Registrierungs-Captcha verändert

Neues rund um debianforum.de
Antworten
Benutzeravatar
feltel
Webmaster
Beiträge: 10366
Registriert: 20.12.2001 13:08:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig, Germany
Kontaktdaten:

Registrierungs-Captcha verändert

Beitrag von feltel » 24.05.2009 14:00:38

Das Forum wurde in den vergangenen Tagen und Wochen mit Fakeanmeldungen bombardiert. Die Accountnamen waren kryptische Zahlen- und Buchstabenkombinationen und die Mailadressen i.d.R. auf gmail.com endend. Ich nehme an es wurde versucht das Forum für Spam zu nutzen, was aber nicht klappte, da die Registrierung bei uns per eMail-Link verifiziert wird. Dessen unbeachtet hatten wir trotzdem Arbeit damit, da diese Fakeaccounts geprüft und händisch gelöscht werden mussten.

Ich habe daher das offenbar geknackte Registrierungs-Captcha verändert, so das es nicht bzw. wesentlich schwerer per Texterkennung auslesbar ist. Das Captcha ist nicht mehr wie beim phpBB-Standard mit einem Monochrom-Hintergrund unterlegt sondern mit einem zufällig gewähltem Hintergrundbild. Das Captcha ist denke ich dennoch für Menschen gut lesbar; sollte dies im Zweifelsfall nicht mehr so sein und ihr euch nicht registrieren können, dann bitte eine eMail an sebastian-at-feltel.de. Bereits bestehende Accounts sind von dieser Änderung in keiner Weise betroffen.

Benutzeravatar
neuss
Beiträge: 2165
Registriert: 06.11.2004 17:56:02
Lizenz eigener Beiträge: MIT Lizenz

Re: Registrierungs-Captcha verändert

Beitrag von neuss » 24.05.2009 17:12:36

Hallo,

ich habe mir das Ding gerade mal angesehen, es ist ein absolutes NoGo. Obwohl selbst nur leicht schwachsinnig kann ich nur jedes dritte erkennen, mit Mühe :x
Eine bessere Lösung um die Problematik zufriedendenstellend zu lösen kenne ich jedoch auch nicht, aber df.de ist mittlerweile zu groß um Barrierefreiheit zu ignorieren.

Das schreit nach besseren Ideen, die sollten hier doch vorhanden sein :hail:
Bitte um Verbesserungsvorschläge der Mitglieder!

ssuen ssurg
stell dir vor, es geht, und keiner kriegt es hin.

rendegast
Beiträge: 15041
Registriert: 27.02.2006 16:50:33
Lizenz eigener Beiträge: MIT Lizenz

Re: Registrierungs-Captcha verändert

Beitrag von rendegast » 24.05.2009 17:17:40

Kann bei sowas nicht auf die "Verwechsler" 9<->g, I<->l<->1 usw. verzichtet werden?

@ neuss
Was Blinde auf der Braille-Tastatur lesen können, kann der Spam-bot ja auch.
Die Dinger können scheinbar sogar die Bilder manchmal besser lesen als ich.
Da geht es wohl nicht ohne ein sehendes Auge oder persönliche Mail an forenadmin.
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")

123456
Beiträge: 6126
Registriert: 08.03.2003 14:07:24

Re: Registrierungs-Captcha verändert

Beitrag von 123456 » 24.05.2009 17:27:50

Oha ein neuer toller Rätselspass.
Fast so gut wie die Tintenklecksbilder beim Psychologen.

eine Idee, die ich gefunden, aber nicht getestet habe:
http://www.website-spy.de/32/captcha-alternativen/

darin war eine weitere Idee enthalten:
http://www.christosoft.de/tutorials/Antispam

Benutzeravatar
Meillo
Moderator
Beiträge: 8782
Registriert: 21.06.2005 14:55:06
Wohnort: Balmora
Kontaktdaten:

Re: Registrierungs-Captcha verändert

Beitrag von Meillo » 24.05.2009 17:41:34

Habe mich vor ein paar Tagen auf http://bbs.archlinux.org registriert. Die haben eine einfache Frage mit Textfeld und eine Dropdown-Box die beide korrekt bearbeitet werden müssen. Das ist komplett statisch, aber es scheint zu reichen, sonst hätten die das doch bestimmt schon geändert. Vielleicht kann man da mal nach Erfahrungen fragen.


Ich selbst denke, dass es besser ist mehrere einfache Captchas zu kombinieren als ein schweres einzubauen das schnell für Frust sorgt.
Also, weshalb nicht was in der Art wie beim Archlinux Forum und zusätzlich das alte Buchstaben-erkennen-Captcha?


EDIT:
Ich wollte doch feltel noch danken, dass er sich dem Problem gleich angenommen hat, und nicht nur zuschaut -- das ist aktive Administration!
Use ed once in a while!

Benutzeravatar
feltel
Webmaster
Beiträge: 10366
Registriert: 20.12.2001 13:08:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig, Germany
Kontaktdaten:

Re: Registrierungs-Captcha verändert

Beitrag von feltel » 24.05.2009 18:01:17

Die Idee das grafische Captcha durch ein textbasiertes zu ersetzen ist mir auch schon gekommen. Man müsste halt ein Set von Fragen aus dem Allgemeinwissen zusammenstellen, die dann im Registrierungsformular per Zufallsgenerator eingeblendet werden. Mal sehen, obs da ne Lösung für phpBB3 gibt.....

Benutzeravatar
TBT
Beiträge: 923
Registriert: 18.06.2003 08:39:36
Kontaktdaten:

Re: Registrierungs-Captcha verändert

Beitrag von TBT » 24.05.2009 18:08:33

wie wäre es mit einer analogen Uhr,
und der User muss die Uhrzeit eingeben?

Habe in meinem Forum mir so was gebastelt,
und seitdem absolute Ruhe vor Spammern.

Benutzeravatar
Meillo
Moderator
Beiträge: 8782
Registriert: 21.06.2005 14:55:06
Wohnort: Balmora
Kontaktdaten:

Re: Registrierungs-Captcha verändert

Beitrag von Meillo » 24.05.2009 20:13:05

TBT hat geschrieben:wie wäre es mit einer analogen Uhr,
und der User muss die Uhrzeit eingeben?
Die Idee gefällt mir gut, weil es sprachübergreifend funktioniert.
Use ed once in a while!

123456
Beiträge: 6126
Registriert: 08.03.2003 14:07:24

Re: Registrierungs-Captcha verändert

Beitrag von 123456 » 24.05.2009 20:38:39

Meillo hat geschrieben:
TBT hat geschrieben:wie wäre es mit einer analogen Uhr,
und der User muss die Uhrzeit eingeben?
Die Idee gefällt mir gut, weil es sprachübergreifend funktioniert.
ich finde die Idee auch gut - aber sprachübergreifend - bei einem deutschsprachigen Forum? ;)

Benutzeravatar
TRex
Moderator
Beiträge: 8040
Registriert: 23.11.2006 12:23:54
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: KA

Re: Registrierungs-Captcha verändert

Beitrag von TRex » 24.05.2009 21:11:05

ub13 hat geschrieben:
Meillo hat geschrieben:
TBT hat geschrieben:wie wäre es mit einer analogen Uhr,
und der User muss die Uhrzeit eingeben?
Die Idee gefällt mir gut, weil es sprachübergreifend funktioniert.
ich finde die Idee auch gut - aber sprachübergreifend - bei einem deutschsprachigen Forum? ;)
Schade, ist wohl zu gut für uns.
Jesus saves. Buddha does incremental backups.
Windows ist doof, Linux funktioniert nichtDon't break debian!Wie man widerspricht

Benutzeravatar
neuss
Beiträge: 2165
Registriert: 06.11.2004 17:56:02
Lizenz eigener Beiträge: MIT Lizenz

Re: Registrierungs-Captcha verändert

Beitrag von neuss » 25.05.2009 18:01:56

Hallo,
feltel hat geschrieben:Ich nehme an es wurde versucht das Forum für Spam zu nutzen, was aber nicht klappte, da die Registrierung bei uns per eMail-Link verifiziert wird. Dessen unbeachtet hatten wir trotzdem Arbeit damit, da diese Fakeaccounts geprüft und händisch gelöscht werden mussten.
Wäre es nicht am sinnvollsten auf ein CAPTCHA ganz zu verzichten und stattdessen neue Accounts die nach einer gewissen Zeit nicht per Mail verifiziert wurden automatisch zu löschen?
Ich nehme an die meistens bestätigen innerhalb von 5 Minuten und die Trantüten die 3 Tage brauchen müßten sich halt erneut registrieren. Wäre doch kein Drama.
Ich kenne jetzt phpBB nicht gut, aber da müßte sich doch was basteln lassen was z.B. am frühen Morgen alle nicht verifizierten Accounts von Vorgestern löscht.

gruss neuss
stell dir vor, es geht, und keiner kriegt es hin.

Benutzeravatar
feltel
Webmaster
Beiträge: 10366
Registriert: 20.12.2001 13:08:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig, Germany
Kontaktdaten:

Re: Registrierungs-Captcha verändert

Beitrag von feltel » 25.05.2009 18:08:35

Hmmm, ich bezweifle das das zielführend wäre. Damit öffnen wir ja Spamregistrierungen Tür und Tor. Gibt ja mit Sicherheit auch Spambots die mit gültigen eMail-Adressen arbeiten und die Registrierungsmail parsen.

Benutzeravatar
neuss
Beiträge: 2165
Registriert: 06.11.2004 17:56:02
Lizenz eigener Beiträge: MIT Lizenz

Re: Registrierungs-Captcha verändert

Beitrag von neuss » 25.05.2009 19:04:19

Nun ja,

um besser mitreden zu können habe ich eben mal einen Testaccount erstellt, zweimal "Der eingegebene Bestätigungscode ist fehlerhaft" erhalten :wink:
Das Dritte habe ich geschafft :D
Danach eine Mail mit Bestätigungslink, Benutzername und Passwort im Klartext bekommen :roll:

Du hast natürlich recht, wenn ein einfaches Aufrufen des Links verifiziert, könnte ein besserer Spambot es aushebeln. Da gehört natürlich nochmal eine Abfrage rein.

gruss neuss

PS
mein Testaccount "greuss" ist zu löschen.
stell dir vor, es geht, und keiner kriegt es hin.

Benutzeravatar
duese
Beiträge: 651
Registriert: 12.07.2006 15:27:20
Lizenz eigener Beiträge: GNU Free Documentation License
Kontaktdaten:

Re: Registrierungs-Captcha verändert

Beitrag von duese » 25.05.2009 19:37:36

Bestätigung der Registrierung hat geschrieben:Um automatisierte Anmeldungen zu unterbinden, musst du einen Bestätigungscode angeben. Der Code ist in dem Bild unterhalb dieses Textes enthalten. Wenn du nur über ein eingeschränktes Sehvermögen verfügst oder aus einem anderen Grund den Code nicht lesen kannst, kontaktiere bitte die Board-Administration.
Der Link auf die Mail-Adresse ist imho nicht vom normalen Text zu unterscheiden. Eventuell könnte man den Link dort etwas hervorheben (Unterstreichen, Rot färben, ...)

Das Captcha ist wirklich schwer zu entziffern, obwohl ich es wohl gerade noch hinbekommen habe...

Gruß,
Thomas

Benutzeravatar
feltel
Webmaster
Beiträge: 10366
Registriert: 20.12.2001 13:08:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig, Germany
Kontaktdaten:

Re: Registrierungs-Captcha verändert

Beitrag von feltel » 25.05.2009 19:45:33

duese hat geschrieben:Eventuell könnte man den Link dort etwas hervorheben (Unterstreichen, Rot färben, ...)
Hast Recht, der Link war nicht gut zu sehen. Hab das mal nachgebessert.

pluvo

Re: Registrierungs-Captcha verändert

Beitrag von pluvo » 25.05.2009 20:03:06

Hallo!

Ich wäre auch dafür, dass dem Neuling eine Frage gestellt wird. Dieses Buchstaben-Raten empfinde ich als schlechte Lösung, da es auch 'normalen' Leuten die Registrierung erschwert.

Allerdings konnte ich gerade kein MOD für phpbb3 finden.
Edit: http://www.phpbb.com/community/viewtopi ... 9&t=645075

Zu den Fragen&Antworten: Diese können wir uns doch selber ausdenken. Ich wäre bereit paar bereitzustellen.

mfg pluvo :)

Benutzeravatar
feltel
Webmaster
Beiträge: 10366
Registriert: 20.12.2001 13:08:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig, Germany
Kontaktdaten:

Re: Registrierungs-Captcha verändert

Beitrag von feltel » 27.05.2009 19:20:25

Hab jetzt auch noch zwei Modifikationen gefunden, die passen würden.
Werd mal versuchen die drei zu vergleichen was die Features etc. angeht und den Gewinner dann installieren.

Benutzeravatar
Kokopelli
Beiträge: 1156
Registriert: 08.01.2007 10:13:24
Lizenz eigener Beiträge: MIT Lizenz

Re: Registrierungs-Captcha verändert

Beitrag von Kokopelli » 27.05.2009 22:22:25

Evtl. einen zusätzlichen Blick wert ist dieses Projekt (immerhin von eimem DD initiiert 8) ) :
http://blogspam.net/
Beste Grüße, Kokopelli
--------------------------
"One must marvel that Godzilla never died laughing" (William Tsutsui)

pluvo

Re: Registrierungs-Captcha verändert

Beitrag von pluvo » 30.05.2009 15:22:15

Hallo!

Anscheinend konnte dieser Bot (?) das Captcha lesen:
viewtopic.php?f=14&t=111119

mfg pluvo

Benutzeravatar
Teddybear
Beiträge: 3163
Registriert: 07.05.2005 13:52:55
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Altomünster
Kontaktdaten:

Re: Registrierungs-Captcha verändert

Beitrag von Teddybear » 31.05.2009 11:27:28

Mhhhh.....

Was ich in letzter Zeit häufig sehe sind Animierte Captchas, oder Grafisch-Interaktive also per Mausklick Interaktivität.
Wäre SOWAS nicht implementierbar???

Das was da momentan am start ist... mhhh... da bekommt man ja Augenkrebs... :twisted:
Versuchungen sollte man nachgeben. Wer weiß, ob sie wiederkommen!
Oscar Wilde

Mod-Voice / My Voice

Benutzeravatar
feltel
Webmaster
Beiträge: 10366
Registriert: 20.12.2001 13:08:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig, Germany
Kontaktdaten:

Re: Registrierungs-Captcha verändert

Beitrag von feltel » 01.06.2009 13:36:07

Hab jetzt den Anti-Bot-Mod [1] installiert. Checkt das mal, ob das reibunglos funktioniert. Der Mod erlaubt zwar aktuell nur eine Frage, die gestellt wird, aber ich denke da kann man relativ einfach mittels Cronjob die entsprechenden Datenbankfelder in der Forumsdatenbank ändern und so ab und an eine neue Frage dem Forum unterschieben.

[1] http://www.phpbb.com/community/viewtopi ... 9&t=645075

pluvo

Re: Registrierungs-Captcha verändert

Beitrag von pluvo » 02.06.2009 14:07:45

feltel hat geschrieben:Hab jetzt den Anti-Bot-Mod [1] installiert.
Danke! Das finde ich besser als ein Bild-Captcha.
feltel hat geschrieben:Checkt das mal, ob das reibunglos funktioniert.
Ich habe drei Benutzer angelegt:
  1. testcaptcha1
  2. testcaptcha2
  3. testcaptcha3
Die Antwort ist übrigens case insensitive. (Also man muss keine Groß- und Kleinschreibung berücksichtigen.)

Auch eine Registrierung mit Debianw3m war problemlos möglich.

mfg pluvo

rendegast
Beiträge: 15041
Registriert: 27.02.2006 16:50:33
Lizenz eigener Beiträge: MIT Lizenz

Re: Registrierungs-Captcha verändert

Beitrag von rendegast » 02.06.2009 16:12:38

Seltsam, daß das funktioniert.

Was der Bot machen könnte,
habe die Frage mit mehreren Suchmaschinen probiert, und was kommt als Antwort - nix richtiges.
Ich habe auch mal "Was ergibt 5 + 27" versucht" - Antwort: nix mit 32.
Wollten die Suchmaschinenbetreiber nicht mal "humanoider" werden?
(Was dann den anti-bot-mod aber wieder aushebeln würde)

Die tags um die Frage und Antwort sollten wohl einen random-Character haben.
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")

Antworten