Eure Meinung zum Captcha
lima-city → Forum → Programmiersprachen → PHP, MySQL & .htaccess
adresse
aufgabe
benutzer
bild
bot
buchstabe
code
dank
http
idee
meinung
mensch
methode
problem
server
session
url
verwenden
windows
zahl
-
Hallo Leute,
ich benutze schon seit einiger Zeit ein eigenes geschriebenes Captcha und habe es mal ein wenig überarbeitet, um es unter anderem flexibler sowie sicherer zu machen. Auf diesem Wege möchte ich eure Meinungen einholen, unter anderem wegen der Erkennbarkeit aller Zeichen, des Aussehens und ganz wichtig eure Meinung zur Sicherheit des Captchas. Gegenüber Vorschläge und auch Kritik bin ich stets offen.
Captcha 1, eine 8-stellige Zeichenfolge
Captcha 2, eine Rechenaufgabe mit zwei Operationen
Beide Captchas kann man in Ihren Farben und jeglichen Formen anpassen und der Captcha-Code wird derzeit noch über md5 sowie einen Salt in einer Session gespeichert.
Welche Schriftarten und Verschlüsselungsmethoden würdet Ihr mir empfehlen?
Wie sollte ein Captcha nach euren Vorstellungen aussehen? (Sollte ja auch anwenderfreundlich sein)
Ich freue mich schon auf eure Antworten
MFG Micha -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
Wozu Verschlüsselung? Wenn du was in die Session speicherst liegen die Daten nur aufm Server. Der User kommt nicht so einfach ran.
Das ist verschwendete Rechenzeit.
Ohne den Code zu kennen kann man eh wenig sagen. -
muellerlukas schrieb:
Wozu wohl, hat einer eine Schwachstelle in einem Script der Seite gefunden, kann er evtl. die Session auslesen, und somit die Sicherheitsabfrage gekonnt übergehen.
Wozu Verschlüsselung? Wenn du was in die Session speicherst liegen die Daten nur aufm Server
muellerlukas schrieb:
Was würde dir bitte der Code bringen? Der Benutzer bekommt schließlich nur ein Bild.
Ohne den Code zu kennen kann man eh wenig sagen.
Meine Fragen wurden somit mit deinem Beitrag zu fast 0% beantwortet. Ich danke dir dafür.
MFG Micha -
Sollte es soweit kommen, dass der User an die Sessiondaten kommt und ggf sogar schreiben kann - egal ob Lücke im Script oder auf dem Server - ist eh was anderes im Argen.
Da braucht man sich keine Gedanken mehr über fehlenden Spamschutz machen.
Man muss zu einer Bewertung zu einem Projekt, welches im Php-Bereich steht/vorgestellt wird imho natürlich den Code mit werten. dafür ist ja auch der Bereich da.
Seien es Fehler wie das einfache Nicht-Validieren der Session, ... -
Die meisten Anwender sind von Captcha's genervt und man vergrault sie damit -> weniger Seitenaufrufe!
Unabhängig davon ist es nur eine Frage der Zeit, bis irgendein Programm (OCR) das Captcha vollautomatisch ausliest und wieder eingibt.
Meine Meinung: Spart Euch die Captcha's !!!
Das soll jetzt aber nicht heißen, daß man keine Mechanismen gegen Bots verwenden sollte.
Der nachfolgende Link zeigt Methoden gegen Bots die deutlich effektiver als Captcha's sind:
http://www.cwcity.de/tutorials/view/548-Anti-Spam-mit-PHP-ohne-captcha-ohne-JS
Das Ganze ist dann auch noch anwenderfreundlich.
Gruss Dunkeltuten
Beitrag zuletzt geändert: 2.2.2015 11:37:31 von dunkeltuten -
Die Rechenaufgabe finde ich sinnvoller als diese unleserlichen Captchas.
Meine generelle Meinung ist aber, das man ein Captcha verwenden sollte das ohne eingaben (oder Mobil mit Katzenbilder) auskommt wie das neue reCaptcha:
http://t3n.de/news/captcha-recaptcha-google-582984/
Man schreckt den User nicht ab und hatt keine Bot Probleme.
-
Hey,
danke für eure Antworten, ich habe viele Ideen sammeln können, auch der Link vondunkeltuten schrieb:
hat mir sehr geholfen.
http://www.cwcity.de/tutorials/view/548-Anti-Spam-mit-PHP-ohne-captcha-ohne-JS
Ich werde nun zusätzlich die Zeit jeder Eingabe messen und werde auch eine Wartezeit, nach einer Falscheingabe einfügen. alle EIngaben werden besser geprüft (mit Regulären Ausdrücken).
w3j schrieb:
reCaptcha:
http://t3n.de/news/captcha-recaptcha-google-582984/
Danke für die Info, im Prinzip eine tolle Idee, jedoch halte ich überhaupt nichts von diesem Captcha, da ich a) keinen Include von anderen Seiten mag und will, und b) Google als Suchmaschine verwende (klappt sehr gut) und nicht mehr damit zu tun habe und auch nicht will!
Vieleicht präsentiere ich in naher Zukunft mein fertiges Captcha, welches noch sicherer sein sollte
PS:
dunkeltuten schrieb:
Die meisten Anwender sind von Captcha's genervt und man vergrault sie damit -> weniger Seitenaufrufe!
Diese Meinung teile ich nicht, das Captcha wird für ein Adminpanel eingesetzt und da sehe ich es doch sinnvoll
Ich danke euch nochmal für eure Meinungen -
michaelkoepke schrieb:
das Captcha wird für ein Adminpanel eingesetzt und da sehe ich es doch sinnvoll
Für ein "Admin"-Panel?
Der Begriff sagt für mich, daß dort eh nur diejenigen hinkommen, die bereits im System registriert sind.
Willst Du das Login vor Spam- und Hackversuchen schützen? Dafür gäbe es bessere Wege!
Sollte ich das falsch verstanden haben, würde mich wirklich interessieren, wofür das Captcha gedacht ist.
-
michaelkoepke schrieb:
das Captcha wird für ein Adminpanel eingesetzt
In dem Fall könnte es man noch einfacher machen und einfach alle IPs außer der der Admins zu sperren. (z.B.: über htaccess)
dunkeltuten schrieb:
Das soll jetzt aber nicht heißen, daß man keine Mechanismen gegen Bots verwenden sollte.
Der nachfolgende Link zeigt Methoden gegen Bots die deutlich effektiver als Captcha's sind:
Ich habe mir auch mal so eine Methode ausgedacht: http://blog.wronnay.net/antispam-updates-tutorial/ (ähnlich, aber nicht so aufwendig ...) -
Du musst nebenbei auch immer daran denken, was der User besser findet.
Nach einem Captcha mit Buchstaben und Zahlen bin ich meistens schon total angepisst. (Entschuldigt die Wortwahl)
Eine Rechenaufgabe ist da deutlich benutzerfreundlicher.
Oder du machst es am besten mit Google reCAPTCHA. Da müssen die User nur in eine Box klicken und in den meisten Fällen wird das Captcha dann automatisch bestätigt. Sollte Google allerdings einen Verdacht haben, dass die Absichten des Clients "schlecht" sind, wird ein simpler Satz o.ä. angezeigt.
Zur Website: http://www.google.com/recaptcha/intro/index.html
MfG
Flo -
doublecakelp schrieb:
Geht mir auch so. Außerdem habe ich die Vermutung, dass die oft verwendeten nahezu unlesbaren Captchas inzwischen viel besser von Rechnern gelöst werden können.
Du musst nebenbei auch immer daran denken, was der User besser findet.
Nach einem Captcha mit Buchstaben und Zahlen bin ich meistens schon total angepisst. (Entschuldigt die Wortwahl)
Eine Rechenaufgabe ist da deutlich benutzerfreundlicher.
Allerdings sollte man sich bewusst sein, dass es auch Menschen gibt, die keine Probleme mit Text haben, aber nicht in der Lage sind, einfachste Matheaufgaben zu lösen. Sollten diese Menschen zur Zielgruppe gehören, möchte man sie ja nicht ausschließen.
Oder du machst es am besten mit Google reCAPTCHA. Da müssen die User nur in eine Box klicken und in den meisten Fällen wird das Captcha dann automatisch bestätigt.
Das klingt gut. -
johanneskirchgemeinde schrieb:
Allerdings sollte man sich bewusst sein, dass es auch Menschen gibt, die keine Probleme mit Text haben, aber nicht in der Lage sind, einfachste Matheaufgaben zu lösen. Sollten diese Menschen zur Zielgruppe gehören, möchte man sie ja nicht ausschließen.
Wie ich zum Beispiel... Mathe an sich ist nicht das Problem, sondern das Kopfrechnen :D - Zumindest bei Multiplikation und Division :D
-
doublecakelp schrieb:
Glücklicherweise bestehen mathematische Captchas in der Regel aus einer einfachen Addition (zumindest die, die mir bisher begegnet sind).
Wie ich zum Beispiel... Mathe an sich ist nicht das Problem, sondern das Kopfrechnen :D - Zumindest bei Multiplikation und Division :D
Notfalls könnte man auch technische Hilfsmittel zum Rechnen benutzen. Damit wird es aber wieder unkomfortabel. -
johanneskirchgemeinde schrieb:
Glücklicherweise bestehen mathematische Captchas in der Regel aus einer einfachen Addition (zumindest die, die mir bisher begegnet sind).
Das stimmt... Trotzdem brauche ich für Aufgaben, wie 23 + 28 ein paar Sekunden. Nicht weil ich die Aufgabe nicht verstehe, sondern weil ich einfach nicht im Kopf rechnen kann...
johanneskirchgemeinde schrieb:
Notfalls könnte man auch technische Hilfsmittel zum Rechnen benutzen. Damit wird es aber wieder unkomfortabel.
Gut, dass mein Tablet immer neben meinem Computer steht...
MfG
Flo -
doublecakelp schrieb:
Soweit ich mich erinnere war das eher in der Größenordnung von "3 + 5".
Trotzdem brauche ich für Aufgaben, wie 23 + 28 ein paar Sekunden.
Gut, dass mein Tablet immer neben meinem Computer steht...
Wozu ein zusätzliches Gerät? Ich würde (unter Windows) calc starten, dann können Aufgabe (sofern nicht als Bild angezeigt) und Ergebnis sogar per copy+paste übertragen werden.
-
johanneskirchgemeinde schrieb:
Soweit ich mich erinnere war das eher in der Größenordnung von "3 + 5".
Ich hatte tatsächlich mal Aufgaben im mittleren bis oberen Bereich...
johanneskirchgemeinde schrieb:
Wozu ein zusätzliches Gerät? Ich würde (unter Windows) calc starten, dann können Aufgabe (sofern nicht als Bild angezeigt) und Ergebnis sogar per copy+paste übertragen werden.
Ich hab ja auch ein Windows-Tablet :D
Aber ich glaube, wir kommen langsam vom Thema ab...
MfG
Flo -
WOW
Hallo erst einmal an alle, die geantwortet haben.
fatfreddy schrieb:
Der Begriff sagt für mich, daß dort eh nur diejenigen hinkommen, die bereits im System registriert sind.
Willst Du das Login vor Spam- und Hackversuchen schützen? Dafür gäbe es bessere Wege!
Genau, es ist nur für registrierte Mitglieder gedacht, die mit dieser Seite viel Schei*e bauen könnten.
Dieses Captcha dient nicht nur zum Login in das AdminPanel, sondern dient auch dazu sich über ein Formular ein neues Passwort zukommen zu lassen, wenn man es vergessen hat. Auch zum Absenden wichtiger Änderungen an der Seite möchte ich dieses einsetzen.
Bessere Wege, ja die gibt es, einige davon setzte ich zusätzlich ein.
webfreclan schrieb:
In dem Fall könnte es man noch einfacher machen und einfach alle IPs außer der der Admins zu sperren. (z.B.: über htaccess)
Ich weiß nicht wie du dir das vorstellst, wenn jeder Benutzer der das Internet nutzt über seinen Provider fast jeden Tag eine neue IP-Adresse bekommt! ->
doublecakelp schrieb:
Eine Rechenaufgabe ist da deutlich benutzerfreundlicher.
Oder du machst es am besten mit Google reCAPTCHA.
Ja, eine Rechenaufgabe finde ich auch besser als eine Zeichenfolge.
Jedoch hast du die vorhergehenden Beiträge nicht gelesen reCAPTCHA -> NEIN
johanneskirchgemeinde schrieb:
Allerdings sollte man sich bewusst sein, dass es auch Menschen gibt, die keine Probleme mit Text haben, aber nicht in der Lage sind, einfachste Matheaufgaben zu lösen. Sollten diese Menschen zur Zielgruppe gehören, möchte man sie ja nicht ausschließen.
Das ist natürlich ein gutes Argument, das muss ich mir nochmal durch den Kopf gehen lassen.
johanneskirchgemeinde schrieb:
Ich würde (unter Windows) calc starten, dann können Aufgabe (sofern nicht als Bild angezeigt) und Ergebnis sogar per copy+paste übertragen werden.
Das wäre wohl bei einem CAPTCHA Schwachsinn es in Klartext darzustellen oder?
MFG Micha -
michaelkoepke schrieb:
Ich weiß nicht wie du dir das vorstellst, wenn jeder Benutzer der das Internet nutzt über seinen Provider fast jeden Tag eine neue IP-Adresse bekommt! ->
Naja, also ich bekomme eigentlich immer eine IP-Adresse, bei der die ersten Oktette immer gleich sind - man könnte also alle IP-Adressen mit diesen Oktetten freigeben. (Und es würde bestimmt schon reichen, nur IPs von deinem Provider zu erlauben. - Ich glaube nicht, dass Spam-Bots die IPs von der Telekom oder anderen bekannten deutschen Providern verwenden) -
webfreclan schrieb:
Naja, also ich bekomme eigentlich immer eine IP-Adresse, bei der die ersten Oktette immer gleich sind - man könnte also alle IP-Adressen mit diesen Oktetten freigeben. (Und es würde bestimmt schon reichen, nur IPs von deinem Provider zu erlauben. - Ich glaube nicht, dass Spam-Bots die IPs von der Telekom oder anderen bekannten deutschen Providern verwenden)
Zu meiner IP die ich bekomme:
XX.XXX... und
XXX.XX... auch schon gehabt!
Und warum nur von meinem Provider erlauben?
Welchen Provider hast du denn? Also ich bin bei Vodafone, wenn du es nicht sein solltest, haben wir jetzt ein Problem!
Und somit wäre ein Anmelden von einem anderen (fremden) Computer für diesen Benutzer nicht mehr möglich!?
Sorry, finde diese Idee immernoch ein wenig **** und bin immernoch
MFG Micha -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage