Sicherheitseinstellungen

[Nimue]

Huhus,

da leider jetzt schon nötig, habe ich die Sicherheitsvorkehrungen bei der Registrierung erhöhen müssen.
Das sollte nur Neuanmeldungen betreffen und sich nicht auf eure bestehenden Nutzerkonten auswirken.
3 Banns und Acclöschung waren damit heute auch auf der Tagesordnung. An dieser Stelle lieben Dank an jene, die mich via PN über derartige User informieren. Wenn es hier in der Zukunft mal unübersichtlicher werden sollte  , wird mir das sehr helfen 

[Nimue]

Wie aufmerksame Forumuser sicher bemerkt haben, werden wir seit zwei Tagen massiv mit Botanmeldungen zugespamt.
Ich habe jetzt alle Anmeldemodalitäten massiv angezogen und werde künftig von Hand freischalten...was bei dem übersichtlichen Userkreis sicherlich nich so das Problem sein dürfte^^
Wills hier nur sagen, damit ernsthafte Anmelder sich nicht wundern.

LG Nimue

[Kirara]

Hi Nimue

Das Problem hatte ich im meinem Forum auch. Setze einfach ein (oder besser 2 unterschiedliche) eigene Pflichtfelder in die Registrierung. Wähle bei den Feldernamen aber irgendetwas kryptisches, damit kein inteligenter Bot damit was anfangen kann (mit Feldnamen meine ich die Variable, nicht das was im Profil als Name angezeigt wird, da sollte natürlich nichts kryptisches stehen). Ich habe bei mir im Forum zum einen ein Feld zur Bestätigung der Akzeptanz der Gildenkarta (mit ja/nein Auswahl) und noch mal zusätzlich ein Überprüfungsfeld wo man eine Zahl die als Text im Text steht eintragen muss. Seit dem habe ich nicht mehr eine Bot-Anmeldung. Wichtig hierbei ist nur bei der Erstellung der Felder auszuwählen, dass diese Pflichtfelder für die Registrierung sind.

Habe derweil seit Monaten keinen Bot mehr gehabt, der sich registriert hat und seit kurzem habe ich sogar die Freischaltung per EMail aktiviert. Habe bei mir zwar noch einen Mod installiert der die DNS des Benutzers gegen Blacklists abgleicht, aber denke das sollte auch ohne gehen, weil trotz des Mods hatte ich vor den beiden neuen Feldern immer noch Bot-Registrierungen.

Kenne leider Deine Forumsoftware nicht (bzw. hier den Adminbereich), da ich das von phpBB benutze, aber ich denke das Anlegen von benutzerdefinierten Profilfeldern gehört schon etwas länger zum Standard, so das Du es irgendwo im Adminbereich finden solltest.

Ciao
Kirara

[iFuzzle]

...wo man eine Zahl die als Text im Text...

Captcha!
Hätte ich auch drauf kommen können, DIE Standartantwort gegen Bots!

http://www.stoppt-den-spam.info/webmaster/captcha-tutorial/index.html

ist relativ einfach erklärt, sogar mit Codeschnipseln, die man so gut wie unverändert rüber kopieren kann ^^

[Kirara]

Captcha (ausser Du machst wirklich dein eigenes Ding) ist nicht effektiv genug, weil die Bots alle gängigen bis jetzt schon schaffen zu umgehen, oder zu lösen. Da man sich sein eigenes Captcha nicht zwingend selber von grund auf programmieren kann (oder falls man es kann zeitlich einfach nicht will), so ist das was ich oben vorgeschlagen habe effektiver.

Es ist also wichtig etwas zu machen, wo sich kein Bot drauf einstellen kann - dank der beiden Felder lebe ich bei mir im Forum komplett ohne Captcha. Da die Bots die Captcha erfolgreich umgehen/lösen können, ist das eh nur noch da um die Benutzer zu ärgern -> also unbedingt abschalten!

Ciao
Kirara

[Lorgarn]

Hust...
sorry, aber die Verwundbarkeit von CAPTCHA liegt in kaputter Implementierung, vorprozessierbaren Images oder darin, daß man so wenige hat, daß man über die SessionID ne Liste aufstellen kann, was für welches Bild die richtige Lösung ist. Das ist also eine Frage, wie man das umsetzt und keine Schwäche des Mechanismusses an sich.  Alles in allem halte ich das (eine vernuftige Implementierung vorausgesetzt) für bei weitem effektiver als Deine Pflichtfeldlösung.

Gruß
Lorgarn

[Nimue]

Duhuuu Lorgarn...wollen wir die Tage mal Skypen?
Ich hab irwie echt keinen Nerv jeden Tag knapp 50 Anmeldungen zu überprüfen...die meisten sind zwar offensichtlich absurd, aber manche sind schon so gut, dass nich mal google wirklich sicher ausspuckt, obs n Bot is oder wer echtes...

[Kirara]

Lorgarn, meine Methode ist im Gegensatz zur Captcha Methode geprüft und sie ist extrem Userfreundlich - warum also auf den verdammten Captchas bestehen, wenn es auch viel einfacher und wesentlich effektiver geht? Also mit anderen Worten, ich halte meine Lösung nicht nur für Effektiver, sondern weiß es, da dies bei mir seit vielen Wochen erfolgreich im Test ist.

Was die Captcha ansich angeht, habe ich mehrere getestet. Zum einen die Forum-Eigenen, als auch das was im Moment fast alle nutzen (keine Ahnung, war das von Google?) - alles eigene generierte zufällige Bilder, also nicht mit vorhersagbar. Also mit anderen Worten, Du kommst nicht darum herum das Captcha komplett neu zu erfinden, und es auf keinen Fall weiter zu geben (wird es bekannt, wird es umgangen/gelöst). Lediglich bei Individuallösungen scheitern bis jetzt alle Bots, da sich niemand die Mühe macht den Bot für nur eine potentielle Seite extra zu programmieren.

Also nochmal die Frage, warum sich erst die Arbeit machen ein komplett neues Captcha zu entwickeln, wenn es doch auch so einfach (und zwar getestet!) geht?

Ciao
Kirara

[Lorgarn]

Lorgarn, meine Methode ist im Gegensatz zur Captcha Methode geprüft und sie ist extrem Userfreundlich

Wer hat sie denn geprüft? Hat das Verfahren einen Namen? Wo kann man Informationen zu dem Verfahren herbekommen?

- warum also auf den verdammten Captchas bestehen, wenn es auch viel einfacher und wesentlich effektiver geht? Also mit anderen Worten, ich halte meine Lösung nicht nur für Effektiver, sondern weiß es, da dies bei mir seit vielen Wochen erfolgreich im Test ist.

Genau das ist der Punkt den ich anders sehe, es ist aus meiner Sicht eben nicht effektiver. Das Du es seit ein paar Wochen benutzt trifft nur eine sehr eingeschränkte Aussage darüber, wie tauglich das Verfahren ist.

Was die Captcha ansich angeht, habe ich mehrere getestet. Zum einen die Forum-Eigenen, als auch das was im Moment fast alle nutzen (keine Ahnung, war das von Google?) - alles eigene generierte zufällige Bilder, also nicht mit vorhersagbar. Also mit anderen Worten, Du kommst nicht darum herum das Captcha komplett neu zu erfinden, und es auf keinen Fall weiter zu geben (wird es bekannt, wird es umgangen/gelöst). Lediglich bei Individuallösungen scheitern bis jetzt alle Bots, da sich niemand die Mühe macht den Bot für nur eine potentielle Seite extra zu programmieren.

CAPTCHA hat, wie ich schon schrieb nichts damit zu tun, daß man Geheimniskrämerei betreibt, sondern daß es fehlerhafte Umsetzungen / Implementierungen davon gibt, die angreifbar sind. Sicherheit erreiche ich nie durch Verschleierung.
Man findet ganz gut was zum Thema Sicherheit von CAPTCHA wenn man sich über Google oder die Wikipedia mal Foren und Webseiten zu dem Thema raussucht, und ich denke schon, daß ich diese auf Grund meiner Vorbildung auch recht gut bewerten kann. Davon ausgehend, habe ich meinen ersten Post hierzu verfaßt. Deine Gegenargumentation ist jetzt 'bei mir funktioniert das aber ganz toll'. Naja, mag ja sein. Ist ja auch toll wenn es für Dich funktioniert. Drauf bauen würd ich dennoch nicht, aber gut, halten wir einfach fest, daß wir verschiedener Meinung in diesem Punkt sind.

Gruß
Lorgarn

[Lorgarn]

Duhuuu Lorgarn...wollen wir die Tage mal Skypen?
Ich hab irwie echt keinen Nerv jeden Tag knapp 50 Anmeldungen zu überprüfen...die meisten sind zwar offensichtlich absurd, aber manche sind schon so gut, dass nich mal google wirklich sicher ausspuckt, obs n Bot is oder wer echtes...

Ich bin irgendwie blind. Tut mir leid, hab Deinen Beitrag hier überlesen. Wir können da gerne mal drüber sprechen, aber Skype kann ich leider aus religiösen Gründen nicht nutzen.

Gruß
Lorgarn

[Nimue]

*gg*
stimmt ja, da war was^^
na dann telefonieren wir vielleicht mal traditioinell oder nutzen TS oder so...ich halt das hier schon noch n paar Tage aus, aber ein Dauerzustand kanns nich sein^^

[Kirara]

Lorgarn, es ist ja nicht schlimm, dass Du einer anderen Meinung bist, aber das Du im Gegensatz zu mir alles nur aus der Theorie aufbaust, ohne auch nur eins davon mal wirklich praxisnah zu testen, das macht die Sache schlimm. Auch wenn ich keine großen Studien von irgendwelchen Instituten als Nachweis vorlegen kann, so kann ich im Gegensatz zu Dir immerhin eigene Praxiserfahrung mitteilen.

Du verwirfst scheinbar meinen Ansatz einfach nur weil es zu einfach klingt und dies obwohl ich nun schon mehrfach gesagt habe, das ich mir damit nun sämtliche Bots vom Hals gehalten bekomme. Oder meinst Du wirklich bei mir klopfen andere Bots an die Tür als in diesem Forum?

Ciao
Kirara

PS@Nimue: Ich empfehle Dir meinen Vorschlag einfach mal auszuprobieren, sollte dies bei Dir nicht zum Erfolg führen, kannst Du immer noch den komplizierten (und ja leider auch bentutzerunfreundlichen) Weg beschreiten.

[Lorgarn]

Lorgarn, es ist ja nicht schlimm, dass Du einer anderen Meinung bist, aber das Du im Gegensatz zu mir alles nur aus der Theorie aufbaust, ohne auch nur eins davon mal wirklich praxisnah zu testen, das macht die Sache schlimm. Auch wenn ich keine großen Studien von irgendwelchen Instituten als Nachweis vorlegen kann, so kann ich im Gegensatz zu Dir immerhin eigene Praxiserfahrung mitteilen.

Genau darum geht es. Was ich oder Du in der Sache testen, hat im vergleich zu großen, etablierten Foren überhaupt keinerlei Aussagekraft. Mein Forum hat ebenfalls keinerlei Probleme mit Spambots obwolh ich überhauptkeine Maßnahmen treffe. Soll ich nun aus meiner 'Praxiserfahrung' dazu raten, nichts zu unternehmen, weil sich das Problem schon selber regeln wird?
Ich baue nichts auf Theorien auf sondern aus den realen Erkenntnissen, die im Zusammenhang mit Foren aufgelaufen sind, die Mitgliederzahlen im 4 bis 5 stelligen Bereich haben und die nutzen eigentlich alle eine CAPTCHA Implementierung. Aber selbstverständlich haben die 'es alle nicht drauf' und machen den ganzen Humpa vergeblich. Sie müßten nur zwei Pflichtfelder mit aufnehmen und hätten keine Sorgen mehr. Sorry, klingt für mich nicht realistisch.

Du verwirfst scheinbar meinen Ansatz einfach nur weil es zu einfach klingt und dies obwohl ich nun schon mehrfach gesagt habe, das ich mir damit nun sämtliche Bots vom Hals gehalten bekomme. Oder meinst Du wirklich bei mir klopfen andere Bots an die Tür als in diesem Forum?

Ich verwerfe ihn aus dem Gund, weil er auf Obfuscation basiert und nicht auf nem Sicherheitsmechanismus. Und was dieses Vorgehen angeht hat die Erfahrung (wieder nicht meine, sondern die von vielen, vielen Personen und Firmen, die damit in den letzten Jahrzehnten aufs Gesicht gefallen sind) gezeigt, daß eben dieses Vorgehen nicht tauglich ist. Der Aufwand nen Bot da irgendwas eintragenzulassen ist verschwindend gering. Nur bist Du mit Deinem Forum wahrscheinlich kein 'Primärziel'. Aber je mehr Leuten Du davon erzählst, und je mehr Leute Du dazu bringst es zu benutzen, desto mehr wird es sich rumsprechen und irgendwann wird dann möglicherweise der kritische Punkt erreicht sein, wo Bots das aufeinmal raffen werden, weil es Sinn macht, darauf zu prüfen.
Aber selbstverständlich liegt es mit keinem Wort an mir, was Du oder irgendwer anders benutzt oder nicht benutzt. Wie gesagt: Wenn es funktioniert: Fein. Keinen Streß.

Gruß
Lorgarn

[Unkas]

Ich denke, wir sollten tatsächlich einfach mal testen - und mit welcher Variante wir dabei beginnen, überlasse ich mal eben Frau Forenadmin.   

[iFuzzle]

Ich such grade den "Like"-Button zu Unkas Beitrag =D

Wenns für euch funzt schön und gut und keiner hier wird wirklich ne Peilung davon haben wies wirklich läuft, jeder kanns nur ahnen.
Sorry aber selbst Leute mit Cyber-Vergangenheit benutzen teilweise andere Methoden... so wie sich die bessere DVD mit BluRay zusammen auf den markt Gedrängelt hat, aber nur die BluRay überlebt hat... warum auch immer. Es wird jedenfalls trotz allem immer Konkurrenzprodukte geben.

Und son Botbausatz fürn 10er bekommt jeder, wer Ahnung von HTML hat kann sich das Ding sogar auf 1-2 Foren anpassen, wenns sein muss (dauert meist keine 3 Minuten und man hat Wochenlang "Spaß" dran, bis jemand endlich was dagegen tut. z.B. auf manuelle Übernahme der Anmeldungen zu setzen! Das funzt derzeit ja wohl am besten, wenn man betrachtet das es in diesem Forum kein einzigen Bot mehr gibt! Statistisch gesehen also eh das sicherste Verfahren ;) Aber traue keiner Statistik, die du nicht selbst gefälscht hast.)

Und zu guter letzt wollt ich anmerken, dass man mit SCHULINFORMATIK, sprich: Delphi 4 in meinem Falle, es wunderbar schafft Spambots zu kreieren die in unter einer Stunde mit minimalen Vorkentnissen fertig sind und so schnell in der Klasse beliebt waren, dass es irrelevant ist, was man dagegen setzt.
Meistens reichts doch aus 3-4 Zeilen Code anzupassen und man hat ein Programm, dass auf dem selben Wege arbeitet aber trotzdem neu getarnt ist...

Bei Captcha hat man natürlich den Nachteil, dass diese irgendwann geknackt werden, falls das Interesse besteht. Man betrachte z.B. mal den J-Downloader. Rapidshare baut ein neues Captchasystem ein, zwei Tage lang muss der Nutzer die Captchas per Hand eingeben, dann kam das Update!
Wenn also interesse da ist, sind Captchas ganz schnell unnötig!
Aber Pflichtfelder implementieren ist eben auch mit ein paar Codezeilen umgangen...
Hat eben alles so seine Schwächen und solange man versucht seine Foren und Co. zu schützen, so lange wird es Leute geben, die sich einen Spaß daraus machen die neu entwickelten Abwehrmechanismen zu umgehen, auszuhebeln oder umzukehren.

Ich denke, dass Nimue am Ende eh entscheidet was für das RL-Board am besten ist, wie Unkas schon sagte.
Hoffe aber auch, dass ich den Streit ein wenig schlichten konnte... wenn nicht, dann zickt lieber mich an und das per Chat und net hier im Thread.