Sicherheitseinstellungen

[Kirara]

Aber wir zicken uns doch gar nicht (mehr) an - genaugenommen haben wir sogar genau den selben Gedanken und der geht weg von der Stangenware und hin zur Individuallösung. Solange die Seite (ohne es jetzt negativ zu meinen) absolut uninteressant bleibt, wird sich kaum jemand die Mühe machen diese Individuallösung zu umgehen/zu lösen.

Dein Beispiel bezüglich Captcha und Rapidshare finde ich übrigens sehr gelungen. Da Bots die Dinger wesentlich (und ich meine wirklich wesentlich) einfacher lösen können als es ein Mensch kann, ist es halt vergebene Liebesmühe und nur ein Ärger für den Benutzer (jeder der schon öfter mal mit dem Lösen von Captchas konfrontiert wurde, weiß sicher wovon ich spreche).

Das meine Lösung sicher nicht die Sicherste ist geb ich ja zu, aber sie kann bei erneutem Befall von jedem Admin, ohne jegliche Programmierkenntnisse sofort angepasst werden (also wesentlich einfacher als erstmal den Dreamweaver oder ähnliches Prog zu starten und im Soucecode rumzuwerkeln). Dies geht natürlich nur so lange gut, bis die Bots annähernd menschliche Intelligenz erreichen, aber dann brauchen wir uns über Captchas oder sonstige Sicherheitsmaßnahmen auch nicht mehr zu unterhalten, weil dann alles was ein Mensch umgehen kann auch der Bot umgehen kann, aber soweit sind wir zum Glück noch nicht :)

Ciao
Kirara

[Lorgarn]

So, da das mit dem Telefonat irgendwie nie klappt, weil ich drüberhinkomme und das ganze auch eher komplex ist, einmal die Antwort auf diesem Wege.

Lösung 1: CAPTCHA
Dazu muß hier nichts programmiert werden. Es gibt eine Reihe fertiger Lösungen als Module für das SMF Forum. Sogar das reCAPTCHA ist verfügbar, was ne ziemlich brauchbare Quote hat im Moment (9 von 10 in etwar). reCAPTCHA ist ein 'Nebenprodukt' aus einer großangelegten Digitalisierungsaktion. Alle Wörter, die nicht vom OCR erkannt werden, werden zusätzlich verfremdet und stehen als CAPTCHA zur Verfügung (so ein paar Millionen verschiedene am Tag). Ist also für beide Seiten eine Win/Win Situation. Außerdem verändert sich der Algorithmus ständig und es ist einfach ein Dienst den man benutzt. Hat man KEINERLEI administrativen oder programmiertechnischen Aufwand mit.
Zusätzlich gibt es einige etwas abgehobenere Lösungen, wo der Benutzer z.B. eine Uhrzeit erkennen muß etc. Sowas kann für ein nicht-mainstream-Forum wie diesese hier sinnig sein.

Lösung 2: seltsame Pflichtfelder
Habe ich mich drüber schlau gemacht und nach dem, was ich im Netz so finde, verstehe ich offengesagt nicht, wie das bei Kirara funktioniert. Bots füllen Felder mit einem unglaublichen Elan aus. Daher sehe ich nicht, wie das hinzufügen kryptisch benannter Felder da zu einem Erfolg führen kann.  Den einzigen Ansatz der Sinn macht und den ich gefunden habe besteht darin, das Feld in den HTML Code zu schreiben, es aber mit CSS auszubelenden. Bots sehen in der Regel den CSS Source nicht und malen stumpf irgendwas in die Felder. Da ein Benutzer es niemals zu Gesicht bekommt und daher nicht ausfüllen kann, weiß man mit ziemlicher Sicherheit, daß man es mit einem Bot zu tun hat, wenn was in dem Feld drin steht. Vielleicht meint Kiara das ja aber auch so, und ich habe es falsch verstanden. Über diese Idee gibt es aber Blogeinträge aus dem Jahr 2007 und selbst da wird angedeutet, daß dieses Vorgehen zu dem Zeitpunkt schon nicht so ganz neu ist. Es ist also im Bereich des Möglichen, daß sich Bots auf sowas eingestellt haben mittlerweile. Daß es keine Beispiele für so eine Implementierung aus dem aktuellen Zeitraum gibt, unterstützt das ein bißchen.

Bewertung der beiden Methoden:
Lösung 1 braucht kleinerlei Programmierarbeit. Wenn es nicht funktioniert, nimmt man das Modul wieder raus oder benutzt ein anderes. Außerdem hat man u.U. einen Mechanismus, der vom Betreiber aktuell gehalten wird und den man nicht anfassen muß. Lösung 2 kann druchaus funktionieren. Allerdings muß man dann händisch in die Sourcen vom SMF Forum eingreifen. Da stellt sich mir die Frage, wer macht das? Wer kann das vor allen Dingen? Ohne Unkas und Nimue beleidigen zu wollen, bin ich mir nicht so ganz sicher, ob die beiden das hinbekommen. Dazu kommt: Man möchte die Forumssoftware auch gern ab und an mal patchen, alle halbe Jahre kommt das vor. Macht man die Änderungen dann von Hand wieder? Geht der Patchvorgang sogar evtl. dadurch karputt? Außerdem ist hier die Frage: Was tun wenns brennt? Lösung 1 ist Modular und kann einfach ausgetauscht werden, sollte sie versagen. Wie hoch ist der Aufwand da bei Lösung2? Welchen anderen Verteidigungsmechanismus hat man überhaupt, wenn Bots das Dummy-Feld irgendwann korrekt identifizieren können? Wieder die Frage: Wer macht das dann? Nichmal das entfernen von 'karputten' Titeln aus dem Stream funktioniert zeitnahe (das ist keine Wertung, nur eine Feststellung). Wieviel Spam läuft hier auf, wenn sich keiner damit auseinandersetzen kann für, sagen wir ne Woche, daß Lösung2 explodiert ist? Das kann im Fall 1 natürlich auch auftreten aber dort muß wie gesagt nur ein Modul geändert werden.

Zusätzlich gibt es zu bedenken: Es gibt keine 100%ig Sicherheit. Spätestens wenn das Lösen von solchen Challenges an arme Chinesen oder 'Pono Farmen' ausgelagert wird, kann kein Mechanismus mehr greifen (Menschen bestehen in aller Regel jeden Turingtest).

Nimue, Du mußt Dich also fragen, was Du besser supporten kannst und bei welcher Methode Du besser auf nen 'Fehlschlag' reagieren kannst. Das ist meine auf Quellen und nicht eigene Annahmen gestützte, fachliche Meinung zu dem Thema. Das ist keine Theorie, sondern durch Fälle und Zahlen in der realen Welt belegt. Mehr kann und will ich zu diesem Thema nicht sagen.

Gruß
Lorgarn

[Kirara]

Ich kann leider nicht sagen warum es bei mir funktioniert - es hat jedenfalls nichts mit versteckten Feldern zu tun. Möglicherweise liegt es daran das ich in dem rein deutschen Forum auch eine deutsche Frage stelle (der Bot also gar nicht weiß was ich da eingetragen haben will). Möglicherweise gibt es wirklich keine Bots die auf nicht-standard Variablen reagieren können. Ich vermute aber mal eher, das es an der Frage liegt und diese übersetzt oder nicht, einrfach nicht ins auswerteschema des Bots passt. Jedenfalls hat mir weder das Captcha (wohlgemerkt Verschiedene mit unterschiedlichen Einstellungen, zum Teil so schwer das es für einen Menschen schon fast nicht mehr zu lösen war), noch die DNS-Blacklisten wirklich Ruhe gebracht.

Also ich kann wirklich nicht sagen wo dran es liegt, habe nicht irgendwo getrickst (also sprich ich hab nichts eingebaut von dem ich hier nichts geschrieben hab) und kann nur sagen, es funktioniert.

Ciao
Kirara

[Kirara]

Ein kleiner Nachtrag zu meinen Gedanken oben:

Es mag auch sein, dass durch die großflächig eingesetzten Captchas die Bots nur noch darauf optimiert werden und es nur deswegen bei mir funktioniert. Dies würde dann auch wieder meine These stützen die ich schon mal aufgestellt habe, setze nichts ein was jeder einsetzt und Du hast Ruhe :)

Ciao
Kirara

[Lorgarn]

Ich kann leider nicht sagen warum es bei mir funktioniert

Dann ist es auch keine Lösung! Du kannst ja nichtmal davon ausgehen, daß die Methode überhaupt für Rado Legende funktioniert. Was ist wenn Nimue sich die Arbeit damit macht und es in diesem Forum einfach nicht funktioniert? Dann sagtst Du 'Tja, das verstehe ich auch nicht, bei mir funktioniert es.' Davon kann sie sich dann aber nichts kaufen.

Gruß
Lorgarn

[Kirara]

Lol - bei meiner Methode von arbeit zu sprechen ist wirklich krass. Die 2 Minuten solche Felder einzubauen, unterschreitet jedes andere Addon um Weiten (ok, vielleicht braucht man noch mal 5 Minuten es im Adminbereich zu finden :) ). Schon alleine das Einstellen des Captcha, welches schwer genug aber nicht zu schwer für einen Menschen ist, kostet schon viel viel mehr Zeit - von der Zeit ein möglichst barrierefreies Captcha zu finden mal ganz zu schweigen (AFAIK gibt es da derzeit nur das mehr schlecht als recht funktionierende von glaube Google, wo Du noch nicht mal groß Einstellmöglichkeiten hast).

Also wo ist da bitte das Problem es einfach mal auszuprobieren, wenn es doch kaum arbeit kostet?

Ciao
Kirara

[Lorgarn]

Lol

Wenn Antworten so anfangen hab ich eh schonmal die Pappe auf....

bei meiner Methode von arbeit zu sprechen ist wirklich krass. Die 2 Minuten solche Felder einzubauen, unterschreitet jedes andere Addon um Weiten (ok, vielleicht braucht man noch mal 5 Minuten es im Adminbereich zu finden :) ).

Du fügst also einfach über ein wie auch immer aussehendes AdminTool Deiner Forensoftware ein Feld hinzu? Sorry, aber das KANN KEINERLEI HÜRDE für einen Bot sein! Ich verstehe nicht, was Du da machst, ich verstehe nicht, wie das in irgendeiner Form helfen soll. Aber hey, ich hab nun nen Diplom, was verstehe ich schon davon.

Schon alleine das Einstellen des Captcha, welches schwer genug aber nicht zu schwer für einen Menschen ist, kostet schon viel viel mehr Zeit - von der Zeit ein möglichst barrierefreies Captcha zu finden mal ganz zu schweigen (AFAIK gibt es da derzeit nur das mehr schlecht als recht funktionierende von glaube Google, wo Du noch nicht mal groß Einstellmöglichkeiten hast).

Es gibt verschiedene fertige CAPTCHA Module für diese Forumssofware hier. Runterladen, Zip entpacken, glücklich sein! Schrieb ich schon. Aber Du liest meine Beiträge ja nur auf einzelne Worte, die Du dann schön zitieren kannst. Irgendeine technische Aussage, wie Dein Verfahren funktioniert konntest Du bisher nicht geben. Stimmen im Netz zeigen mir ziemlich deutlich, daß das was Du tust so kein Schutz sein kann (wie man er richtig machen könnte, habe ich bereits geschrieben). Aber natürlich kannst Du es besser als die vielen hunderttausen Menschen auf der Welt, die sich teilweise um Foren mit bis zu 10000 Mitgliedern kümmern müssen. Die haben alle unrecht, weil Du es besser weißt, alles auf der Begründung 'bei mir klappt es ja, weiß auch nicht warum'.

Du kritisierst mich, weil mein Ansatz zu theoretisch und weltfremd sei, wie weltfremd ist denn bitteschön das, was Du hier von dir gibst, um Deine These zu stützen?

Also wo ist da bitte das Problem es einfach mal auszuprobieren, wenn es doch kaum arbeit kostet?

Darum geht es nicht, natürlich kann man das ausprobieren. Ich wurde um eine technische Einschätzung gebeten, das habe ich gemacht. Jedenfalls für die CAPTCHA Methode, zu Deinem Pflichtfeld Ansatz gib es ja nur Dein Wort als Aussage, wie gut es funktioniert und nix messbares.

Aber im endeffekt stelle ich fest, daß ich mich mal wieder um ungelegte Eier kümmere. Letztlich, geht es mich nichts an, wie und ob hier ein Spamschutz eingerichtet wird. Ich entschuldige mich für das aufblasen dieses Threats.

Gruß
Lorgarn

[Drosselbart]

Zerreisst euch bitte nicht. Ihr habt beide eure Methoden erklärt und ob sie überzeugen und angewandt werden, werdet ihr schon erfahren. Es ist zwar sinnvoll, Vor- und Nachteile einzelner Vorgehensweise zu erläutern, aber mal ehrlich, es geht euch beiden doch mittlerweile gar nicht mehr wirklich um das Technische. Nimue wird sich schon melden, wenn sie weitere Fragen zu einer der Methoden hat. Beruhigt euch bitte wieder, regelt eure Ansichten per PN untereinander aber bitte zofft euch nicht hier im Forum.

[Kirara]

Du hast wohl recht Drosselbart - es geht eigentlich nur noch darum das er meine praktische Erfahrung durch sein theoretisches Wissen komplett auszuhebeln versucht nur weil ich es nicht in der Theorie besser erklären kann. Und meine Erfahrungen mit Captchas (sowohl in der Anwendung, als auch in der Sicherheit), werden auch schlichtweg ignoriert (womöglich auch nur weil ich es in der Theorie nicht besser belegen kann).

Ich vermute aber mal dies ist der übliche Weg, wenn Praktiker und Theoretiker aneinander geraten - es wird einfach auf zu unterschiedlichen Ebenen gedacht. Aus diesem Grund sage ich hier dann auch mal fu2p (=Rest per PN, falls noch was ist).

Ciao
Kirara

[Nimue]

So, seit gestern abend ist reCaptcha implementiert...mit dem sagenhaften Ergebnis, dass ich heute (bis jetzt) anstatt knapp 60 nur noch 40 erfolgreiche Anmeldungen hatte.

Ihr dürft euch also weiter Gedanken machen^^

[Lorgarn]

So, seit gestern abend ist reCaptcha implementiert...mit dem sagenhaften Ergebnis, dass ich heute (bis jetzt) anstatt knapp 60 nur noch 40 erfolgreiche Anmeldungen hatte.

Das ist in der Tat eine sehr niedrige Quote.
Frage dazu:
-Kann man das reCAPTCHA konfigurieren und nen Einfluß auf die erzeugten Bilder nehmen?
-Kannst Du es mit einem der anderen SMF Module ersetzen? Ich meine da einige recht ausgefallene gesehen zu haben, bei denen Uhrzeiten erkannt oder Brigriffe richtigen Kategorieen zugeordnet werden müssen?
-Hast Du mit Kirara gesprochen, wie sich seine Methode bei dir einrichten läßt?

Gruß
Lorgarn

[Nimue]

Ich habe gestern abend versucht Kiaras Vorschlag bezüglich des Forenupgrades auf 2.0 zu realisieren, weil das eventuell schon die Bots stoppen könnte.
Mit dem Ergebnis, das danach (trotz sauberer Installation in der Datenbank) sehr viel kaputt war (dass die Zusatzmodule nicht gehen, ist mir klar, ich meine das grundsätzlich).
Woran das liegt, kann ich leider nicht genau sagen.
Wir haben jetzt erstmal wieder auf die 1.1.14 zurückgesetzt. So wie ich bisher rausfinden konnte, ist dieses Upgrade auch nicht wirklich notwendig,  weil die 1er weiter supportet werden und sicherheitstechnisch angeblich keine Nachteile entstehen, wenn man bei 1.xx bleibt.
Ich werde jetzt mal ein Testforum der 2.0 aufsetzten und mir anschauen was da alles schon an Mods zur Verfügung steht. Mit den Bots soll das aber nichts zutun haben (Maiilauskunft eines Admins von smfhacks).

Ob sich das reCaptcha konfigurieren lässt, weiß ich noch nicht - defacto wird mir nichts angezeigt, was darauf schließen lässt, aber ich wollt nochmal im support lesen.
Diese anderen Captchaarten, die du ansprichst, habe ich ebenfalls schon im Blick gehabt....das ganze heißt fürs SMF dann Anti Bot Registration Puzzle, wo man etwa Farben erkennen muss, leichte Rechenaufgaben zu lösen hat oder Ecken in einem Bild zählt...joa. Habs auch schon installiert. Allerdings kann ich es noch nicht aktiv benutzen, weils mit der Sprachdatei ein Problem gibt...muss mir erstmal die deutsche Variante schreiben, damit überhaupt was angezeigt wird.^^

Soweit von meiner Seite...

[Nimue]

Nochmal ein kleines Update:

Habe neue Schlüssel von reCaptcha angefordert und das jetzt vernünftig zum Laufen gebracht (was schonmal ne ganze Menge Bots gestoppt zu haben scheint)...obendrauf hab ich jetzt noch eine kleine Ausfüllaufgabe eingebaut (Anti Bot Registration Puzzle), die nach Übersetzung jetzt ebenfalls funktioniert - und bisher ist keine unerwünschte Anmeldung mehr durchgekommen.

Mal gucken, ob überhaupt noch wer durchkommt...also wer "Echtes" ^^

[Kirara]

...obendrauf hab ich jetzt noch eine kleine Ausfüllaufgabe eingebaut (Anti Bot Registration Puzzle), die nach Übersetzung jetzt ebenfalls funktioniert - und bisher ist keine unerwünschte Anmeldung mehr durchgekommen.

Na hab ich doch gesagt das sowas funktioniert
Wobei es sogar noch umfangreicher umgesetzt ist als meine einfache Lösung. Eventuell kommt Dir da auch noch zum Vorteil das es Übersetzt ist, weil Bots (je nachdem wie verbreitet das Addon ist) wenn dann nur die englische Version kennen und interpretieren würden und nicht diese individualisierte Version.

Eventuell könntest Du nun auch wie ich komplett auf das Captcha verzichten - wenn Du mal lusten hast, kannst Du es ja ausprobieren.

Ciao
Kirara

[Kirara]

Hmm nur eine Neuregistrierung am gesamten Samstag - das nenn ich doch mal Erfolg auf ganzer Linie

BTW - Nimue, ich hoffe Dir wird nun nicht langweilig, weil Du keine Bot-Registrierungen mehr löschen musst

Ciao
Kirara