kostenloser Webspace werbefrei: lima-city


Eure Meinung zum Captcha

lima-cityForumProgrammiersprachenPHP, MySQL & .htaccess

  1. Autor dieses Themas

    michaelkoepke

    michaelkoepke hat kostenlosen Webspace.

    Hallo Leute,

    ich benutze schon seit einiger Zeit ein eigenes geschriebenes Captcha und habe es mal ein wenig überarbeitet, um es unter anderem flexibler sowie sicherer zu machen. Auf diesem Wege möchte ich eure Meinungen einholen, unter anderem wegen der Erkennbarkeit aller Zeichen, des Aussehens und ganz wichtig eure Meinung zur Sicherheit des Captchas. Gegenüber Vorschläge und auch Kritik bin ich stets offen.

    Captcha 1, eine 8-stellige Zeichenfolge

    Captcha 2, eine Rechenaufgabe mit zwei Operationen

    Beide Captchas kann man in Ihren Farben und jeglichen Formen anpassen und der Captcha-Code wird derzeit noch über md5 sowie einen Salt in einer Session gespeichert.
    Welche Schriftarten und Verschlüsselungsmethoden würdet Ihr mir empfehlen?
    Wie sollte ein Captcha nach euren Vorstellungen aussehen? (Sollte ja auch anwenderfreundlich sein)

    Ich freue mich schon auf eure Antworten

    MFG Micha
  2. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

  3. Wozu Verschlüsselung? Wenn du was in die Session speicherst liegen die Daten nur aufm Server. Der User kommt nicht so einfach ran.
    Das ist verschwendete Rechenzeit.

    Ohne den Code zu kennen kann man eh wenig sagen.
  4. Autor dieses Themas

    michaelkoepke

    michaelkoepke hat kostenlosen Webspace.

    muellerlukas schrieb:
    Wozu Verschlüsselung? Wenn du was in die Session speicherst liegen die Daten nur aufm Server
    Wozu wohl, hat einer eine Schwachstelle in einem Script der Seite gefunden, kann er evtl. die Session auslesen, und somit die Sicherheitsabfrage gekonnt übergehen.

    muellerlukas schrieb:
    Ohne den Code zu kennen kann man eh wenig sagen.
    Was würde dir bitte der Code bringen? Der Benutzer bekommt schließlich nur ein Bild.

    Meine Fragen wurden somit mit deinem Beitrag zu fast 0% beantwortet. Ich danke dir dafür.:thumb:

    MFG Micha
  5. Sollte es soweit kommen, dass der User an die Sessiondaten kommt und ggf sogar schreiben kann - egal ob Lücke im Script oder auf dem Server - ist eh was anderes im Argen.
    Da braucht man sich keine Gedanken mehr über fehlenden Spamschutz machen.

    Man muss zu einer Bewertung zu einem Projekt, welches im Php-Bereich steht/vorgestellt wird imho natürlich den Code mit werten. dafür ist ja auch der Bereich da.
    Seien es Fehler wie das einfache Nicht-Validieren der Session, ...
  6. r******o

    Ich finde eine Captcha mit Buchstaben und Zahlen besser als eine mit einer rechenaufgabe.
    Die Buchstaben und zahlen sollte man gut lesen können.

    Deine Captcha ist meiner Meinung gut.
  7. Die meisten Anwender sind von Captcha's genervt und man vergrault sie damit -> weniger Seitenaufrufe!

    Unabhängig davon ist es nur eine Frage der Zeit, bis irgendein Programm (OCR) das Captcha vollautomatisch ausliest und wieder eingibt.

    Meine Meinung: Spart Euch die Captcha's !!!

    Das soll jetzt aber nicht heißen, daß man keine Mechanismen gegen Bots verwenden sollte.
    Der nachfolgende Link zeigt Methoden gegen Bots die deutlich effektiver als Captcha's sind:

    http://www.cwcity.de/tutorials/view/548-Anti-Spam-mit-PHP-ohne-captcha-ohne-JS

    Das Ganze ist dann auch noch anwenderfreundlich.

    Gruss Dunkeltuten


    Beitrag zuletzt geändert: 2.2.2015 11:37:31 von dunkeltuten
  8. Die Rechenaufgabe finde ich sinnvoller als diese unleserlichen Captchas.
    Meine generelle Meinung ist aber, das man ein Captcha verwenden sollte das ohne eingaben (oder Mobil mit Katzenbilder) auskommt wie das neue reCaptcha:
    http://t3n.de/news/captcha-recaptcha-google-582984/
    Man schreckt den User nicht ab und hatt keine Bot Probleme.
  9. Autor dieses Themas

    michaelkoepke

    michaelkoepke hat kostenlosen Webspace.

    Hey,

    danke für eure Antworten, ich habe viele Ideen sammeln können, auch der Link von
    dunkeltuten schrieb:
    http://www.cwcity.de/tutorials/view/548-Anti-Spam-mit-PHP-ohne-captcha-ohne-JS
    hat mir sehr geholfen.:approve:

    Ich werde nun zusätzlich die Zeit jeder Eingabe messen und werde auch eine Wartezeit, nach einer Falscheingabe einfügen. alle EIngaben werden besser geprüft (mit Regulären Ausdrücken).

    w3j schrieb:
    reCaptcha:
    http://t3n.de/news/captcha-recaptcha-google-582984/

    Danke für die Info, im Prinzip eine tolle Idee, jedoch halte ich überhaupt nichts von diesem Captcha, da ich a) keinen Include von anderen Seiten mag und will, und b) Google als Suchmaschine verwende (klappt sehr gut) und nicht mehr damit zu tun habe und auch nicht will!:disapprove:

    Vieleicht präsentiere ich in naher Zukunft mein fertiges Captcha, welches noch sicherer sein sollte :spammer:

    PS:
    dunkeltuten schrieb:
    Die meisten Anwender sind von Captcha's genervt und man vergrault sie damit -> weniger Seitenaufrufe!

    Diese Meinung teile ich nicht, das Captcha wird für ein Adminpanel eingesetzt und da sehe ich es doch sinnvoll :wink:

    Ich danke euch nochmal für eure Meinungen :thumb:
  10. michaelkoepke schrieb:
    das Captcha wird für ein Adminpanel eingesetzt und da sehe ich es doch sinnvoll


    Für ein "Admin"-Panel?

    Der Begriff sagt für mich, daß dort eh nur diejenigen hinkommen, die bereits im System registriert sind.
    Willst Du das Login vor Spam- und Hackversuchen schützen? Dafür gäbe es bessere Wege!

    Sollte ich das falsch verstanden haben, würde mich wirklich interessieren, wofür das Captcha gedacht ist.

  11. michaelkoepke schrieb:
    das Captcha wird für ein Adminpanel eingesetzt

    In dem Fall könnte es man noch einfacher machen und einfach alle IPs außer der der Admins zu sperren. (z.B.: über htaccess)
    dunkeltuten schrieb:
    Das soll jetzt aber nicht heißen, daß man keine Mechanismen gegen Bots verwenden sollte.
    Der nachfolgende Link zeigt Methoden gegen Bots die deutlich effektiver als Captcha's sind:

    Ich habe mir auch mal so eine Methode ausgedacht: http://blog.wronnay.net/antispam-updates-tutorial/ (ähnlich, aber nicht so aufwendig ...)
  12. Du musst nebenbei auch immer daran denken, was der User besser findet.
    Nach einem Captcha mit Buchstaben und Zahlen bin ich meistens schon total angepisst. (Entschuldigt die Wortwahl)
    Eine Rechenaufgabe ist da deutlich benutzerfreundlicher.
    Oder du machst es am besten mit Google reCAPTCHA. Da müssen die User nur in eine Box klicken und in den meisten Fällen wird das Captcha dann automatisch bestätigt. Sollte Google allerdings einen Verdacht haben, dass die Absichten des Clients "schlecht" sind, wird ein simpler Satz o.ä. angezeigt.
    Zur Website: http://www.google.com/recaptcha/intro/index.html

    MfG
    Flo
  13. johanneskirchgemeinde

    johanneskirchgemeinde hat kostenlosen Webspace.

    doublecakelp schrieb:
    Du musst nebenbei auch immer daran denken, was der User besser findet.
    Nach einem Captcha mit Buchstaben und Zahlen bin ich meistens schon total angepisst. (Entschuldigt die Wortwahl)
    Eine Rechenaufgabe ist da deutlich benutzerfreundlicher.
    Geht mir auch so. Außerdem habe ich die Vermutung, dass die oft verwendeten nahezu unlesbaren Captchas inzwischen viel besser von Rechnern gelöst werden können.
    Allerdings sollte man sich bewusst sein, dass es auch Menschen gibt, die keine Probleme mit Text haben, aber nicht in der Lage sind, einfachste Matheaufgaben zu lösen. Sollten diese Menschen zur Zielgruppe gehören, möchte man sie ja nicht ausschließen.
    Oder du machst es am besten mit Google reCAPTCHA. Da müssen die User nur in eine Box klicken und in den meisten Fällen wird das Captcha dann automatisch bestätigt.
    Das klingt gut.
  14. johanneskirchgemeinde schrieb:
    Allerdings sollte man sich bewusst sein, dass es auch Menschen gibt, die keine Probleme mit Text haben, aber nicht in der Lage sind, einfachste Matheaufgaben zu lösen. Sollten diese Menschen zur Zielgruppe gehören, möchte man sie ja nicht ausschließen.

    Wie ich zum Beispiel... Mathe an sich ist nicht das Problem, sondern das Kopfrechnen :D - Zumindest bei Multiplikation und Division :D

  15. johanneskirchgemeinde

    johanneskirchgemeinde hat kostenlosen Webspace.

    doublecakelp schrieb:
    Wie ich zum Beispiel... Mathe an sich ist nicht das Problem, sondern das Kopfrechnen :D - Zumindest bei Multiplikation und Division :D
    Glücklicherweise bestehen mathematische Captchas in der Regel aus einer einfachen Addition (zumindest die, die mir bisher begegnet sind).
    Notfalls könnte man auch technische Hilfsmittel zum Rechnen benutzen. Damit wird es aber wieder unkomfortabel.
  16. johanneskirchgemeinde schrieb:
    Glücklicherweise bestehen mathematische Captchas in der Regel aus einer einfachen Addition (zumindest die, die mir bisher begegnet sind).

    Das stimmt... Trotzdem brauche ich für Aufgaben, wie 23 + 28 ein paar Sekunden. Nicht weil ich die Aufgabe nicht verstehe, sondern weil ich einfach nicht im Kopf rechnen kann...

    johanneskirchgemeinde schrieb:
    Notfalls könnte man auch technische Hilfsmittel zum Rechnen benutzen. Damit wird es aber wieder unkomfortabel.

    Gut, dass mein Tablet immer neben meinem Computer steht...


    MfG
    Flo
  17. johanneskirchgemeinde

    johanneskirchgemeinde hat kostenlosen Webspace.

    doublecakelp schrieb:
    Trotzdem brauche ich für Aufgaben, wie 23 + 28 ein paar Sekunden.
    Soweit ich mich erinnere war das eher in der Größenordnung von "3 + 5".

    Gut, dass mein Tablet immer neben meinem Computer steht...
    Wozu ein zusätzliches Gerät? Ich würde (unter Windows) calc starten, dann können Aufgabe (sofern nicht als Bild angezeigt) und Ergebnis sogar per copy+paste übertragen werden.
  18. johanneskirchgemeinde schrieb:
    Soweit ich mich erinnere war das eher in der Größenordnung von "3 + 5".

    Ich hatte tatsächlich mal Aufgaben im mittleren bis oberen Bereich...

    johanneskirchgemeinde schrieb:
    Wozu ein zusätzliches Gerät? Ich würde (unter Windows) calc starten, dann können Aufgabe (sofern nicht als Bild angezeigt) und Ergebnis sogar per copy+paste übertragen werden.

    Ich hab ja auch ein Windows-Tablet :D

    Aber ich glaube, wir kommen langsam vom Thema ab...


    MfG
    Flo
  19. Autor dieses Themas

    michaelkoepke

    michaelkoepke hat kostenlosen Webspace.

    WOW :thumb:

    Hallo erst einmal an alle, die geantwortet haben.

    fatfreddy schrieb:
    Der Begriff sagt für mich, daß dort eh nur diejenigen hinkommen, die bereits im System registriert sind.
    Willst Du das Login vor Spam- und Hackversuchen schützen? Dafür gäbe es bessere Wege!

    Genau, es ist nur für registrierte Mitglieder gedacht, die mit dieser Seite viel Schei*e bauen könnten.
    Dieses Captcha dient nicht nur zum Login in das AdminPanel, sondern dient auch dazu sich über ein Formular ein neues Passwort zukommen zu lassen, wenn man es vergessen hat. Auch zum Absenden wichtiger Änderungen an der Seite möchte ich dieses einsetzen.
    Bessere Wege, ja die gibt es, einige davon setzte ich zusätzlich ein. :wink:

    webfreclan schrieb:
    In dem Fall könnte es man noch einfacher machen und einfach alle IPs außer der der Admins zu sperren. (z.B.: über htaccess)

    Ich weiß nicht wie du dir das vorstellst, wenn jeder Benutzer der das Internet nutzt über seinen Provider fast jeden Tag eine neue IP-Adresse bekommt! :confused: -> :disapprove:

    doublecakelp schrieb:
    Eine Rechenaufgabe ist da deutlich benutzerfreundlicher.
    Oder du machst es am besten mit Google reCAPTCHA.

    Ja, eine Rechenaufgabe finde ich auch besser als eine Zeichenfolge. :approve:
    Jedoch hast du die vorhergehenden Beiträge nicht gelesen reCAPTCHA -> NEIN :disapprove:

    johanneskirchgemeinde schrieb:
    Allerdings sollte man sich bewusst sein, dass es auch Menschen gibt, die keine Probleme mit Text haben, aber nicht in der Lage sind, einfachste Matheaufgaben zu lösen. Sollten diese Menschen zur Zielgruppe gehören, möchte man sie ja nicht ausschließen.

    Das ist natürlich ein gutes Argument, das muss ich mir nochmal durch den Kopf gehen lassen.

    johanneskirchgemeinde schrieb:
    Ich würde (unter Windows) calc starten, dann können Aufgabe (sofern nicht als Bild angezeigt) und Ergebnis sogar per copy+paste übertragen werden.

    Das wäre wohl bei einem CAPTCHA Schwachsinn :wall: es in Klartext darzustellen oder? :wink:

    MFG Micha
  20. michaelkoepke schrieb:
    Ich weiß nicht wie du dir das vorstellst, wenn jeder Benutzer der das Internet nutzt über seinen Provider fast jeden Tag eine neue IP-Adresse bekommt! :confused: -> :disapprove:

    Naja, also ich bekomme eigentlich immer eine IP-Adresse, bei der die ersten Oktette immer gleich sind - man könnte also alle IP-Adressen mit diesen Oktetten freigeben. (Und es würde bestimmt schon reichen, nur IPs von deinem Provider zu erlauben. - Ich glaube nicht, dass Spam-Bots die IPs von der Telekom oder anderen bekannten deutschen Providern verwenden)
  21. Autor dieses Themas

    michaelkoepke

    michaelkoepke hat kostenlosen Webspace.

    webfreclan schrieb:
    Naja, also ich bekomme eigentlich immer eine IP-Adresse, bei der die ersten Oktette immer gleich sind - man könnte also alle IP-Adressen mit diesen Oktetten freigeben. (Und es würde bestimmt schon reichen, nur IPs von deinem Provider zu erlauben. - Ich glaube nicht, dass Spam-Bots die IPs von der Telekom oder anderen bekannten deutschen Providern verwenden)

    Zu meiner IP die ich bekomme:

    XX.XXX... und
    XXX.XX... auch schon gehabt!

    Und warum nur von meinem Provider erlauben?
    Welchen Provider hast du denn? Also ich bin bei Vodafone, wenn du es nicht sein solltest, haben wir jetzt ein Problem!

    Und somit wäre ein Anmelden von einem anderen (fremden) Computer für diesen Benutzer nicht mehr möglich!? :confused:
    Sorry, finde diese Idee immernoch ein wenig **** und bin immernoch :disapprove:

    MFG Micha
  22. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

Dir gefällt dieses Thema?

Über lima-city

Login zum Webhosting ohne Werbung!