Botverkäufer im Browsergame
lima-city → Forum → Die eigene Homepage → Internet Allgemein
bild
bot
break
buchstabe
code
entwickeln
http
image
jemand
leute
mensch
nachricht
problem
rechen
sagen
spiel
string
tag
url
zeit
-
Guten Abend alle miteinander,
langsam bin ich mit meinem Rat am Ende.
Ich bin wie einigen eventuell bekannt ,Betreiber eines kleinen Browsergames.
Nun habe ich vor einigen Tagen lesen müssen das jemand einen Bot zum Verkauf anbietet.
Da ich dies natürlich nicht dulde habe ich den User gleich des Spiels verbannt und dachte kurzzeitig das es damit auch getan ist.
Natürlich war es damit nicht erledigt^^
Mittlerweile hat er 3 Accounts gehabt.
Da er eine eigene TLD hat und sich darüber auch registriert hat habe ich zu erst seine Domain gesperrt, sprich wenn er eine Mailadresse seiner Domain genutzt hat konnte er sich nicht mehr registrieren.
Also hat er sich eine neue geholt bei nem neuem Anbieter.
Nun habe ich via htaccess seinen IP Bereich gesperrt, allerdings kann das nicht die Lösung sein.
Bevor jemand was sagt:
Ich nutze im Spiel Captchas um Aktionen auszuführen, laut dem Verkäufer hat er es aber geschafft auszuheben.
Nun meine Frage:
Kennt ihr sowas? Habt ihr mit solchen Leuten Erfahrungen gemacht?
Ich bin mir nicht ganz sicher ob ich rechtlich dort eine Chance habe, könnte man sowas, falls es wirklich extrem mit ihm wird, eine Verfügung erwirken?
Vielleicht kann mir ja jemand einen Tipp geben oder einen Hinweis wie mit solchen Leuten umzugehen ist.
Grüße und einen schönen Abend noch.
-
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
Schau dir den Fall "Bossland vs. Blizzard Entertainment" an. Dort geht's um genau so etwas und die Chance, dass die Firma Bossland (Bothersteller) gewinnt, besteht definitiv. Zur Zeit kannst du rechtlich nicht dagegen vorgehen, insofern der Bot nichts kann, was ein "echter Spieler" nicht auch kann.
-
Also rechtlich kannst du da wenig machen. Aber du kannst Mechanismen entwickeln, welche die Benutzung von Bots erschweren.
Als erstes geht es darum, Botbenutzer zu identifizieren. Dies lässt sich oft relativ einfach, indem man nach regelmäßigem Verhalten ausschau hält. Kaum ein Mensch - so intensiv er auch spielt - wird es schaffen, beispielsweise exakt alle 5 Minuten eine bestimmte Aktion auszuführen. Des weiteren könntest du die Aktivität prüfen - wer länger als 24 Stunden ständig online ist, ist grundsätzlich erstmal verdächtig.
Sind die Personen erstmal identifiziert, muss man mit den Gegenmaßnahmen beginnen. Als erstes würde ich mal etwas versuchen wie "Unerwartete Ereignisse". Eine große Nachricht, die erstmal beantwortet werden muss bevor es weiter geht, ist schon mal schwierig für einen Bot zu beantworten. Das Problem dabei ist, dass die Nachricht am besten ist, wenn sie manuell getippt wird oder zumindest sehr große Nachrichtenkataloge bestehen.
Das Sperren ist ansich keine effektive Methode. Viel effektiver ist meiner Erfahrung nach, den Benutzer zu "Muten", ihn also weiter spielen, aber keinen Einfluss mehr auf andere Spieler haben zu lassen. So dauert es wesentlich länger, bis die Person sich wieder neu anmeldet.
Natürlich bekommst du früher oder später ein Problem: Wenn erstmal die ersten anfangen, Bots zu programmieren, dauert es nicht mehr lange, bis die nächsten Anfangen. Das ist ein ewiger Kampf gegen Windmühlen. -
fabo schrieb:
Schau dir den Fall "Bossland vs. Blizzard Entertainment" an. Dort geht's um genau so etwas und die Chance, dass die Firma Bossland (Bothersteller) gewinnt, besteht definitiv. Zur Zeit kannst du rechtlich nicht dagegen vorgehen, insofern der Bot nichts kann, was ein "echter Spieler" nicht auch kann.
Guten Morgen, soweit ich das gestern Abend noch richtig rausgelesen habe wurde aber allen Punkten in denen Blizzard Klage eingereicht hat stand gegeben!?
Finde es nen Unding dann Richter sowas durchgehen lassen, aber ist auf jeden Fall nen interessanter Fall und bin sehr gespannt wie das zu Ende geht.
Als erstes geht es darum, Botbenutzer zu identifizieren. Dies lässt sich oft relativ einfach, indem man nach regelmäßigem Verhalten ausschau hält. Kaum ein Mensch - so intensiv er auch spielt - wird es schaffen, beispielsweise exakt alle 5 Minuten eine bestimmte Aktion auszuführen. Des weiteren könntest du die Aktivität prüfen - wer länger als 24 Stunden ständig online ist, ist grundsätzlich erstmal verdächtig.
Das habe ich schonmal gemacht, hat damals auch ganz gut geklappt. Damals wurde aber nen Reload Script genutzt, war nicht gerade herausragend programmiert.
Sind die Personen erstmal identifiziert, muss man mit den Gegenmaßnahmen beginnen. Als erstes würde ich mal etwas versuchen wie "Unerwartete Ereignisse". Eine große Nachricht, die erstmal beantwortet werden muss bevor es weiter geht, ist schon mal schwierig für einen Bot zu beantworten. Das Problem dabei ist, dass die Nachricht am besten ist, wenn sie manuell getippt wird oder zumindest sehr große Nachrichtenkataloge bestehen.
Was wären deiner Meinung nach denn noch alles unerwartete Ereignisse?
Ich kann mir das schon gut vorstellen wenn statt des Captchas ne richtige Aufgabe kommt oder zumindest eine welche nicht im Programm ist.
Da nicht gelöste Captchas geloggt werden (bisher dachte ich mein Captcha wäre gut und kann daran Botuser ausfindig machen,
Das Sperren ist ansich keine effektive Methode. Viel effektiver ist meiner Erfahrung nach, den Benutzer zu "Muten", ihn also weiter spielen, aber keinen Einfluss mehr auf andere Spieler haben zu lassen. So dauert es wesentlich länger, bis die Person sich wieder neu anmeldet.
Das wäre viel Aufwand ihn zu muten, da es mittlerweile einige Möglichkeiten gibt um irgendwo was zu schreiben.
Damit nicht noch mehr Leute auf die Idee kommen nen Bot zu schreiben oder zu nutzen möchte ich das ganze gleich zu Beginn im Keim ersticken, außerdem sollen die User dran gewöhnen das ich eine 0-Cheat-Politik fahre ;)
-
Beim Anmeldevorgang für das Spiel würde ich Anbieter von temporären e-mail Adressen ausschließen.
Das ist zwar sicherlich nicht die Lösung des Problemes, aber ein weiterer Shritt dazu.
-
kelserific schrieb:
Als erstes geht es darum, Botbenutzer zu identifizieren. Dies lässt sich oft relativ einfach, indem man nach regelmäßigem Verhalten ausschau hält. Kaum ein Mensch - so intensiv er auch spielt - wird es schaffen, beispielsweise exakt alle 5 Minuten eine bestimmte Aktion auszuführen. Des weiteren könntest du die Aktivität prüfen - wer länger als 24 Stunden ständig online ist, ist grundsätzlich erstmal verdächtig.
Neu in der Boterstellung, was?^^
Ein richtiger Bot basiert auf zufallsgesteuerten Zeiten, um eben diese Erkennung los zu werden. Wenn man einen richtigen Bot entwickelt, und den auch vertreibt, dann werden sicherlich zufallsgesteuerte Zeiten und Show-Logoff (also das ausloggen für einen Zeitraum von 5-20min um zu zeigen, man sei auch mal weg) benutzt. Und auch Botnutzer schlafen, und da geht normalerweise der Bot aus, weil das sonst verdächtig wäre.
So, da ich dir aber nicht sagen möchte, dass es Aussichtslos ist, geb ich lieber eine mögliche Lösung/Zeitbeschaffung:
Dein Captcha hab ich nu noch nicht gesehen, aber ich vermute es ist zu einfach. Dagegen kannst du soetwas einführen wie ein "Doppel-Captcha". Das funktioniert so, dass ein mal einen Text in ein Bild packst, wie "Nur die Roten Buchstaben", oder "die Zeichenkette Rückwärts", und dieses auch schon verschwimmen lässt, und diese Aktion dann mit den zweiten Captcha gegen hälst. Das ganze könnte für Zeitlichen gewinn sorgen. Du kannst auch sowas schreiben wie "Rechne das Ergebnis nochmal minus Fünf" und hast eine aufgabe wie "5+3=". Dann sollte natürlich 3 rauskommen. Mit solchen doppelten Systemen tun sich Bots (aber auch User) schwer.
Dann Temporäre EMails rausfiltern, seine TLD rausfiltern, und Bestätigungsmail ist sehr wichtig!
Trotz allem muss ich sagen: Wenn man nen richtigen Hater hat, dann ist das ganze schon recht schwer. Bots für Browsergames lassen sich relativ einfach entwickeln. Und rechtlich besteht da keine Chance, solange er dir nicht wirtschaftlich in einem gewissen Faktor schadet, also du nachweisen kannst, dass dir dadurch als Unternehmer Einnahmen fehlen, die zu deiner Existens beitragen (Siehe Fall Frogster/GameForge vs ElitePvPers).
Wie gesagt: Schau auf merkmale und versuch es mal mit dem doppel Captcha, vllt hilfts ja. Aber es wird sich mit Pech auch auf deine User auswirken, weil zu häufige Captcha einfach nerven...
Liebe Grüße -
ggamee schrieb:
Aber genau darum geht es ja: Den Botersteller so sehr zu nerven, dass der Bot irgendwann nicht anders agiert als ein Mensch - ergo könnte der Mensch auch selbst spielen, denn dann bietet er keinen Vorteil mehr.
Neu in der Boterstellung, was?^^
Ein richtiger Bot basiert auf zufallsgesteuerten Zeiten, um eben diese Erkennung los zu werden. Wenn man einen richtigen Bot entwickelt, und den auch vertreibt, dann werden sicherlich zufallsgesteuerte Zeiten und Show-Logoff (also das ausloggen für einen Zeitraum von 5-20min um zu zeigen, man sei auch mal weg) benutzt. Und auch Botnutzer schlafen, und da geht normalerweise der Bot aus, weil das sonst verdächtig wäre. -
kelserific schrieb:
ggamee schrieb:
Aber genau darum geht es ja: Den Botersteller so sehr zu nerven, dass der Bot irgendwann nicht anders agiert als ein Mensch - ergo könnte der Mensch auch selbst spielen, denn dann bietet er keinen Vorteil mehr.
Neu in der Boterstellung, was?^^
Ein richtiger Bot basiert auf zufallsgesteuerten Zeiten, um eben diese Erkennung los zu werden. Wenn man einen richtigen Bot entwickelt, und den auch vertreibt, dann werden sicherlich zufallsgesteuerte Zeiten und Show-Logoff (also das ausloggen für einen Zeitraum von 5-20min um zu zeigen, man sei auch mal weg) benutzt. Und auch Botnutzer schlafen, und da geht normalerweise der Bot aus, weil das sonst verdächtig wäre.
Falsch. Ein Bot kann auch da spielen, wo ein Mensch essen ist oder so. Es nützt also immer. Bots sind immer nützlich, und die Umstände ihn zu schreiben sind seltend aufwendiger als ein Nachmittag/Abend.
Also passts eigentlich immer
Liebe Grüße -
ggamee schrieb:
Nun, das Problem ist halt: die Zeit, die man beim Essen war und der Bot online, war man nicht offline. Dementsprechend muss der Bot oder Mensch irgendwann wieder offline sein, um die Zeit aufzuholen. Am Ende läuft es darauf hinaus, dass die Leute länger und öfter online sind, als alle anderen. ( Worum es beim botten ja geht. ) Und genau daran kann man sie erkennen.
Falsch. Ein Bot kann auch da spielen, wo ein Mensch essen ist oder so. Es nützt also immer. Bots sind immer nützlich, und die Umstände ihn zu schreiben sind seltend aufwendiger als ein Nachmittag/Abend.
Also passts eigentlich immer
Liebe Grüße
Aber das Thema mal beiseite: Ich habe ein wenig darüber nachgedacht, was du vorgeschlagen hast, von wegen "Doppelcapchas" und so. Halte ich für weniger nützlich, da es da nur bedeutet, dass ein neuer Fragenkatalog und ein paar RegEx geschrieben werden und man ist wieder da, wo man vorher war.
Ich denke, was Capchas angeht wäre das sicherste, einfach eine Art "eigenen Capcha" zu entwerfen. Undzwar einen, den eine Maschine halt nicht so ohne weiteres auslesen kann. Dafür bedient man sich einfach an der einen Eigenschaft, die Menschen haben, Maschinen aber nicht: Intelligenz. Man könnte auf ganz simple Intelligenztests zurückgreifen. Beispielsweise: Verfollständige die Reihe ← ↓ → mit je ← ↓ → und ↑ zur auswahl, wobei die Reihenfolge nach belieben variieren kann.Es sollte jedem klar sein, dass darauf der Pfeil nach oben folgt. Wenn die Reihe ↑ ↓↑ ↓ ist, könnte wieder der Pfeil nach oben folgen und so weiter.
Das hauptsächliche Problem bei der Geschichte würde sein, dass alt hergebrachte Capcha-Breaker da nicht mehr ziehen, da diese auf Alphanumerische Zeichen ausgelegt sind. Die Leute müssten also einen eigenen Capcha-Breaker schreiben, wozu wesentlich weniger in der Lage sind. Zudem kommt, dass die Aufgabenstellung für eine Maschine nicht klar erkennbar ist. Nimmt man eine große Anzahl an Symbolen, lassen sich so nahezu beliebig viele Aufgaben modellieren, während auf der anderen Seite jemand sitzt, der sie alle auswendig lernen, dem Computer beibringen und so weiter muss. Damit hätte man dem Botentwickler gegenüber einen Vorteil. Zudem wären noch Dinge möglich wie verzerrte Bilder von Uhren, Glocken, usw. Bilderkennung ist ein wahnsinnig kompliziertes Gebiet. Wenn man die Capchas auch noch dezent einsetzt, dauert es sehr lange, einen vollständigen Katalog zu erstellen, wobei es nicht schwer ist, neue "Aufgaben" zu entwickeln. -
kelserific schrieb:
Nun, das Problem ist halt: die Zeit, die man beim Essen war und der Bot online, war man nicht offline. Dementsprechend muss der Bot oder Mensch irgendwann wieder offline sein, um die Zeit aufzuholen. Am Ende läuft es darauf hinaus, dass die Leute länger und öfter online sind, als alle anderen. ( Worum es beim botten ja geht. ) Und genau daran kann man sie erkennen.
Das heißt du möchtest arbeitslose abstrafen, oder Hobbyspieler die auf der Arbeit spielen, wiel sie viel Online sind? Also bei meinen eigenen Browsergames hatte ich immer Leute dabei die 18h am Tag online waren. Permanent erreichbar, unzwar wirklich erreichbar. Mit dem Unterschied, sie waren nicht besser als andere, aber wie willst du zwischen einem Vielspieler und einem Bot differenzieren?
Du könntest versuchen ein Event-Mouse-Locating zu machen, dafür ist aber die Vorraussetzung, dass auch Events im Browser getriggered werden, und es nicht direkt als Anfrage gesendet wird. Außerdem wäre das mittels Javascript zu realisieren (jQuery) und damit einsehbar. Man müsste es also gut verstecken in die jQuery.min.js zwischen jQuery selbst und einem anderen Plugin vllt. Gedacht ist es so, dass du die Events per jQuery auswertest:
$('button').click( function(e) { pos = this.offset(); if (e.pageX < pos.left || e.pageX > ( pos.left + this.width() ) { alert(' BOT! '); } if (e.pageY < pos.top || e.pageY > ( pos.top + this.height() ) { alert(' BOT! '); } });
(ist nur ein ungetesteter Schnipsel, kA ob der geht.)
Die Doppelcaptcha sind auch keine Lösung, sondern eine Verzögerung. Aber du setzt in deiner neuen Lösung Interligenz voraus, und die ist nicht kontinuierlich gegeben. Außerdem musst du damit jeden Captcha selbst schreiben, denn du musst immer eine logik drinne haben, die auch machbar ist. Ergo wäre die Summe aller Captcha nicht unbedingt groß denke ich. Könnte man jetzt drüber diskutieren, aber wenn du Pattern benutzt, dann kann das Analyseprogramm auch Pattern benutzen. Der Angreifer hat die gleichen Möglichkeiten wie du, immer. Er muss also nichts auswendig lernen.
Wie er die Captcha auswertet ist hier allerdings eine Frage. Verwendet er ein Std Breaker, oder gibt es nur eine Anzahl von 50 möglichen Kombis? Ist der Name vielleicht auch einfach nur übereinstimmend oder gibt Rückschlüsse, oder wie geht der "Angreifer" vor.
Außerdem musst du immer an die Usability denken. Ein Browsergame, welches so umständlich ist, dass ich es nicht zum Abspannen spielen kann ist es nicht Wert gespielt zu werden, denn wenn ich hier auchnoch ständig nachdenken muss, weil die Capcha mit absicht kniffellig gehalten werden, dann vergisses. Das kann man allerdings als Spielfeature einfügen, bzw es so verkaufen. "Bevor du einbrechen kannst, musst du erstmal ein Schloss knacken", was ein wenig umständlicher ist. Damit wäre es den Usern gut verkauft, wenn es ins Konzept passt. Ich spiele das Spiel nicht, vllt passt es ja auch garnicht.
Liebe Grüße -
ggamee schrieb:
Es war nie die Rede von blindem "Abstrafen". Wo hast du das nur wieder her? Es geht um Verdachtsmomente. Und wer nun mal 18 Stunden am Tag spielt, macht sich verdächtig. Nach meinem Gedünken müsste man erst dann bei den Leuten anfangen, mit Sicherheitsmaßnahmen anzukommen. Ein Capcha oder ähnliches stört den Spieler nicht großartig, wenn er keinen Bot benutzt. Wenn man Capchas usw. nicht willkürlich verwenden würde, sondern dezent und gezielt, wäre es auch wesentlich schwieriger, Gegenmaßnahmen zu ergreifen.
Das heißt du möchtest arbeitslose abstrafen, oder Hobbyspieler die auf der Arbeit spielen, wiel sie viel Online sind? Also bei meinen eigenen Browsergames hatte ich immer Leute dabei die 18h am Tag online waren. Permanent erreichbar, unzwar wirklich erreichbar. Mit dem Unterschied, sie waren nicht besser als andere, aber wie willst du zwischen einem Vielspieler und einem Bot differenzieren?
ggamee schrieb:
halte ich auch für keine schlechte Idee.
Du könntest versuchen ein Event-Mouse-Locating zu machen,
ggamee schrieb:
Ich denke jeder, der eine Tastatur bedienen kann, kann auch ein simples Pfeil-Rätsel lösen. Das erfordert nun wirklich keine besondere Intelligenz.
Die Doppelcaptcha sind auch keine Lösung, sondern eine Verzögerung. Aber du setzt in deiner neuen Lösung Interligenz voraus, und die ist nicht kontinuierlich gegeben.
ggamee schrieb:
Geht man alleine von 4 Pfeilen und 6 Zeichen aus, gibt es schon 4096 mögliche Kombinationen. Die meisten davon werden zwar keinen besonderen Sinn ergeben, aber über die 200 kommt man da schon. Nimmt man dazu noch Kreuz, Karo, Herz, Pik, kommt man auf über 200000 Kombinationsmöglichkeiten. Wenn davon 1000 einen Sinn ergeben, hat man mit nur 8 verschiedenen Symbolen schon eine Menge gewonnen. Zu dem kann man dann auch noch Farben nehmen. Der Bot kennt beispielsweise keine Ampeln, die Deutsche Flagge nicht, usw. alles Kombinationsmöglichkeiten, die man nicht simulieren kann.
Außerdem musst du damit jeden Captcha selbst schreiben, denn du musst immer eine logik drinne haben, die auch machbar ist. Ergo wäre die Summe aller Captcha nicht unbedingt groß denke ich.
ggamee schrieb:
Nein, der Angreifer benutzt einen Bot und Bots sind dämlich. Solange der Programmierer nicht anfängt mit neuronalen Netzen zu arbeiten, ist das ziemlich aussichtslos. Das einzige was da relativ machbar wäre, wären Lösungstabellen - auf beiden Seiten. Der Vorteil liegt also bei dem, der die Lösung diktiert - der Browsergame-Hersteller. Zudem kommt das Problem, dass es keine fertigen Capcha-Breaker für solche Zwecke gibt. Und da kannst du mir erzählen was du willst - die meisten benutzen die vorgefertigten Klassen/Module/Bibliotheken. Das heißt, der Bot-Programmierer müsste sich hinsetzen und einen Capcha-Breaker für ausschließlich diese Webseite entwickeln. Und Capcha-Breaker zu entwickeln ist um einiges aufwändiger, als Capchas zu entwickeln. Mustererkennung ist keine leichte Kost.
Könnte man jetzt drüber diskutieren, aber wenn du Pattern benutzt, dann kann das Analyseprogramm auch Pattern benutzen. Der Angreifer hat die gleichen Möglichkeiten wie du, immer. Er muss also nichts auswendig lernen.
ggamee schrieb:
Sie müssen gar nicht besonders knifflig sein. Jedes Kleinkind könnte die Lösen, weil halt jeder Mensch ein Mindestmaß an Intelligenz besitzt. Wenn kleine Kinde Bauklötze in die richtigen Öffnungen drücken können, würden die auch solche Capchas lösen können. Aber einem Bot ist das zu hoch, da ein Bot für gewöhnlich halt nicht intelligent ist. Nicht im geringsten Maße. Der Bot kann keine Zusammenhänge zwischen Pfeilrichtungen finden. Und wie bereits erwähnt: Man müsste sie gar nicht ewig fragen. Solche Sicherheitsmaßnahmen sollten dezent und gezielt gegen auffällige Spieler eingesetzt werden. Wenn da dann mal einer sieben von sieben Capchas falsch beantwortet, kann man weitere Konsequenzen planen. Ich bin ja noch immer ein Anhänger des "Eine Nachricht blockiert das Spiel". Diese Nachricht wird von Hand verfasst. ( Soweit ich hörte gibt es da ja nur einen Botter. ) Eine Nachricht zu beantworten ist keine große Sache, aber man ekennt, ob eine Antwort von einem Bot kommt, oder nicht.
Außerdem musst du immer an die Usability denken. Ein Browsergame, welches so umständlich ist, dass ich es nicht zum Abspannen spielen kann ist es nicht Wert gespielt zu werden, denn wenn ich hier auchnoch ständig nachdenken muss, weil die Capcha mit absicht kniffellig gehalten werden, dann vergisses.
ggamee schrieb:
Ich habe versucht, mich da anzumelden, aber die Registrierung hat wohl meine Bestätigungsmail verschluckt. Hätte mir das gerne mal angesehen. Wie auch immer: Ich denke hier waren schon viele gute Ansätze. Vielleicht setze ich mich bei Gelegenheit mal daran, ein Capcha-System, wie ich es vorgeschlagen habe, umzusetzen, um die Durchführbarkeit und Wirksamkeit zu testen.
Das kann man allerdings als Spielfeature einfügen, bzw es so verkaufen. "Bevor du einbrechen kannst, musst du erstmal ein Schloss knacken", was ein wenig umständlicher ist. Damit wäre es den Usern gut verkauft, wenn es ins Konzept passt. Ich spiele das Spiel nicht, vllt passt es ja auch garnicht.
( Musste Zitate kürzen, weil: zu lang. :-/ ) -
Mahlzeit alle miteinander, erstmal vielen Dank für die rege Teilnahme an dem Thema.
Ich versuche mal zusammen zufassen.
@kigollogik
wäre sicher ein Anfang, aber keine Lösung.
Es gibt zuviele TempMail Anbieter, diese alle zu filtern wäre zumindest ein Anfang aber sich nicht die Lösung des Problems, wie du selber ja auch angemerkt hast.
@ggamee
das mein Captcha zu leicht ist würde ich so erstmal nicht sagen, zumindest erscheint es mir nicht so.
Ihr hönnt gerne mal schauen wie es auf euch wirkt, ich habe einen Testaccount für euch angelegt, dieser ist bis morgen 13 Uhr aktiviert.
http://trick-dieb.de
Nutzername: Betatester
Passwort: limarules
Anschließend auf "Geld verdienen" und irgendwas starten dann erscheint das Captcha.
Das ganze Ding ist von mir selber geschrieben, vielleicht kann ja mal jemand drüber schauen und mir sagen ob/wie es möglich wäre das Ding zu umgehen!?
Zum Thema Doppelcaptcha:
Ich möchte ungern meinen Usern noch mehr zutrauen als so schon, daher würde ich gerne auf jegliche Schreibdinge (soweit es geht) verzichten.
@kelserific
du hast dich versucht bei mir anzumelden?
Unter welchen Name?
Leider kommt es immer wieder mal vor das das System die Bestätigungsmails nicht verschickt, zum Dank bekomme ich dann eine "Undelivered Mail Returned to Sender" Mail.
Ich habe meinen Hoster bereits informiert da dieses Problem immer mal wieder bei allen möglichen Hostern auftritt.
Wenn du willst schalte ich dich dennoch frei, schreibe mir dann aber bitte eine PN damit wir hier beim Thema bleiben.
Euch allen noch einen schönen Tag gewünscht
Beitrag zuletzt geändert: 8.5.2012 17:22:20 von trickdieb -
Ich habe mal das Captcha getestet auf der Seite;
ich denke nicht, dass es zu leicht ist...
Aber was mir aufgefallen ist, man muss nur einmal durch das Captcha kommen, dann ist man länger freigeschaltet!
Ich glaube, Du solltest das für jede Aktion machen. -
trickdieb schrieb:
@ggame
das mein Captcha zu leicht ist würde ich so erstmal nicht sagen, zumindest erscheint es mir nicht so.
Ihr hönnt gerne mal schauen wie es auf euch wirkt, ich habe einen Testaccount für euch angelegt, dieser ist bis morgen 13 Uhr aktiviert.
http://trick-dieb.de
Nutzername: Betatester
Passwort: limarules
Anschließend auf "Geld verdienen" und irgendwas starten dann erscheint das Captcha.
Das ganze Ding ist von mir selber geschrieben, vielleicht kann ja mal jemand drüber schauen und mir sagen ob/wie es möglich wäre das Ding zu umgehen!?
Eieiei. Na ok, das Captcha ist zu einfach. Man braucht nur den Buchstaben abfragen, welcher da steht, und der steht ja auch in der Tabelle, also kann man den entsprechenden Link rauskopieren, welcher diesen benötigten Buchstaben enthält und diesen aufrufen. Das lässt sich mit Javascript bestimmt in ner halben Stunde bis Stunde lösen.
Da würde es schon helfen, wenn du eine "richtige" Captcha klasse schreibst. Captcha funktionert so, dass du auf das Bild den Buchstaben packst, und dann ein Bild sendest. Dann speicherst du in einer Session ab, was auf dem Bild steht, und schreibst genau das auf des Bildfile. Daran dacht ich eigentlich, und daran kommt man zb mittels OCR Software wie GOCR oder FreeOCR. Und da kommt man mit dem was kelserific vorgeschlagen hat zb kaum gegen an, aber auch. Denn man kann OCR normalerweilse auch weitere Zeichen beibringen, solange sie in einem Zeichensatz vorkommen. Wenn der Algorithmus da ist, dann kann man die Zeichen hinzufügen (vllt könnt man für sowas GOCR aufpulen).
Da hilft es aber schon, einen richtigen Captcha zu benutzen, damit wärst du das Scriptkiddie wohl schon los.
Liebe Grüße -
tobiworlds schrieb:
Ich habe mal das Captcha getestet auf der Seite;
ich denke nicht, dass es zu leicht ist...
Aber was mir aufgefallen ist, man muss nur einmal durch das Captcha kommen, dann ist man länger freigeschaltet!
Ich glaube, Du solltest das für jede Aktion machen.
Das ist richtig, wie gesagt ich möchte es den fairen Usern ja nicht schwerer machen als es nötig ist und wenn nen Bot nur 3x klappt (spätestens bei der 4ten Aktion wird das Captcha fällig), bin ich der Meinung ist der Reiz daran schnell verloren.
@ggamee
das das Captcha zu leicht ist fand ich bisher eigentlich nicht, aber leider scheint es ja wirklich so zu sein.
Gibt es denn eine Möglichkeit das ganze auf einfach klickbar zu lassen?
Sprich nichts eintippen sondern wirklich das entsprechende Image(o.ä) klicken muss?
Die Links bei dem derzeitigen Captcha werden alle 5 Minuten geändert und via mysql abgespeichert, damit ist es zumindest nicht möglich die Links abzuspeichern und den Bot je nach Buchstaben den passenden Link aufrufen zu lassen (ich dachte bisher damit wäre es getan).
Hättest du denn diesbezüglich, sprich zu der gewünschten Captchaversion eine Empfehlung für mich oder zumindest einen kleinen Anstoß wie ich das ganze mit php abwickeln kann?
Beitrag zuletzt geändert: 8.5.2012 17:18:34 von trickdieb -
Ich muss zugeben, dass ich mir den Quelltext wohl nicht gut genug angeschaut habe
Du musst glaube ich einfach mit PHP und vielleicht db ein Bild generieren, auf dem der Buchstabe zu sehen ist. Dann verlinkst Du dieses und im Quelltext lässt sich nicht mehr der gesuchte Buchstabe finden, solange Du die Links entsprechend benennst! -
Also ungetestet, hab ich in meinen Uralten eigenen Bibiliotheken mal ne SimpleCaptcha Klasse gehabt, die so aussah:
class BPL_SimpleCaptcha { const WHITE = 0x00FFFFFF; const BLACK = 0x00000000; const RED = 0x00FF0000; const GREEN = 0x0000FF00; const BLUE = 0x000000FF; const PNG = 'png'; const GIF = 'gif'; const JPG = 'jpg'; const WBMP = 'wbmp'; protected $imagePointer = NULL; public function __construct( $width = 100 , $height = 50 ) { if ( function_exists( 'imagecreatetruecolor' ) ) { $this->imagePointer = imagecreatetruecolor($width, $height); } else { trigger_error( 'Can\'t use GD module' , E_USER_ERROR ); } } public function writeString( $string , $color , $font = 3 , $x = 0 , $y = 0 ) { return imagestring( $this->imagePointer , $font , $x , $y , $string , $color ); } public function send( $sendAs = 'png' ) { switch ( $sendAs ) { case self::PNG : header ('Content-Type: image/png'); imagepng( $this->imagePointer ); break; case self::GIF : header ('Content-Type: image/gif'); imagegif( $this->imagePointer ); break; case self::JPG : header ('Content-Type: image/jpeg'); imagejpeg( $this->imagePointer ); break; case self::WBMP : header('Content-Type: image/vnd.wap.wbmp'); imagewbmp( $this->imagePointer ); break; default: header ('Content-Type: image/png'); imagepng( $this->imagePointer ); break; } } public function automatic( $length = 6 ) { $string = rand( pow( 10 , $length ) , pow( 10 , $length + 1 ) ); switch( rand(0, 2) ) { case 0 : $this->writeString( $string , self::WHITE , 3 , 3 , 3 ); break; case 1 : $this->writeString( $string , self::BLUE , 3 , 3 , 3 ); break; case 2 : $this->writeString( $string , self::RED , 3 , 3 , 3 ); break; default : $this->writeString( $string , self::WHITE , 3 , 3 , 3 ); break; } $this->send(); } public function __destruct() { imagedestroy( $this->imagePointer ); } }
Wie gesagt, wurde sie nie getestet, kA ob sie funktioniert. Ich glaube aber Optimal ists noch lange nicht, da es nur einen schwarzen Hintergrund gibt, also sehr leicht mittels OCR auszulesen ist. Wenn du fehler findest, kannste es gern zurückgeben, ich habs halt nie benutzt oder gebraucht, was unter anderem daran lag, dass ich die GD nie installt hatte^^ aber in meinen Archiven ist viel solcher Code
Ich denke mittels der GD kann man zumindest die Buchstaben auf deine Bilder machen (temporär), hier die Doc: http://www.php.net/image und dann mittels sowas wie " imagecreatefrompng ". Das wäre dann vermutlich aber immernoch nicht OCR sicher, aber gegen kleine Scriptkiddies ein Fortschritt. Ob es OCR sicher ist kannst du ja bei http://www.free-ocr.com/ testen.
Liebe Grüße -
Hallo
Man kann es sich aber auch umständlich machen. Es gibt genügend einfache Sachen die ein Bot nicht erkennen kann. Sätze wie:
"Schreibe den fünften Buchstaben in diesem Satz in das Feld" sind einfach und effektiv. Dann einfach täglich/stündlich die Aufgabe durchwechseln und der Botschreiber wird keine Lust mehr haben.
Alternativ Bilder zeigen und den Benutzer ein bestimmtes auswählen lassen (Mann/Frau, größer/kleiner)..
Oder das Google Recaptcha verwenden. Wenn das ein Bot aushebelt ändern die einfach ein wenig den Algorithmus.
mfg
Beitrag zuletzt geändert: 8.5.2012 19:01:45 von voloya -
voloya schrieb:
Oder das Google Recaptcha verwenden. Wenn das ein Bot aushebelt ändern die einfach ein wenig den Algorithmus.
mfg
Dazu folgendes:
Es gibt leider einige Dienste die für den Bot die Captchas lösen... http://www.captchatrader.com
Eine wirkliche Hilfe könnte für dich das hier sein: http://www.jcryption.org/
Somit kannst du sowohl (spam) bots von Formularen fern halten als auch aus BrowserGames ;)
Beitrag zuletzt geändert: 8.5.2012 19:11:49 von dexus85 -
Hallo
dexus85 schrieb:
Es gibt leider einige Dienste die für den Bot die Captchas lösen... http://www.captchatrader.com
Dann müssen die Captchalöser erst einmal Deutsch sprechen. Außerdem kostet das doch Geld wenn man nicht selbst auch Captchas löst, soweit ich das jetzt innerhalb von 3 Sekunden erfassen konnte.
mfg
Beitrag zuletzt geändert: 8.5.2012 19:19:15 von voloya -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage