kostenloser Webspace werbefrei: lima-city


Formular sicherheit

lima-cityForumProgrammiersprachenPHP, MySQL & .htaccess

  1. Autor dieses Themas

    kiddz-world

    kiddz-world hat kostenlosen Webspace.

    Guten abend zusammen.

    ich stell mir gerade die frage welche Methode sicherer ist für ein Formular.

    Ist es die Captcha methode oder lieber doch die methode mit der bestätigungsmail.

    Ich habe nämlich keine lust auf i.welche SpamBots.
  2. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

  3. Bei mir hat sich als ergiebig gezeigt: Ein Hidden-Input, welches nicht ausgefüllt werden darf. ( Beispielsweise mit dem Namen "email". ) Das allein verwirrt schon die meisten universellen Spam-Bots. Email halte ich für überholt und unsinnig, Capchas sind nervig für den Endbenutzer.

    Hundertprozentig wirst du sie kaum los. Je nach dem, wie viel Arbeit du halt auf den Nutzer abwälzen willst, kannst du natürlich Capcha- und Email-Verifikationen einsetzen. Außerdem könntest du dir etwas mit Javascript basteln, was jedoch beim Endbenutzer auch noch Javascript voraussetzt.
  4. Autor dieses Themas

    kiddz-world

    kiddz-world hat kostenlosen Webspace.

    naja mit javascript habe ich keine erfahrung und noch nie drum gekümmert.

    dreht sich halt nur um ein Kontaktformular und womit man eine kleinanzeige online stellen kann.

    mehr formulare habe ich nicht =)
  5. kiddz-world schrieb:
    naja mit javascript habe ich keine erfahrung und noch nie drum gekümmert.

    dreht sich halt nur um ein Kontaktformular und womit man eine kleinanzeige online stellen kann.

    mehr formulare habe ich nicht =)
    Naja, da würde ich es erstmal mit der Methode versuchen, einfach ein Versteckten Email-Input zu erstellen, der halt nicht ausgefüllt werden darf. Wenn du dann noch Probleme mit Spam-Bots hast, kannst du dann ja noch immer einen Capcha einbauen. Wenn es dann noch immer zu nervig wird, stehen dir noch Optionen wie Email- oder gar SMS-Aktivierung zur Verfügung.
  6. Autor dieses Themas

    kiddz-world

    kiddz-world hat kostenlosen Webspace.

    kelserific schrieb:
    kiddz-world schrieb:
    naja mit javascript habe ich keine erfahrung und noch nie drum gekümmert.

    dreht sich halt nur um ein Kontaktformular und womit man eine kleinanzeige online stellen kann.

    mehr formulare habe ich nicht =)
    Naja, da würde ich es erstmal mit der Methode versuchen, einfach ein Versteckten Email-Input zu erstellen, der halt nicht ausgefüllt werden darf. Wenn du dann noch Probleme mit Spam-Bots hast, kannst du dann ja noch immer einen Capcha einbauen. Wenn es dann noch immer zu nervig wird, stehen dir noch Optionen wie Email- oder gar SMS-Aktivierung zur Verfügung.


    Mh die SMS Aktivierung hört sich gut an =) ich versuchs aber erstmal mit dem Email Input
  7. kiddz-world schrieb:
    Mh die SMS Aktivierung hört sich gut an =) ich versuchs aber erstmal mit dem Email Input
    Das Problem mit der SMS-Aktivierung ist: Es ist relativ teuer. Zudem erfordert es immer, dass deine Kunden/Besucher ein Handy haben.

    Meine Empfehlung ist: Bleibe immer so Kunden/Besucher-Freundlich wie möglich. Also benutze Dinge wie Capchas, Email- oder SMS-Aktivierung nur, wenn es überhaupt nicht anders geht. Das "Versteckte Input-Feld" ist zwar keineswegs "Sicher" und es hält nur die allerdümmsten Bots ab, aber so lange es noch nicht zu mehr gekommen ist, würde ich es erstmal dabei belassen, denn es ist extrem Kundenfreundlich, da niemand es sehen sollte. Du kannst ja schon eine Capcha-Funktion implementieren und sie bei Bedarf aktivieren. Aber das würde ich erst machen, wenn du da -zig Bots im Monat auf der Seite hast. Bis dahin würde ich persönlich einfach immer mal rein schauen und falls nötig mal ein paar Einträge löschen. Das ist Kundenfreundlicher, als ein Capcha. Zur Email usw. würde ich dann nur wechseln, wenn es auch mit Capcha nicht mehr zu ertragen ist. Aber ich bezweifel, dass man hier besonders viele Seiten findet, wo sowas nötig sein sollte. ;-)
  8. Autor dieses Themas

    kiddz-world

    kiddz-world hat kostenlosen Webspace.

    na das stimmt wohl die bots denke ich werden nicht so kleine seiten voll spammen ;D
  9. Captcha und Bestätigungsmail sind zwei verschiedene Paar Schuhe. Ich würde beides nutzen, da du damit Bots zu 100% von der Registrierung abhälst. Das oben erwähnte Hidden-Field wird erst bei Einsatz eines sog. "Honey-Pot" interessant.

    Parralel dazu kannst du dir noch http://bot-trap.de anschauen.

    Beitrag zuletzt geändert: 18.5.2012 21:46:33 von fabo
  10. fabo schrieb:
    Captcha und Bestätigungsmail sind zwei verschiedene Paar Schuhe. Ich würde beides nutzen, da du damit Bots zu 100% von der Registrierung abhälst. Das oben erwähnte Hidden-Field wird erst bei Einsatz eines sog. "Honey-Pot" interessant.

    Parralel dazu kannst du dir noch http://bot-trap.de anschauen.
    Es gibt ausreichend Capcha-Breaker, die Capchas sinnlos machen, auch, wenn sie recht rechenzeitintensiv sind. Und Emails sind noch unsinniger, da ein Bot auch jederzeit einen ganzen Mailserver emulieren kann. Einen 100%igen Schutz gibt es nicht.
  11. Es gibt zig Captchas die bis heute NICHT geknackt wurden (Recaptcha gehört nicht dazu). Und ob ein Bot einen Mailserver emulieren kann oder nicht, ist relativ schnurz, da er ja schon am Captcha scheitern wird. Zudem kommt es darauf an, wie eine E-Mail Bestätigung aussieht. Handelt es sich dabei um einen stupiden Hyperlink in einer E-Mail, ist die Wahrscheinlichkeit, dass irgendein Bot die Bestätigung durchführen kann, wesentlich größer als wie eine reine Textmail, die entsprechend aufgebaut ist (d.h. u.A. keine zusammenhängende Webadresse, etc.).
  12. fabo schrieb:
    Es gibt zig Captchas die bis heute NICHT geknackt wurden (Recaptcha gehört nicht dazu). Und ob ein Bot einen Mailserver emulieren kann oder nicht, ist relativ schnurz, da er ja schon am Captcha scheitern wird. Zudem kommt es darauf an, wie eine E-Mail Bestätigung aussieht. Handelt es sich dabei um einen stupiden Hyperlink in einer E-Mail, ist die Wahrscheinlichkeit, dass irgendein Bot die Bestätigung durchführen kann, wesentlich größer als wie eine reine Textmail, die entsprechend aufgebaut ist (d.h. u.A. keine zusammenhängende Webadresse, etc.).
    Ich habe noch von keinem Capcha gehört, der nicht geknackt werden kann. Grundsätzlich ist das immer möglich. Aber schön, dass du ein Beispiel dafür nennst, auf welche Capchas es nicht zutrifft, das hilft weiter.

    Mal angenommen, es gäbe Capchas, die nicht zu brechen sind: Würde die dann nicht jeder benutzen? Gäbe es dann überhaupt noch Spam-Bots? Ein wenig Löchrig deine Geschichte.

    Wie auch immer: Capchas benutzen heißt immer, Arbeit auf die Benutzer abzuwälzen. Und davon würde ich prinzipiell absehen, wenn es auch anders geht. Ich persönlich fahre sehr gut mit meiner Hidden-Input-Methode. Da ist noch nicht ein Bot durchgekommen. ( Und ca. 1200 innerhalb von 2 Jahren abgefangen... ) Meiner Erfahrung nach funktioniert das Prinzip also. Und erst, wenn es nicht mehr funktioniert, werde ich in Erwägung ziehen, die Besucher mit anderen Methoden zu belästigen.
  13. hackyourlife

    Moderator Kostenloser Webspace von hackyourlife

    hackyourlife hat kostenlosen Webspace.

    fabo schrieb:
    Handelt es sich dabei um einen stupiden Hyperlink in einer E-Mail, ist die Wahrscheinlichkeit, dass irgendein Bot die Bestätigung durchführen kann, wesentlich größer als wie eine reine Textmail, die entsprechend aufgebaut ist (d.h. u.A. keine zusammenhängende Webadresse, etc.).
    Das könnte dafür einen normalen User auch nerven (User sind gerne dumm und wollen nicht denken müssen)... ;-)
  14. um ein formular zu schützen, gibt es zig eventualitäten. wie man vorgehensweisen entwickelt, kannst hier erfahren ;)

    dort kannst das buch auch (teilweisse) lesen o. kapitelweise runterladen (pdf).

    Beitrag zuletzt geändert: 19.5.2012 2:22:50 von hemiolos
  15. Hallo :wave:

    Solche Threads gibt es hier ja echt jede Woche :P

    Einfachste Methode: "Schreibe in das folgende Feld "elefant"". Fertig. Das kann kein Bot lösen.


    Wenn es jemand dann wirklich drauf anlegt und extra einen Bot für deine Seite macht kannst du einfach einen Pool von Fragen erstellen in Verknüpfung mit einer IP-Sperre (also dass man nur eine Anzeige alle x Minuten/Stunden erstellen darf) und mit einem Proxydetector (falls Proxy -> kein Zugriff).

    mfg :wave:
  16. Captchas sind immer recht lästig und nervig. Vorallem nervt mich persönlich ReCaptcha, erkenne da nur selten wirklich was.

    Die meisten Seiten nutzen allerdings ReCaptcha in Verbindung mit Email-Bestätigung. Eine nette Abwechslung zu den nervigen ReCaptcha anzeigen hab ich hier gefunden: http://areyouahuman.com/
  17. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

Dir gefällt dieses Thema?

Über lima-city

Login zum Webhosting ohne Werbung!