WinFuture-Forum.de: Capcha Aushebeln - WinFuture-Forum.de

Zum Inhalt wechseln

Nachrichten zum Thema: Entwicklung
  • 3 Seiten +
  • 1
  • 2
  • 3

Capcha Aushebeln


#1 Mitglied ist offline   hasch 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.790
  • Beigetreten: 28. Januar 04
  • Reputation: 0
  • Wohnort:Localhost
  • Interessen:Ach so viele ...

geschrieben 02. April 2006 - 10:54

Mir ist mal so aufgefallen, dass man die Capcha Methode ganz leicht aushebeln kann... :P

Es wird eine Capcha Grafik angezeigt mit einem Code, im Quelltext der Seite der Hash dieses Codes, d.h. man müsste doch theoretisch nur einmal den Code ablesen, bsw.:

Abgelesener Code: ABCDEFG58791
Hash davon bsw.: 47e850a0548bd7ef7b88812cf3ccb944 (siehe Quelltext)

Dann diese beiden Codes in ein simuliertes Forumlar kopieren und meinetwegen 1000x an die Adresse senden... dann würde die Capcha Fkt. super ausgehebelt sein... zummindest hat es auf meinem lok. Server, der die gleiche Technik verwendet geklappt.

Damit wäre sie doch sinnlos oder nicht? Mich würde eure meinung dazu mal interessieren... :)
0

Anzeige



#2 Mitglied ist offline   ph030 

  • Gruppe: aktive Mitglieder
  • Beiträge: 5.130
  • Beigetreten: 14. Juli 04
  • Reputation: 36
  • Geschlecht:unbekannt

geschrieben 02. April 2006 - 12:43

Mh, in erster Linie hängt das wahrscheinlich von der implementierten Captcha-Variante ab, oder hast du das mal bei verschiedenen Möglichkeiten getestet? Kann mir jedenfalls nicht vorstellen, dass das immer so ist. Bei deinem angesprochenen Beispiel hast du allerdings recht.

Abgesehen davon sind Captchas sowieso für den A....!

Erstens, weil viele einfach nur schlecht implementiert sind und sich auf Grund schlecht gewählter Hintergründe, Farben oder Schriften leicht maschinell aushebeln lassen - mindestens 75% lassen sich so bereits umgehen.
Zweitens sind die Dinger einfach nur Nutzerfeindlich und müssten eigentlich, wenn sie es nicht von sind, vom W3C verboten werden.
0

#3 Mitglied ist offline   hasch 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.790
  • Beigetreten: 28. Januar 04
  • Reputation: 0
  • Wohnort:Localhost
  • Interessen:Ach so viele ...

geschrieben 02. April 2006 - 13:24

Was wäre denn eine gute Alternative zu Capchas?
Wie könnte man das genannte Beispiel, sicherer machen? (Bin auf den Fehler in einem kostenpflichtigen CMS gestoßen..., aber verwende die gleiche Methode)...
0

#4 _rjchio_

  • Gruppe: Gäste

  geschrieben 02. April 2006 - 13:40

Ähmm... Was ist eigentlich Capcha? :P
Ein Sicherheitscode oder so was?

MfG rjchio
0

#5 Mitglied ist offline   ch_z 

  • Gruppe: aktive Mitglieder
  • Beiträge: 674
  • Beigetreten: 22. Dezember 02
  • Reputation: 0

geschrieben 02. April 2006 - 13:48

http://de.wikipedia.org/wiki/Captcha

Bin im Moment irgendwie auch auf der Suche ein Kontaktformular gegen maschinellen Spam zu schützen. Kennt da jemand was zuverlässiges?
0

#6 Mitglied ist offline   Floele 

  • Gruppe: aktive Mitglieder
  • Beiträge: 919
  • Beigetreten: 22. Juni 04
  • Reputation: 0

geschrieben 02. April 2006 - 14:19

Beitrag anzeigenZitat (ch_z: 02.04.2006, 14:48)

Bin im Moment irgendwie auch auf der Suche ein Kontaktformular gegen maschinellen Spam zu schützen. Kennt da jemand was zuverlässiges?


Funktionieren Spambots mit selbstgebauten Formularen überhaupt? Über meine Kontaktformulare ist bisher noch nie eine Spammail versendet worden.
0

#7 Mitglied ist offline   Rika 

  • Gruppe: aktive Mitglieder
  • Beiträge: 11.533
  • Beigetreten: 11. Juni 03
  • Reputation: 2
  • Geschlecht:Männlich

geschrieben 02. April 2006 - 14:50

@hasch: Ja wer solche unsicheren Implementierungen baut, der hat's auch nicht anders verdient.

Aber generell lassen sie Captchas relativ einfach aushebeln: Lasst Menschen daran arbeiten! Mach eine Pr0n-Webseite auf und mache für das Login ein Captcha. Dorthin forwardest du dann die Captchas, die du knacken möchtest, und leitest die Antworten wieder zurück.
Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Eingefügtes Bild
Ja, mata ne!

(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
0

#8 _rjchio_

  • Gruppe: Gäste

geschrieben 02. April 2006 - 15:02

Beitrag anzeigenZitat (Floele: 02.04.2006, 15:19)

Funktionieren Spambots mit selbstgebauten Formularen überhaupt? Über meine Kontaktformulare ist bisher noch nie eine Spammail versendet worden.
Ja und Nein. Die Spambots müssten zuerst an deine Formulare angepasst werden... (Die Spambots müssen ja wissen, in welches Feld sie was eintragen müssen) :P

MfG rjchio
0

#9 Mitglied ist offline   Floele 

  • Gruppe: aktive Mitglieder
  • Beiträge: 919
  • Beigetreten: 22. Juni 04
  • Reputation: 0

geschrieben 02. April 2006 - 15:06

Beitrag anzeigenZitat (rjchio: 02.04.2006, 16:02)

Die Spambots müssten zuerst an deine Formulare angepasst werden...


Dann hat man doch normalerweise nichts zu befürchten. Wer macht sich denn die Mühe seinen Spambot für ein einzigstes (oder ein paar wenige) Formular(e) extra anzupassen?
0

#10 Mitglied ist offline   sparkle 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.330
  • Beigetreten: 30. Mai 05
  • Reputation: 0

geschrieben 02. April 2006 - 15:08

Vielleicht suchen die sich selbst die Felder raus.
http://www.moddingpower.de/gbook.php
Achtung, ein paar MB groß.
Dieser sparkle hat Super-Kuh-Kräfte
0

#11 Mitglied ist offline   hasch 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.790
  • Beigetreten: 28. Januar 04
  • Reputation: 0
  • Wohnort:Localhost
  • Interessen:Ach so viele ...

geschrieben 02. April 2006 - 15:11

Beitrag anzeigenZitat (Rika: 02.04.2006, 15:50)

@hasch: Ja wer solche unsicheren Implementierungen baut, der hat's auch nicht anders verdient.

Welche Methode wäre denn sicherer, auf die schnelle fällt mir keine ein :P
0

#12 Mitglied ist offline   ch_z 

  • Gruppe: aktive Mitglieder
  • Beiträge: 674
  • Beigetreten: 22. Dezember 02
  • Reputation: 0

geschrieben 02. April 2006 - 15:19

Beitrag anzeigenZitat (rjchio: 02.04.2006, 16:02)

Ja und Nein. Die Spambots müssten zuerst an deine Formulare angepasst werden... (Die Spambots müssen ja wissen, in welches Feld sie was eintragen müssen)

Gut zu wissen, ich hatte nur eine Kontaktformular-Vorlage genommen und benutzt.
Werde mich jetzt ein wenig beim PHP-lernen beeilen und selbst ein Formular bauen :P
0

#13 Mitglied ist offline   Rika 

  • Gruppe: aktive Mitglieder
  • Beiträge: 11.533
  • Beigetreten: 11. Juni 03
  • Reputation: 2
  • Geschlecht:Männlich

geschrieben 02. April 2006 - 16:13

@hasch: Die Eingabe serverseitig und nicht clientseitig verifizieren. Nicht die Lösung verraten.
Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Eingefügtes Bild
Ja, mata ne!

(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
0

#14 Mitglied ist offline   Mr_Maniac 

  • Gruppe: aktive Mitglieder
  • Beiträge: 770
  • Beigetreten: 29. Juli 02
  • Reputation: 1
  • Geschlecht:Männlich
  • Interessen:Vieles rund um den Computer
    Musik

geschrieben 02. April 2006 - 17:31

Beitrag anzeigenZitat (ph030: 02.04.2006, 13:43)

Abgesehen davon sind Captchas sowieso für den A....!

Erstens, weil viele einfach nur schlecht implementiert sind und sich auf Grund schlecht gewählter Hintergründe, Farben oder Schriften leicht maschinell aushebeln lassen - mindestens 75% lassen sich so bereits umgehen.
Zweitens sind die Dinger einfach nur Nutzerfeindlich und müssten eigentlich, wenn sie es nicht von sind, vom W3C verboten werden.


Schön... Sie sind unbequem, ja... Und?
Wie willst du ein Forum einigermaßen davor schützen, von Spam-Bots überrannt zu werden?
Bisher bieten Captchas da noch eine relativ sichere Methode.

Klar, man kann das Forum umschreiben/ändern und einige wichtige Sachen ändern.
So kann man bei phpBB z.B. bestimmte Variablennamen ändern, da Spam-Bots versuchen sich mit
phpBB2/profile.php?mode=register&agreed=true

anzumelden...
Aber was macht man dann bei einem Board-Update... Da kann man gerade wieder alles von vorne modden...

Außerdem: Solange so Captchas nur bei der Registrierung auftauchen und nicht bei jedem Post, den man verfassen will ist das doch in Ordnung, oder?
0

#15 Mitglied ist offline   ph030 

  • Gruppe: aktive Mitglieder
  • Beiträge: 5.130
  • Beigetreten: 14. Juli 04
  • Reputation: 36
  • Geschlecht:unbekannt

geschrieben 02. April 2006 - 19:00

Das Problem ist, dass, wie schon gesagt, mindestens 75% der eingesetzten Varianten maschinell umgehbar sind, d.h. der Bot gibt die richtige Kombination automatisch ein. Dieser Anteil und v.a. der Rest ist nutzerfeindlich, es gibt schließlich Menschen mit allgemeiner Leseschwäche, Farbenblindheit, etc. pp.

Es gibt wesentlich sinnvollere Methoden, z.B. ein logisches Rätsel, welches nur von Menschen gelöst werden kann oder die automatische Ablehnung von Posts, welche z.B. mehr als einen Link enthalten, oder oder oder...
0

Thema verteilen:


  • 3 Seiten +
  • 1
  • 2
  • 3

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0