[hasch]

Das ist natürlich auch geil, so kleines Wer wird Millionär Quiz:
Wer ist die deutsche Bundeskanzlerin? *g*

Ne aber im Ernst, verstehe schon, was du meinst...

EDIT: Logische Fragen könnten aber auch von einem Menschen gelöst werden und dann ins Spam-Forumlar eingebaut werden...

Dieser Beitrag wurde von hasch bearbeitet: 02. April 2006 - 19:35

[dognose]

Das mit dem Rätsel würde zwar gehen, hätte aber auch wieder einen Nachteil:

Der Server muss die Lösung ja irgendwo her "kennen" und dann kann man wieder wie oben beschrieben
den Hash Code auslesen...

Habe mir überlegt :" Ein aus einzelnen Punkten bestehendes Bild, Wo man als Menschliches Wesen erkennt"

Problem nur wieder, wie die Lösung "parat" haben ohne dass man sie von aussen auslesen kann...

[hasch]

Per Session

[ichbines]

ein anderer Schutz ist z.B. dass man z.B. mindestens 5 Sekunden das Formular ausfüllen muss. Wenn noch nicht 5 Sekunden vorbei sind, kann das Formular nicht abgeschickt werden.
Spambots sind ja bekanntlich etwas schneller.

Siehe Drweb

[hasch]

Zitat (dognose: 12.04.2006, 20:59)

Das mit dem Rätsel würde zwar gehen, hätte aber auch wieder einen Nachteil:

Der Server muss die Lösung ja irgendwo her "kennen" und dann kann man wieder wie oben beschrieben
den Hash Code auslesen...

Habe mir überlegt :" Ein aus einzelnen Punkten bestehendes Bild, Wo man als Menschliches Wesen erkennt"

Problem nur wieder, wie die Lösung "parat" haben ohne dass man sie von aussen auslesen kann...

Du könntest so vieles machen, mir würde bsw. ein kleines Wortspiel einfallen:

Bsw. hast du nen Wort:

Handschuh => dargestellt wird: Ha_dsch_h und der User soll die fehlenden Buchstaben eintragen...
Problem: Es gibt auch User mit einer Lese/Rechtsschreibschwäche, etc. die du dann ausgrenzen würdest, genauso wie bei deinem Bild...

[telemail]

Zitat (hasch: 02.04.2006, 10:54)

Mir ist mal so aufgefallen, dass man die Capcha Methode ganz leicht aushebeln kann...

Es wird eine Capcha Grafik angezeigt mit einem Code, im Quelltext der Seite der Hash dieses Codes, d.h. man müsste doch theoretisch nur einmal den Code ablesen, bsw.:

Abgelesener Code: ABCDEFG58791
Hash davon bsw.: 47e850a0548bd7ef7b88812cf3ccb944 (siehe Quelltext)

Dann diese beiden Codes in ein simuliertes Forumlar kopieren und meinetwegen 1000x an die Adresse senden... dann würde die Capcha Fkt. super ausgehebelt sein... zummindest hat es auf meinem lok. Server, der die gleiche Technik verwendet geklappt.

Damit wäre sie doch sinnlos oder nicht? Mich würde eure meinung dazu mal interessieren...

Die Capcha Methode ist so leicht nicht auszuhebeln. Freilich, wenn sie so naiv implementiert wurde, dann schon. Richtig implementiert wird es so, daß es erstens gar kein so komplizierter Hash sein muß. Es reicht dafür eine simple Transaktion ID aus. Ein zu dieser Transaktion ID gehöriger Datensatz wird auf dem Server angelegt, worin dann unter anderem dieser Hash steht und natürlich noch Kennungen für welche Session oder für welchen User und eventuell auch noch für welche Aktion das gilt. Wenn dann dieseer Code eingegeben und zusammen mit der Transaktion ID übermittelt wird, dann wird im Falle, daß er paßt, auch dieser Datensatz beseitigt. Wenn der Code nicht paßt, dann kann man das Ganze ja auch ein paarmal oder beliebig oft wiederholen lassen. Also 1000 mal dasselbe abschicken, hat dann gar keinen Sinn, weil beim ersten Mal der Datensatz schon gelöscht wird.

Grüße

telemail

[telemail]

Zitat (ph030: 02.04.2006, 19:00)

Es gibt wesentlich sinnvollere Methoden, z.B. ein logisches Rätsel, welches nur von Menschen gelöst werden kann oder die automatische Ablehnung von Posts, welche z.B. mehr als einen Link enthalten, oder oder oder...

Tja, welches Rätsel soll dann kommen? Rätsel 1, 2 oder 3. Bin schon gespannt auf deine ersten 10000 Rätsel.

Hallo Witi, danke mit dem Tip für Editieren. Das mache ich jetzt auch. Mir ist da auch noch etwas eingefallen zu Personen mit Leseschwäche. Außer der Verzögerung (zeitlich, Capchas, Rätsel) gibt es noch eine weitere Methode, um Spam für Kontaktformulare abzuweisen, wenn wir einmal von Spamfiltern usw. absehen. Diese Methode ist besonders für Personen mit Leseschwäche geeignet. Aber dazu ist es nötig, einen Standard für das Einliefern von Nachrichten in Kontaktformulare zu definieren. Ich meine, nicht direkt in die Formulare, sondern in das System, in das auch das Kontaktformular einliefert. Sozusagen, ein zweiter Einlieferweg, der zu einem alllgemeinen anerkannten Standard werden muß, sodaß jemand etwa über sein eigenes Kontaktformular oder einen beliebigen sonstigen dazu kompatiblen Client Nachrichten bei Dir einliefern kann und umgekehrt, sofern er die jeweiligen Anforderungen des anderen, Capchas usw. erfüllt. Hierbei werden dann verschiedene Kategorien von Einlieferportalen unterschieden, wobei Kategorie 0 die niedrigste Stufe darstellt, die trivial ist. Kategorie 1 ist dann die erste Stufe vertrauenswürdiger Portale. Hier sind die Adreßdaten der Mitglieder hinterlegt, wobei nicht unbedingt die Anschrift per Brief überprüft wurde, aber über eine Bankbverbindung Beiträge für die Mitgliedschaft eingezogen wurden. Ich denke, daß das ausreichen sollte, um diese Mitglieder ohne Capcha und dergleichen Nachrichten einliefern zu lassen. Wem das nicht genügt, der kann auch Kategorie 2 fordern, mit postalisch überprüfter Anschrift, etwa durch Zugangsdaten mittels Brief zugeschickt. Kategorie 3 ist dann, wenn der Personalausweis vorgelegen hatte. So ein Einlieferportal könnten etwa Banken zur Verfügung stellen, wenn sie sich dafür gewinnen lassen.

Wie ist diese Idee?

Ach so, da ist noch etwas, die fünf Sekunden warten für das Formular ausfüllen, reichen noch nicht ganz aus - sofern die Spammer das wissen - denn wer hindert sie, 1000 Formulare gleichzeitig auszufüllen und bei jedem 5 Sekunden zu warten?. Da muß man außerdem noch die IPs zwischenspeichern und schauen, daß verschiedene Sessions nicht auf derselben IP laufen. Was ist aber dann mit vernetzten Systemen, wobei mehrere User an verschiedenen Computern über dasselbe Modem mit verschiedenen Portadressen aber gleicher IP laufen? Und was ist mit gleichzeitigem Angriff von verschiedenen IPs in konzertierter Aktion ähnlich wie bei DDoS Attacken? Alles nicht so ganz trivial. Vielleicht war das ja ein wenig weit hergeholt.


Grüße

telemail

Dieser Beitrag wurde von telemail bearbeitet: 04. November 2006 - 12:29

[Witi]

Hallo telemail

bitte editiere das nächste Mal deinen vorherigen Beitrag, wenn du schon zwei Posts in so kurzer Zeit schreibst.

Danke.

[asko]

Hier steht schon eine ganze Menge Unsinn in diesem Thread, aber mal der Reihe nach...

Zitat (ph030: 02.04.2006, 12:43)

...mindestens 75% lassen sich so bereits umgehen.
Zweitens sind die Dinger einfach nur Nutzerfeindlich und müssten eigentlich, wenn sie es nicht von sind, vom W3C verboten werden.

Mich würde mal interessieren, wie Du auf diese 75% kommst. Die Zahl hast Du dir doch ausgedacht und mal so zum besten gegeben. Zeig mir mal fundierte Beweise für diese 75%, dann glaube ich das vielleicht.
W3C sollte die verbieten? Was bitteschön hat das W3C damit zu tun? Captcha's sind nichts weiter als Grafiken die dynamisch erzeugt werden - also sollte das W3C jetzt jegliche Grafiken im Web verbieten, weil ja ein Captcha dabei sein könnte? Junge Junge....

Zitat (hasch: 02.04.2006, 10:54)

Mir ist mal so aufgefallen, dass man die Capcha Methode ganz leicht aushebeln kann...

Es wird eine Capcha Grafik angezeigt mit einem Code, im Quelltext der Seite der Hash dieses Codes, d.h. man müsste doch theoretisch nur einmal den Code ablesen, bsw.:

Totaler Unsinn. Jeder Webentwickler der das so macht hat buchstäblich keine Ahnung von seinem Handwerk.

Ein Captcha ist i.d.R. ein (PHP) Script das mit einem Zufallsgenerator einen Code erzeugt. Dieser Code wird dann als Bild ausgegeben und direkt (via Header) als solches an den Browser gesendet. Eingebunden wird das Captcha als ganz normaler <img>-TAG. Da steht gar nichts im Quelltext von Hash oder sonstwas. Mit erzeugen des Zufallscodes wird dieser nämlich verschlüsselt in die Session geschrieben - der User (Browser) sieht davon rein gar nichts. Schickt man jetzt das Formular ab, wird der Code des Captcha ebenfalls verschlüsselt und mit dem Hash in der Session verglichen - stimmt der nicht gibt's einen Fehler. All das läuft server-seitig ab, somit ist da nichts mit "mal eben den Hash im Quelltext abgreifen".
Auch der Quatsch mit 1000 mal schicken wird nicht funktionieren, denn mit jedem Aufruf ändert sich der Code und somit auch der Hash - somit ist jeder Brute-Force unnütz.

Zitat (rjchio: 02.04.2006, 15:02)

Die Spambots müssten zuerst an deine Formulare angepasst werden... (Die Spambots müssen ja wissen, in welches Feld sie was eintragen müssen)
MfG rjchio

Auch das ist totaler Unsinn. Es ist relativ sicher zu behaupten, daß 95 von 100 Leuten in einem Formmailer ein Feld "Name" oder "Email" drin haben - das ist alles was ein Bot braucht!
Um zu wissen wie ein Formmailer missbraucht werden kann, muß man wissen wie der Server mithilfe von PHP verschickt. Es ist keineswegs so das ein Bot ein exaktes Abbild Eures Formulars braucht, sondern es reicht schon, wenn die Benutzereingaben nicht auf das Steuerzeichen \n kontrolliert werden. Damit ist es möglich den Header der Mail zu manipulieren und Kopien an Fremde zu schicken oder auch manipulierten Text zu versenden.


Lösungsansätze um Formmailer sicherer zu machen gab es schon viele, aber letzendlich scheitern die meisten an der Dummheit (oder sonstige Unvermögen) der User. Das einzige was wirklich hilft den Spam einzudämmen ist, daß die Usereingabe ordentlich überprüft werden um mögliche Injections abzufangen.
Für Gästebücher gibt es auch viele Ansätze, aber das einzige das wirklich hilft ist Interaktion des Users. Seit einer Weile baue ich in alle meine Gästebücher eine Email-Aktivierung ein (wie man sie von Foren kennt) und hatte bei bestimmt 2 Dutzend gut besuchte GB's nicht einen aktivierten Spam-Eintrag - effektiver geht's nicht mehr.

[telemail]

Zitat (asko: 04.11.2006, 11:28)

sondern es reicht schon, wenn die Benutzereingaben nicht auf das Steuerzeichen \n kontrolliert werden. Damit ist es möglich den Header der Mail zu manipulieren und Kopien an Fremde zu schicken oder auch manipulierten Text zu versenden.

Wie das Steuerzeichen \n mit dem Header manipulieren usw. zusammenhängt, komme ich im Moment nicht drauf. Soweit ich weiß, stellt der Browser beim Steuerzeichen \n bei der Textausgabe einfach ein Leerzeichen dar. Könntest Du bitte ein kurzes Beispiel geben, wie Du das meinst? Oder besser nicht veröffentlichen, damit es die Spammer, die es nicht kennen, nicht sehen?

Gruß telemail

[asko]

http://www.traum-projekt.com/forum/19-trau...-injection.html

[telemail]

Übrigens asko, danke für den Link. An so etwas hatte ich gar noch nicht gedacht.

Zitat (ph030: 02.04.2006, 19:00)

Dieser Anteil und v.a. der Rest ist nutzerfeindlich, es gibt schließlich Menschen mit allgemeiner Leseschwäche, Farbenblindheit, etc. pp.

Da fällt mir noch was ein. Ich hatte vorhin etwas über ein Protokoll geschrieben, über das zwei Webformular-Portale miteinander kommuniziern könnten und dann bräuchte jemand jemanden mit Leseschwäche den Capcha nicht knacken. Aber es geht noch anders aber auch so ähnlich. Es muß nachprüfbare Internetbenutzer Identitäten geben. Vielleicht sollte ich einmal im Internet nach einem Verein für Menschen mit Leseschwäche suchen und dort den Vorschlag diskutieren?

Den Vorschlag habe ich bei einem anderen Forum schon beschrieben:

http://www.antispam.de/forum/showpost.php?...amp;postcount=3

Das schaut dann so aus, daß überprüft wird, ob der Sehbehinderte einen in Klartext gezeigten Code an einer Webadresse eintragen kann, die autorisiert ist, seine Identität zu bestätigen.

Gruß telemail

[Rika]

Außerdem funktionieren Capchas einfach nicht. Hier ein trivialer Angriff:

1. Du legst eine billige Porno-Seite unter guter Adresse (www.big-melons.com) an.
2. Du surfst automatisiert die betreffende Webseite an, bekommst das zu lösende Capcha geliefert.
3. Du forwardest das Capcha automatisiert auf die Porno-Seite und präsentierst es als dein eigenes Capcha-System.
4. Du lässt die Besucher deiner Porno-Seite das Capcha lösen, sie posten dir das Ergebnis.
5. Du forwardest das Ergenis auf die betreffende Seite.

Ach ja, Human Distributed Computing. :-)

[telemail]

Ist ja toll, und wie schnell schätzt Du, haben es dann die Besucher Deiner Pornoseite geschafft, die 1 Million Spammails durch Capcha eintippen zu legitimieren, die Du während einer Stunde verschickst und wofür Du eventuell 100 Euro Spamhonorar bekommst. Also viel länger wie eine Stunde dürfen sie nicht brauchen, weil sonst das Zeitlimit für die Bestätigung überschritten ist.

Vielleicht sollten wir kurz zusammenfassen. Es gibt mehrere Möglichkeiten, um Kontaktformularspam zu vermeiden. Betrachten können wir:

- woher kommt die Nachricht
- was enthält die Nachricht
- wie hat sich der Absender legitimiert
- wie bremsen wir SPAM aus

Das Capchathema gehört zu den Themen "wie hat sich der Absender legitimiert" und "wie bremsen wir SPAM aus", denn ein Capcha knacken, kostet auch Zeit. Man kann zwar sagen, wir haben das Capcha ausgetrickst, indem die Spammachine weiter automatisch arbeiten kann, weil das Capcha einem anderern untergejubelt wurde, doch wieviele Spammails können noch verbreitet werden, wenn diese erst durch Capcha knacken von Pornoseitenbesuchern legitimiert werden können?

Welche Legitimationsarten gibt es:

- Ausweis als menschliches Wesen durch eine Leistung, die nur der Mensch vollbringen kann (Auge, Ohr, menschliche Intelligenz)
- Hinterlegte personenbezogene Daten (der spammt nicht, denn dann hat man ihn)
- Hinterlegter materieller oder ideller Wert (Geld oder Renomme). Wer spammt, der muß zahlen

Hier geht es um Erbringung von Leistung oder Einsatz bereits erbrachter Leistung.
Das Capcha stellt ein Problem für Personen mit Leseschwäche oder gar Blinde dar. Zur Zeit gibt es die Internet-Identity Card noch nicht. Die das Problem für den Blinden lösen könnte. Da bleibt dann nur das gesprochene Wort mittels Sound, was auch nicht so einfach ist, oder das Rätsel. Die Frage ist nur, woher bekommen wir die Rätsel? Wenn hier ein Forum mit einigen 1000 Mitgliedernjjedes eines beisteuern könnte, wäre das schon etwas, oder?

Wie bremsen wir SPAM aus?
Da ist geäußert worden, daß das mit 5 Sekunden Mindestwartezeit zwischen Bereitstellen des Formulars und Abschicken des Formulars ginge. Aber hier gibt es dann auch noch das Problem paralleler Sessions. Es kann ja einer 100 Formulare anfordern, dann 5 Sekunden warten und dann diese 100 Formulare abschicken. Hier ist die Frage, wie können da die parallelen Sessions auf dem System verhindert bzw. erschwert werden. Durch Verwendung von Cookies und Benutzung von Javascript hat Primitivspamming von Servern etwa unter PHP und dergleichen nicht viel Chancen. Wie ein professionelles Spamsystem aussieht, davon habe ich aber keine Ahnung. Weiß da vielleicht jemand etwas?

Apropos Quiz

Zitat (hasch: 02.04.2006, 19:31)

Das ist natürlich auch geil, so kleines Wer wird Millionär Quiz:
Wer ist die deutsche Bundeskanzlerin? *g*
Ne aber im Ernst, verstehe schon, was du meinst...
EDIT: Logische Fragen könnten aber auch von einem Menschen gelöst werden und dann ins Spam-Forumlar eingebaut werden...

Die Idee ist sogar sehr gut. Nur gibt es da Zweifel, ob solche Fragen nicht zu schwierig sind, denn immerhin handelt es sich um Wettkandidaten mit besonders großem Allgemeinwissen, die dann auch imstande sind diese Fragen zu beantworten. Aber in dieser Form, die Du vorschlägst, etwa:

Wie lautet der Vorname der deutschen Bundeskanzlerin?

und sie müssen die Anrwort dann auch noch ohne einen zusätzlichen Hinweis eintippen, so funktioniert das bei diesem Quiz nicht, sondern es geht so:

Zitat

Wie ist der Vorname der Deutschen Bundeskanzlerin:
a) Angelika
b) Melitta

Die Spammer habe da eine 50 zu 50 Chance und wenn sie es mehrmals versuchen, schaffen sie es auch bald zu 100 Prozent. Die Wettkandidaten sind da aber besser, der Durchschnitt der Fernsehzuschauer aber weniger gut als die Wettkandidaten.

Die professionelle Art solcher Qizzes ist dann die:

Zitat

Senden Sie posta oder postb per SMS (49 c) an folgende Rufnummer: ... Dann wird nicht nur Ihre Nachricht gepostet, sondern Sie können auch noch eine Playstation 2 gewinnen.

Und wenn es dann noch ein Spammer schafft, dieses auszuhebeln, und einer Fernsehsendung unterzujubeln, dann geht aber die Post ab. Apropos Post, die befördert auch jeden Brief, der bezahlt wurde, und fragt nicht danach , ob der Absender auch selber die Briefmarke bezahlt hat.

Aber jetzt mal im Ernst, die grafischen Captchas sind leicht zu dekodieren
Verschiedenste Artikel verbreiten, daß Captchas nur schwer von Maschinen zu lesen sind. Das stimmt zwar - leicht zu programmieren ist das sicherlich nicht - aber es gibt bereits die Captcha-Decodierprogramme (etwa den PWNtcha - captcha decoder), welche die meisten grafischen Captchas zu 88 bis 100 % dekodieren.

Siehe hierzu:

http://www.einfach-f...rtikel/captcha/
http://sam.zoy.org/pwntcha/

Resumee
Captchas scheinen eine prima Idee zu sein, Spamsoftware zu blockieren, weil eine Aufgabe gestellt wird, die nur ein Mensch zu lösen vermag. So ist wenigstens die Theorie. Doch dann stellt sich heraus, daß die grafischen Captchas, von denen gedacht wurde, da beißen sich die Computer bestimmt die Zähne aus, doch von professioneller Schadsoftware decodiert werden können. Es scheint so, daß was von Maschinen codiert wird, sich auch wieder von ihnen entschlüsseln läßt. Die Tatsache, daß solche Captchas Menschen mit Leseschwäche aussperren, führt aber zu einer anderen Art von Captchas in Form von Rätseln und Textaufgaben, hauptsächlich natürlich mit Allgemeinwissensfragen. "Doch was ist die Hauptstadt von Venezuela?" Wissen Sie es? Für Allgemeinwissensdatenbanken ist so etwas doch kein Problem, oder? Da bleibt aber auch noch der Hörcaptcha (für Taube ungeeignet) oder der aufwendige Videoclip, bei der der zu erratende Begriff pantomimisch dargestellt wird. Welch ein Aufwand. Der Clip einmal angeschaut, in der Videoclipdatenbank der Spamsoftware gespeichert, es muß auch nicht der ganze Clip sein - eventuell reichen schon ein paar Byte, um zu sagen, das war dieser Clip - und schon war die ganze viele Mühe vergebens. Wo es allerdings um Wissen geht, das nur in einem örtlich begrenzten Bereich bekannt ist, seien es Begebenheiten aus der Geschichte der Heimat oder des Vereins, da haben Außenstehende und Spammer schlechte Karten. Hörcaptcha und Videoclip deuten in eine Richtung, wo eine Captcha Lösung liegen könnte. Etwas hören oder einen Film sehen kostet Zeit, und immer dabei aufpassen, daß nichts versäumt wird, bindet die Aufmerksamkeit eines Beobachters und auch die Resourcen einer beobachtenden Maschine. Ja wenn nur das Internet analog wäre. Aber der Videofile und der Soundfile sind einfach Datenfiles und keine ablaufenden Geschehnisse. Vielleicht tut sich hier noch eine Idee auf. Wer weiß?

Gruß telemail

Dieser Beitrag wurde von telemail bearbeitet: 07. November 2006 - 23:32

[Dyon]

Wie sieht es eigentlich aus wenn man eine einfache Rechenaufgabe stellt z.B. 1+1 , die der User dann rechnen und in ein extra Formulafeld eingeben muss. Die Lösung steht dann z.B. in einer *.txt Datei die mit .htacces geschützt ist.
Bei Absenden des Formulars wird nun geprüft ob die eingegebene Zahl mit der aus der *.txt Datei übereinstimmt?

MFG