem Captcha ausprobiert hast. Ich vermute mal es gibt somit Bots die das reCaptcha auschalten, dann gibt es Bots, die die Lösungsaufgaben schaffen auszuschalten (wobei ich mich da schon frage, warum die das trotz der Übersetzung schaffen) und es gibt nur einen Bot, der es schafft beide auszuschalten und sich zu registrieren (außer jemand hat eine Sicherheitslkücke im Forum gefunden und umgeht so beide).
Ciao
Kirara
-
(wobei ich mich da schon frage, warum die das trotz der Übersetzung schaffen)
Weil es maschinenlesbarer Text ist. Texte parsen ist ne Kleinigkeit. Außerdem ist der deutschsprachige Anteil hoch genug, daß es Sinn macht, darauf zu testen. Deutschland ist von der Anzehl der Benutzer in den Top5 aller Länder weltweit, die sich im Internet bewegen. Da wird es dann auch entsprechend deutschsprachige Inhalte geben.
Gruß
Lorgarn
-
Das mag ja durchaus stimmen, nur frage ich mich dann trotzdem, warum die Bots an meiner einfachen, nicht mal wechselnden Aufgabe verzweifeln. Dann müssten die das doch genauso durchparsen und entsprechend lösen können. Hab mir das Modul aber mal gerade angesehen - ist leider viel zu einfach gemacht. Von meinen ganzen Versuchen eben gerade sind bestimmt 1/3 sofort parsbar und knapp 2/3 mit Übersetzungstool im Hintergrund. Da die Aufgaben zudem nicht wirklich Abwechslungsreich sind, das Modul ja scheinbar doch recht bekannt ist und selbst so Versuche wie "FUENF" Google nicht aus den Tritt bringt und Ordnungsgemäß "five" auswirft, gehe ich sogar davon aus, wenn ein Bot das Modul drin hat, ist es zu 100% gelöst.
Ich gehe nun wirklich davon aus, das es bei mir die (ja schon oft angesprochene eigene) Individuallösung ist, welche zufällig kein Bot kennt und da meine Seite eher unbedeutend ist wohl auch nur dann gelöst wird, wenn ein Modprogrammierer genau das mit einbaut und der Mod Anklang auf einer großen Seitenanzahl findet (er also bekannt wird). Und hier ist es die Verwendung von 2 Modulen, welche eben nicht jeder Bot gleichzeitig kann.
Dies ist zumindest die einzige Erklärung die mir jetzt noch einfällt.
Ciao
Kirara
-
Das mag ja durchaus stimmen, nur frage ich mich dann trotzdem, warum die Bots an meiner einfachen, nicht mal wechselnden Aufgabe verzweifeln.
Eben, das kann sie nicht aufhalten. Wahrscheinlich hast Du aus einem anderen Grund Ruhe. Mein Forum war im Herbst wegen Hardwareausfall fast 4 Wochen nicht erreichbar. Danach hatte mich Google auf der Blacklist und die meisten Bots wahrscheinlich auch. Ich hatte bis letzen Monat nicht einen einzigen Bot-Anmelde-Versuch. Jetzt, wo mich Google seit ein paar Wochen wieder findet und sich die ersten Crawler wieder auf mein Forum verirren, jetzt hab ich auch wieder die ersten spärlichen Registrierungen von Bots. Deshalb glaube ich eben auch, daß es bei Dir nen anderen Grund hat als Deine 2 Felder und es stimmt mit mismutig, wenn Du diese beiden Felder hier als Endlösung im Kampf gegen Spam verkaufen willst.
Gruß
Lorgarn
-
Es ist wirklich seltsam, dass meine Grundaussage immer wieder überlesen wird und ich dann hinterher noch andeutungsweise als Lügner hingestellt werde. BTW - ich dachte wir hatten uns darauf geeinigt dies dann per PN zu machen?
Ciao
Kirara
-
ich dann hinterher noch andeutungsweise als Lügner hingestellt werde.
Das habe ich mit keinem Wort gesagt. Alles weitere was ich dazu sagen mag, hast du per PN bekommen.
Gruß
Lorgarn