Registrierungs-Captcha verändert

Neues rund um debianforum.de
Benutzeravatar
feltel
Webmaster
Beiträge: 9883
Registriert: 20.12.2001 13:08:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig, Germany
Kontaktdaten:

Registrierungs-Captcha verändert

Beitrag von feltel » 24.05.2009 14:00:38

Das Forum wurde in den vergangenen Tagen und Wochen mit Fakeanmeldungen bombardiert. Die Accountnamen waren kryptische Zahlen- und Buchstabenkombinationen und die Mailadressen i.d.R. auf gmail.com endend. Ich nehme an es wurde versucht das Forum für Spam zu nutzen, was aber nicht klappte, da die Registrierung bei uns per eMail-Link verifiziert wird. Dessen unbeachtet hatten wir trotzdem Arbeit damit, da diese Fakeaccounts geprüft und händisch gelöscht werden mussten.

Ich habe daher das offenbar geknackte Registrierungs-Captcha verändert, so das es nicht bzw. wesentlich schwerer per Texterkennung auslesbar ist. Das Captcha ist nicht mehr wie beim phpBB-Standard mit einem Monochrom-Hintergrund unterlegt sondern mit einem zufällig gewähltem Hintergrundbild. Das Captcha ist denke ich dennoch für Menschen gut lesbar; sollte dies im Zweifelsfall nicht mehr so sein und ihr euch nicht registrieren können, dann bitte eine eMail an sebastian-at-feltel.de. Bereits bestehende Accounts sind von dieser Änderung in keiner Weise betroffen.

Benutzeravatar
neuss
Beiträge: 2165
Registriert: 06.11.2004 17:56:02
Lizenz eigener Beiträge: MIT Lizenz

Re: Registrierungs-Captcha verändert

Beitrag von neuss » 24.05.2009 17:12:36

Hallo,

ich habe mir das Ding gerade mal angesehen, es ist ein absolutes NoGo. Obwohl selbst nur leicht schwachsinnig kann ich nur jedes dritte erkennen, mit Mühe :x
Eine bessere Lösung um die Problematik zufriedendenstellend zu lösen kenne ich jedoch auch nicht, aber df.de ist mittlerweile zu groß um Barrierefreiheit zu ignorieren.

Das schreit nach besseren Ideen, die sollten hier doch vorhanden sein :hail:
Bitte um Verbesserungsvorschläge der Mitglieder!

ssuen ssurg
stell dir vor, es geht, und keiner kriegt es hin.

rendegast
Beiträge: 15041
Registriert: 27.02.2006 16:50:33
Lizenz eigener Beiträge: MIT Lizenz

Re: Registrierungs-Captcha verändert

Beitrag von rendegast » 24.05.2009 17:17:40

Kann bei sowas nicht auf die "Verwechsler" 9<->g, I<->l<->1 usw. verzichtet werden?

@ neuss
Was Blinde auf der Braille-Tastatur lesen können, kann der Spam-bot ja auch.
Die Dinger können scheinbar sogar die Bilder manchmal besser lesen als ich.
Da geht es wohl nicht ohne ein sehendes Auge oder persönliche Mail an forenadmin.
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")

123456
Beiträge: 6126
Registriert: 08.03.2003 14:07:24

Re: Registrierungs-Captcha verändert

Beitrag von 123456 » 24.05.2009 17:27:50

Oha ein neuer toller Rätselspass.
Fast so gut wie die Tintenklecksbilder beim Psychologen.

eine Idee, die ich gefunden, aber nicht getestet habe:
http://www.website-spy.de/32/captcha-alternativen/

darin war eine weitere Idee enthalten:
http://www.christosoft.de/tutorials/Antispam

Benutzeravatar
Meillo
Moderator
Beiträge: 6277
Registriert: 21.06.2005 14:55:06
Wohnort: Balmora
Kontaktdaten:

Re: Registrierungs-Captcha verändert

Beitrag von Meillo » 24.05.2009 17:41:34

Habe mich vor ein paar Tagen auf http://bbs.archlinux.org registriert. Die haben eine einfache Frage mit Textfeld und eine Dropdown-Box die beide korrekt bearbeitet werden müssen. Das ist komplett statisch, aber es scheint zu reichen, sonst hätten die das doch bestimmt schon geändert. Vielleicht kann man da mal nach Erfahrungen fragen.


Ich selbst denke, dass es besser ist mehrere einfache Captchas zu kombinieren als ein schweres einzubauen das schnell für Frust sorgt.
Also, weshalb nicht was in der Art wie beim Archlinux Forum und zusätzlich das alte Buchstaben-erkennen-Captcha?


EDIT:
Ich wollte doch feltel noch danken, dass er sich dem Problem gleich angenommen hat, und nicht nur zuschaut -- das ist aktive Administration!
Use ed(1) once in a while!

Benutzeravatar
feltel
Webmaster
Beiträge: 9883
Registriert: 20.12.2001 13:08:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig, Germany
Kontaktdaten:

Re: Registrierungs-Captcha verändert

Beitrag von feltel » 24.05.2009 18:01:17

Die Idee das grafische Captcha durch ein textbasiertes zu ersetzen ist mir auch schon gekommen. Man müsste halt ein Set von Fragen aus dem Allgemeinwissen zusammenstellen, die dann im Registrierungsformular per Zufallsgenerator eingeblendet werden. Mal sehen, obs da ne Lösung für phpBB3 gibt.....

Benutzeravatar
TBT
Beiträge: 923
Registriert: 18.06.2003 08:39:36
Kontaktdaten:

Re: Registrierungs-Captcha verändert

Beitrag von TBT » 24.05.2009 18:08:33

wie wäre es mit einer analogen Uhr,
und der User muss die Uhrzeit eingeben?

Habe in meinem Forum mir so was gebastelt,
und seitdem absolute Ruhe vor Spammern.

Benutzeravatar
Meillo
Moderator
Beiträge: 6277
Registriert: 21.06.2005 14:55:06
Wohnort: Balmora
Kontaktdaten:

Re: Registrierungs-Captcha verändert

Beitrag von Meillo » 24.05.2009 20:13:05

TBT hat geschrieben:wie wäre es mit einer analogen Uhr,
und der User muss die Uhrzeit eingeben?
Die Idee gefällt mir gut, weil es sprachübergreifend funktioniert.
Use ed(1) once in a while!

123456
Beiträge: 6126
Registriert: 08.03.2003 14:07:24

Re: Registrierungs-Captcha verändert

Beitrag von 123456 » 24.05.2009 20:38:39

Meillo hat geschrieben:
TBT hat geschrieben:wie wäre es mit einer analogen Uhr,
und der User muss die Uhrzeit eingeben?
Die Idee gefällt mir gut, weil es sprachübergreifend funktioniert.
ich finde die Idee auch gut - aber sprachübergreifend - bei einem deutschsprachigen Forum? ;)

Benutzeravatar
TRex
Moderator
Beiträge: 6725
Registriert: 23.11.2006 12:23:54
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: KA

Re: Registrierungs-Captcha verändert

Beitrag von TRex » 24.05.2009 21:11:05

ub13 hat geschrieben:
Meillo hat geschrieben:
TBT hat geschrieben:wie wäre es mit einer analogen Uhr,
und der User muss die Uhrzeit eingeben?
Die Idee gefällt mir gut, weil es sprachübergreifend funktioniert.
ich finde die Idee auch gut - aber sprachübergreifend - bei einem deutschsprachigen Forum? ;)
Schade, ist wohl zu gut für uns.
Jesus saves. Buddha does incremental backups.
Windows ist doof, Linux funktioniert nichtDon't break debian!

Benutzeravatar
neuss
Beiträge: 2165
Registriert: 06.11.2004 17:56:02
Lizenz eigener Beiträge: MIT Lizenz

Re: Registrierungs-Captcha verändert

Beitrag von neuss » 25.05.2009 18:01:56

Hallo,
feltel hat geschrieben:Ich nehme an es wurde versucht das Forum für Spam zu nutzen, was aber nicht klappte, da die Registrierung bei uns per eMail-Link verifiziert wird. Dessen unbeachtet hatten wir trotzdem Arbeit damit, da diese Fakeaccounts geprüft und händisch gelöscht werden mussten.
Wäre es nicht am sinnvollsten auf ein CAPTCHA ganz zu verzichten und stattdessen neue Accounts die nach einer gewissen Zeit nicht per Mail verifiziert wurden automatisch zu löschen?
Ich nehme an die meistens bestätigen innerhalb von 5 Minuten und die Trantüten die 3 Tage brauchen müßten sich halt erneut registrieren. Wäre doch kein Drama.
Ich kenne jetzt phpBB nicht gut, aber da müßte sich doch was basteln lassen was z.B. am frühen Morgen alle nicht verifizierten Accounts von Vorgestern löscht.

gruss neuss
stell dir vor, es geht, und keiner kriegt es hin.

Benutzeravatar
feltel
Webmaster
Beiträge: 9883
Registriert: 20.12.2001 13:08:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig, Germany
Kontaktdaten:

Re: Registrierungs-Captcha verändert

Beitrag von feltel » 25.05.2009 18:08:35

Hmmm, ich bezweifle das das zielführend wäre. Damit öffnen wir ja Spamregistrierungen Tür und Tor. Gibt ja mit Sicherheit auch Spambots die mit gültigen eMail-Adressen arbeiten und die Registrierungsmail parsen.

Benutzeravatar
neuss
Beiträge: 2165
Registriert: 06.11.2004 17:56:02
Lizenz eigener Beiträge: MIT Lizenz

Re: Registrierungs-Captcha verändert

Beitrag von neuss » 25.05.2009 19:04:19

Nun ja,

um besser mitreden zu können habe ich eben mal einen Testaccount erstellt, zweimal "Der eingegebene Bestätigungscode ist fehlerhaft" erhalten :wink:
Das Dritte habe ich geschafft :D
Danach eine Mail mit Bestätigungslink, Benutzername und Passwort im Klartext bekommen :roll:

Du hast natürlich recht, wenn ein einfaches Aufrufen des Links verifiziert, könnte ein besserer Spambot es aushebeln. Da gehört natürlich nochmal eine Abfrage rein.

gruss neuss

PS
mein Testaccount "greuss" ist zu löschen.
stell dir vor, es geht, und keiner kriegt es hin.

Benutzeravatar
duese
Beiträge: 651
Registriert: 12.07.2006 15:27:20
Lizenz eigener Beiträge: GNU Free Documentation License
Kontaktdaten:

Re: Registrierungs-Captcha verändert

Beitrag von duese » 25.05.2009 19:37:36

Bestätigung der Registrierung hat geschrieben:Um automatisierte Anmeldungen zu unterbinden, musst du einen Bestätigungscode angeben. Der Code ist in dem Bild unterhalb dieses Textes enthalten. Wenn du nur über ein eingeschränktes Sehvermögen verfügst oder aus einem anderen Grund den Code nicht lesen kannst, kontaktiere bitte die Board-Administration.
Der Link auf die Mail-Adresse ist imho nicht vom normalen Text zu unterscheiden. Eventuell könnte man den Link dort etwas hervorheben (Unterstreichen, Rot färben, ...)

Das Captcha ist wirklich schwer zu entziffern, obwohl ich es wohl gerade noch hinbekommen habe...

Gruß,
Thomas

Benutzeravatar
feltel
Webmaster
Beiträge: 9883
Registriert: 20.12.2001 13:08:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig, Germany
Kontaktdaten:

Re: Registrierungs-Captcha verändert

Beitrag von feltel » 25.05.2009 19:45:33

duese hat geschrieben:Eventuell könnte man den Link dort etwas hervorheben (Unterstreichen, Rot färben, ...)
Hast Recht, der Link war nicht gut zu sehen. Hab das mal nachgebessert.

Antworten