Empfehlenswertestes CAPTCHA?

Beitrag von **Adgo** » 08.10.2009, 17:20

Seid dem sich Google ReCaptcha einverleibt hat, ist vorsorglich mal dringend davon abgeraten das System zu nutzen, wenn ihr sicher gehen wollt, dass eure Seiten in Zukunft nicht über das Captcha nicht getrackt wird (wie über adsense, analytics, doubleclick, ...). Sei es nur die IP.

von **Anzeige von ABAKUS** »

SEO Consulting bei ABAKUS Internet Marketing
Erfahrung seit 2002

persönliche Betreuung
individuelle Beratung
kompetente Umsetzung

Jetzt anfragen: 0511 / 300325-0.

Beitrag von **Lord Lommel** » 08.10.2009, 18:36

Bauchladen hat geschrieben:
Andreas I. hat geschrieben:Bevorzugt PHP. Welches setzt Ihr ein und warum gerade dieses?
Grafik mit einer Addition von einstelligen Zahlen anzeigen und prüfen.

ZB 4 + 5 kann jeder Kunde zusammenzählen. Das maximale Ergebnis sollte 9 sein, denn das läst sich mit einem Finger schnell eingeben und nervt kaum. Gegen Bruteforce Angriffe (wenn jemand versucht die Zahlen 1-9 durchzuprobieren) würde ich mir die Möglichkeit offen halten vorrübergehend auf höhere Additionen zurückzugreifen (zB 8+21 oder 21+21, 11+11, 31+31, leichte Sachen halt)

Nachteil: du musst das selber Entwickeln. Der Zeitbedarf inkl. testen liegt bei ca. 4 Stunden für einen Anfänger und 1 Stunde für einen erfahrenen Programmierer. Der Preis für diese Arbeit sollte nicht mehr als 100 Euro betragen. Es gibt sicher den Einen oder Anderen der das für weniger macht. Dein Qualitätsanspruch entscheidedt letztlich. Voraussetzung ist, dass dein Webhoster mit PHP die GD Grafik Bibliothek und Sessions anbietet. Letzteres ist quasi Standard, wollte ich aber noch erwähnen.

Grüße

Das ist genauso schnell geknackt wie ein normales Captcha. Sinnvoll sind nur völlig neue Konzepte.

Beitrag von **gnark** » 08.10.2009, 18:44

Das mit den x Bildern, und man muss das anklicken, das irgendwie nicht reinpasst ist schon irgendwie lustig und cool.
Überhaupt ist anklicken wesentlich nutzerfreundlicher als wenn man da immer nen halben Roman abtippen muss. Das nervt schon extrem.
Obendrein sind viele captchas von einem Menschen kaum entzifferbar, von einem algorithmus aber easy geknackt.

Beitrag von **Lord Lommel** » 08.10.2009, 19:59

Eigentlich reichen schon vier Buttons und man soll den anklicken, wo "Quark" draufsteht. Das kann man zwar leicht überlisten, aber solange es sich nciht verbreitet ist es sicherer wie jeder nahezu unleserliche Captcha.

Beitrag von **Bauchladen** » 09.10.2009, 07:50

Lord Lommel hat geschrieben: Das ist genauso schnell geknackt wie ein normales Captcha. Sinnvoll sind nur völlig neue Konzepte.

Für die Zwecke des Threaderstellers wohl ausreichend und nur gezielt oder mit Bruteforce Angriffen umgehbar.

Abfragen die, wie du sie vorschlägst, auf zB wenigen Auswahlmöglichkeiten basieren sind nicht wirklich besser. Das dürfte jedem klar sein.

Beitrag von **Lord Lommel** » 09.10.2009, 08:51

Ich sehe, du hast keinen Plan, was ich meine. Daher führe ich es etwas mehr aus. Daß Bilder schnell geknackt werden können, ist klar. Da gibts etliche Konzepte. Aber auch solche Fragen sind relativ schnell geknackt, man muß nur kurz das HTML kopieren und auf einer Porno- oder Download-Seite als eigenes "Captcha" ausgeben. Da ist in Sekunden programmiert. Die einzige Möglichkeit, die ich sehe ist, daß man komplett neue Konzepte hat, wo der HTML-Code anders strukturiert ist und vielleicht erst umgeschrieben werden muß. Man muß den Programmierern, die die Dinger knacken wollen, einfach etwas Arbeit abverlangen. Dann lassen sie es vielleicht. In meinen Augen die einzige Chance.

Beitrag von **gnark** » 09.10.2009, 09:10

ich wundere mich auch immer wieder darüber, dass manche Leute scheinbar denken, ein computer wäre nicht in der Lage

Bauchladen hat geschrieben: ZB 4 + 5

zusammenzuzählen.

Es ist schon bizarr, computer auf einem gebiet auszutricksen zu versuchen, das sie weit besser beherrschen als der Mensch

Beitrag von **Bauchladen** » 09.10.2009, 09:20

Lord Lommel hat geschrieben: Die einzige Möglichkeit, die ich sehe ist, daß man komplett neue Konzepte hat, wo der HTML-Code anders strukturiert ist und vielleicht erst umgeschrieben werden muß.

Man muß den Programmierern, die die Dinger knacken wollen, einfach etwas Arbeit abverlangen. Dann lassen sie es vielleicht. In meinen Augen die einzige Chance.

Wie sehen denn diese neuen Konzepte aus? Was für andere Strukturen zB?

Ja sehe ich auch so. In einer Abfrage durch 4 knackige Knöpfe sehe ich aber keinen Schutz der nicht schnell ausgehebelt werden kann. Auch besteht die Gefahr das kompliziertere Verfahren die Freiheitsgrade der Kunden einschränken u/o zuviel Kopf fordern. Vllt. verdeutlichst du einfach mal welche sicherheitsrelevanten Widerstände in etwa das von dir vorgestellte Konzept hat damit endlich mal der abstrakte Schleier;) um deine Ausführerung gelichtet werden kann.

gnark hat geschrieben:ich wundere mich auch immer wieder darüber, dass manche Leute scheinbar denken, ein computer wäre nicht in der Lage
Bauchladen hat geschrieben: ZB 4 + 5
zusammenzuzählen. Es ist schon bizarr, computer auf einem gebiet auszutricksen zu versuchen, das sie weit besser beherrschen als der Mensch

Damit der Computer die Addition erfüllen kann muss zunächst die Addition erkannt werden, was bei einem Bild dann doch nicht ganz so einfach ist wie bei Text. Selbstverständlich gibt es auch hier Möglichkeiten. Das ist bekannt. Aber danke für deinen Sarkasmus, sehr amüsant.

Beste Grüße

Beitrag von **Lord Lommel** » 09.10.2009, 09:40

Das meinte ich ja. Du kannst eigentlich alles recht einfach aushebeln. Daher das einfache Konzept einer eigenen Lösung, wo der Programmierer einfach mehr arbeit hat und nicht einfach den Namen eines Formularelements im Bot ändert. Er muß quasi seinen Bot umprogrammieren müssen, so daß er die Lust vergeht und zur nächsten Seite wandert. Denn prinzipiell kann man jeden Captcha mit einer Art Man-In-The-Middle-Angriff knacken.

Beitrag von **gnark** » 09.10.2009, 09:54

Bauchladen hat geschrieben:Damit der Computer die Addition erfüllen kann muss zunächst die Addition erkannt werden, was bei einem Bild dann doch nicht ganz so einfach ist wie bei Text. Selbstverständlich gibt es auch hier Möglichkeiten. Das ist bekannt. Aber danke für deinen Sarkasmus, sehr amüsant.

Ja, du hast ja recht, man muss dafür einmal das Bild parsen, und dann noch die rechnung, was aber im vergleich zum Bild eigentlich ein Kinderspiel ist.
Und oft genug sieht man solche Rechnungen auch einfach nur als plain text im quellcode.
Und den Sarkasmus gibts bei mir immer gratis, also gern geschehen

Beitrag von **Bauchladen** » 09.10.2009, 09:57

Namen der Formularelemente sollten schon zufällig erzeugte Werte sein, über ein einfaches Mapping der in der Session. Dann müssen die Formularelemente selber eine zufällige Position im HTML Code haben damit Bots die mit den Positionen der Elemente arbeiten auch nicht greifen. Man schiebt hier die Elemete per CCS an die richtige Position (es gibt auch Fälle wo das nicht nötigt ist) Für sicherheitsrelevantere Sachen kann auch ein T Prüfwert der zur Zeit des Ausfüllen eines Formulars erzeugt wird übermittelt werden. Beispielsweise die Zeitabstände vom ersten Feld, vom letzten Feld und dann die Zeit wann der Submit Button gedrückt wurde.

Noch jemand eine Idee?

Beitrag von **Bauchladen** » 09.10.2009, 09:58

gnark hat geschrieben: Und oft genug sieht man solche Rechnungen auch einfach nur als plain text im quellcode.

ja, peinlich sowas. Die Adresse / Email meist ein Bild, aber die Abfrage in plain

Beitrag von **Lord Lommel** » 09.10.2009, 10:00

Du könntest das Ganze Ding mit JavaScript-DOM-Methoden erzeugen. Den Code dazu holst du gecryptet per Ajax und den De-Crypter-Code auch. Dann führst du es per eval() aus. Da müßte man nur auf die Peroformance achen.

Beitrag von **mgutt** » 09.10.2009, 10:30

Jedes Captcha, dass frei verfügbar ist, ist unsicher. Sei es bereits in eine Software integriert oder als Modul nachrüstbar. Die besten Captchas sind die, die man selber schreibt. Und dazu muss man wie gesagt nicht mal besonders anspruchsvoll vorgehen.

Ich habe z.B. in einem Forum einfach nur Checkboxen realisiert:
https://lkw-forum.de/profile.php?mode=r ... reeed=true

In einem anderen frage ich nach einem Objekt im Logo, wieder ein anderes hat ein Frage / Antwort Konzept.

Von dynamischen Captchas sollte man übrigens die Finger weglassen, da deren Grafiken in der Regel auf .php enden. Manche Adblocker verhindern das laden solcher Grafiken. Also entweder nutzt man modrewrite, damit das Bild als .jpg im Quelltext erscheint oder man verzichtet auf sowas.

Die meisten Captchas sind übrigens für farbschwache Menschen ein Graus. Immerhin ist das ein sehr hoher Prozentanteil. Das darf man nicht vergessen.

Die besten Captchas sind übrigens nicht sonderlich bunt, sondern haben Störelemente. Das von eurid ist z.B. sehr gut:
https://www.eurid.eu/ (einfach mal eine Domain im Feld eingeben und absenden)

Fast alle Captcha-Knacker stellen die Grafiken eh auf Kontrast s/w um. Daher bringt Farbe in der Regel nichts, außer Frust beim Nutzer.

Beitrag von **Bauchladen** » 09.10.2009, 18:06

Lord Lommel hat geschrieben:Du könntest das Ganze Ding mit JavaScript-DOM-Methoden erzeugen. Den Code dazu holst du gecryptet per Ajax und den De-Crypter-Code auch. Dann führst du es per eval() aus. Da müßte man nur auf die Peroformance achen.

Dank .net und rhino besteht auf vielen Plattformen die Möglichkeit Javascript als Engine zu Kapseln. Etwas schwerer wirds wenn der Javascript Code schon minimized ist.

Eine neue Idee. Das Captcha Bild wird mit Javascript als Inline Image erzeugt