Capcha Aushebeln
#1
geschrieben 02. April 2006 - 10:54
Mir ist mal so aufgefallen, dass man die Capcha Methode ganz leicht aushebeln kann...
Es wird eine Capcha Grafik angezeigt mit einem Code, im Quelltext der Seite der Hash dieses Codes, d.h. man müsste doch theoretisch nur einmal den Code ablesen, bsw.:
Abgelesener Code: ABCDEFG58791
Hash davon bsw.: 47e850a0548bd7ef7b88812cf3ccb944 (siehe Quelltext)
Dann diese beiden Codes in ein simuliertes Forumlar kopieren und meinetwegen 1000x an die Adresse senden... dann würde die Capcha Fkt. super ausgehebelt sein... zummindest hat es auf meinem lok. Server, der die gleiche Technik verwendet geklappt.
Damit wäre sie doch sinnlos oder nicht? Mich würde eure meinung dazu mal interessieren...
Es wird eine Capcha Grafik angezeigt mit einem Code, im Quelltext der Seite der Hash dieses Codes, d.h. man müsste doch theoretisch nur einmal den Code ablesen, bsw.:
Abgelesener Code: ABCDEFG58791
Hash davon bsw.: 47e850a0548bd7ef7b88812cf3ccb944 (siehe Quelltext)
Dann diese beiden Codes in ein simuliertes Forumlar kopieren und meinetwegen 1000x an die Adresse senden... dann würde die Capcha Fkt. super ausgehebelt sein... zummindest hat es auf meinem lok. Server, der die gleiche Technik verwendet geklappt.
Damit wäre sie doch sinnlos oder nicht? Mich würde eure meinung dazu mal interessieren...
Anzeige
#2
geschrieben 02. April 2006 - 12:43
Mh, in erster Linie hängt das wahrscheinlich von der implementierten Captcha-Variante ab, oder hast du das mal bei verschiedenen Möglichkeiten getestet? Kann mir jedenfalls nicht vorstellen, dass das immer so ist. Bei deinem angesprochenen Beispiel hast du allerdings recht.
Abgesehen davon sind Captchas sowieso für den A....!
Erstens, weil viele einfach nur schlecht implementiert sind und sich auf Grund schlecht gewählter Hintergründe, Farben oder Schriften leicht maschinell aushebeln lassen - mindestens 75% lassen sich so bereits umgehen.
Zweitens sind die Dinger einfach nur Nutzerfeindlich und müssten eigentlich, wenn sie es nicht von sind, vom W3C verboten werden.
Abgesehen davon sind Captchas sowieso für den A....!
Erstens, weil viele einfach nur schlecht implementiert sind und sich auf Grund schlecht gewählter Hintergründe, Farben oder Schriften leicht maschinell aushebeln lassen - mindestens 75% lassen sich so bereits umgehen.
Zweitens sind die Dinger einfach nur Nutzerfeindlich und müssten eigentlich, wenn sie es nicht von sind, vom W3C verboten werden.
/fuck you - really, I mean it!
Zu verkaufen:
Xbox, komplett PC (WF Link)
Hardware, Games, Comics und noch mehr Zeug (eBay-KA Link)
Zu verkaufen:
Xbox, komplett PC (WF Link)
Hardware, Games, Comics und noch mehr Zeug (eBay-KA Link)
#3
geschrieben 02. April 2006 - 13:24
Was wäre denn eine gute Alternative zu Capchas?
Wie könnte man das genannte Beispiel, sicherer machen? (Bin auf den Fehler in einem kostenpflichtigen CMS gestoßen..., aber verwende die gleiche Methode)...
Wie könnte man das genannte Beispiel, sicherer machen? (Bin auf den Fehler in einem kostenpflichtigen CMS gestoßen..., aber verwende die gleiche Methode)...
#4 _rjchio_
geschrieben 02. April 2006 - 13:40
Ähmm... Was ist eigentlich Capcha?
Ein Sicherheitscode oder so was?
MfG rjchio
Ein Sicherheitscode oder so was?
MfG rjchio
#5
geschrieben 02. April 2006 - 13:48
http://de.wikipedia.org/wiki/Captcha
Bin im Moment irgendwie auch auf der Suche ein Kontaktformular gegen maschinellen Spam zu schützen. Kennt da jemand was zuverlässiges?
Bin im Moment irgendwie auch auf der Suche ein Kontaktformular gegen maschinellen Spam zu schützen. Kennt da jemand was zuverlässiges?
#6
geschrieben 02. April 2006 - 14:19
Zitat (ch_z: 02.04.2006, 14:48)
Bin im Moment irgendwie auch auf der Suche ein Kontaktformular gegen maschinellen Spam zu schützen. Kennt da jemand was zuverlässiges?
Funktionieren Spambots mit selbstgebauten Formularen überhaupt? Über meine Kontaktformulare ist bisher noch nie eine Spammail versendet worden.
#7
geschrieben 02. April 2006 - 14:50
@hasch: Ja wer solche unsicheren Implementierungen baut, der hat's auch nicht anders verdient.
Aber generell lassen sie Captchas relativ einfach aushebeln: Lasst Menschen daran arbeiten! Mach eine Pr0n-Webseite auf und mache für das Login ein Captcha. Dorthin forwardest du dann die Captchas, die du knacken möchtest, und leitest die Antworten wieder zurück.
Aber generell lassen sie Captchas relativ einfach aushebeln: Lasst Menschen daran arbeiten! Mach eine Pr0n-Webseite auf und mache für das Login ein Captcha. Dorthin forwardest du dann die Captchas, die du knacken möchtest, und leitest die Antworten wieder zurück.
Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
#8 _rjchio_
geschrieben 02. April 2006 - 15:02
Zitat (Floele: 02.04.2006, 15:19)
Funktionieren Spambots mit selbstgebauten Formularen überhaupt? Über meine Kontaktformulare ist bisher noch nie eine Spammail versendet worden.
MfG rjchio
#9
geschrieben 02. April 2006 - 15:06
#10
geschrieben 02. April 2006 - 15:08
Vielleicht suchen die sich selbst die Felder raus.
http://www.moddingpower.de/gbook.php
Achtung, ein paar MB groß.
http://www.moddingpower.de/gbook.php
Achtung, ein paar MB groß.
Dieser sparkle hat Super-Kuh-Kräfte
#11
geschrieben 02. April 2006 - 15:11
#12
geschrieben 02. April 2006 - 15:19
Zitat (rjchio: 02.04.2006, 16:02)
Ja und Nein. Die Spambots müssten zuerst an deine Formulare angepasst werden... (Die Spambots müssen ja wissen, in welches Feld sie was eintragen müssen)
Gut zu wissen, ich hatte nur eine Kontaktformular-Vorlage genommen und benutzt.
Werde mich jetzt ein wenig beim PHP-lernen beeilen und selbst ein Formular bauen
#13
geschrieben 02. April 2006 - 16:13
@hasch: Die Eingabe serverseitig und nicht clientseitig verifizieren. Nicht die Lösung verraten.
Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
#14
geschrieben 02. April 2006 - 17:31
Zitat (ph030: 02.04.2006, 13:43)
Abgesehen davon sind Captchas sowieso für den A....!
Erstens, weil viele einfach nur schlecht implementiert sind und sich auf Grund schlecht gewählter Hintergründe, Farben oder Schriften leicht maschinell aushebeln lassen - mindestens 75% lassen sich so bereits umgehen.
Zweitens sind die Dinger einfach nur Nutzerfeindlich und müssten eigentlich, wenn sie es nicht von sind, vom W3C verboten werden.
Erstens, weil viele einfach nur schlecht implementiert sind und sich auf Grund schlecht gewählter Hintergründe, Farben oder Schriften leicht maschinell aushebeln lassen - mindestens 75% lassen sich so bereits umgehen.
Zweitens sind die Dinger einfach nur Nutzerfeindlich und müssten eigentlich, wenn sie es nicht von sind, vom W3C verboten werden.
Schön... Sie sind unbequem, ja... Und?
Wie willst du ein Forum einigermaßen davor schützen, von Spam-Bots überrannt zu werden?
Bisher bieten Captchas da noch eine relativ sichere Methode.
Klar, man kann das Forum umschreiben/ändern und einige wichtige Sachen ändern.
So kann man bei phpBB z.B. bestimmte Variablennamen ändern, da Spam-Bots versuchen sich mit
phpBB2/profile.php?mode=register&agreed=true
anzumelden...
Aber was macht man dann bei einem Board-Update... Da kann man gerade wieder alles von vorne modden...
Außerdem: Solange so Captchas nur bei der Registrierung auftauchen und nicht bei jedem Post, den man verfassen will ist das doch in Ordnung, oder?
#15
geschrieben 02. April 2006 - 19:00
Das Problem ist, dass, wie schon gesagt, mindestens 75% der eingesetzten Varianten maschinell umgehbar sind, d.h. der Bot gibt die richtige Kombination automatisch ein. Dieser Anteil und v.a. der Rest ist nutzerfeindlich, es gibt schließlich Menschen mit allgemeiner Leseschwäche, Farbenblindheit, etc. pp.
Es gibt wesentlich sinnvollere Methoden, z.B. ein logisches Rätsel, welches nur von Menschen gelöst werden kann oder die automatische Ablehnung von Posts, welche z.B. mehr als einen Link enthalten, oder oder oder...
Es gibt wesentlich sinnvollere Methoden, z.B. ein logisches Rätsel, welches nur von Menschen gelöst werden kann oder die automatische Ablehnung von Posts, welche z.B. mehr als einen Link enthalten, oder oder oder...
/fuck you - really, I mean it!
Zu verkaufen:
Xbox, komplett PC (WF Link)
Hardware, Games, Comics und noch mehr Zeug (eBay-KA Link)
Zu verkaufen:
Xbox, komplett PC (WF Link)
Hardware, Games, Comics und noch mehr Zeug (eBay-KA Link)