[Indigo]

Zitat:

Zitat von MrNase

Eine Alternative wären Fragen, die der Admin selber angeben muss.. Wie z.B. wie ist der Benutzername vom Administrator, welche Farbe hat die Schrift im Logo..

Wenn sich dann die Admins Mühe geben kommt ein brauchbares, kaum missbrauchbares Ergebnis raus

Prinzipiell eine gute Idee und ein vermeintlich sicherer Schutz vor SpamBots. Hingegen sperrst du damit u.U. Nicht-deutsch-Sprechende oder nicht mit dem Thema vertraute aus. Bspw fragt der Betreiber eine Forums nach einem speziellen HTML-Tag, bzw einem für den eigenen Sprachkreis eindeutigem Sprichwort. Spätestens hier kann man die Multi-Kulti Boards vergessen. Und ob es zweckmäßig wäre für jegliche Sprache eigene Fragen zu stellen??

Dann bleibe ich doch lieber bei der idiotensicheren Methode mit dem Abtippen eines generierten Codes auf einer Grafik.

[Daniel Richter]

Zitat:

Zitat von Indigo

Prinzipiell eine gute Idee und ein vermeintlich sicherer Schutz vor SpamBots. Hingegen sperrst du damit u.U. Nicht-deutsch-Sprechende oder nicht mit dem Thema vertraute aus.

Das ist aber kein Argument gegen so etwas.
Foren sind ja schon multilingual aufgebaut. Man kann solche Frage-und-Antwort Sachen ja auch in das Sprachsystem eines Forums einbauen und somit das nach der Einstellung anpassen. Aber was mir gerade einfällt: Die Registrierungen bei einem Forum sind sowieso meist auf deutsch. Also von daher ... Wenn jemand die Frage nicht versteht, dann kann er auch das Formular an sich auf Grund von Verständnisproblemen nicht ausfüllen.

Leute, die mit dem Thema nicht vertraut sind, sperrt man mit Sicherheit auch nicht aus, wenn man hier z.B. fragen würde, welche Farbe der Boardunity-Schriftzug im Logo hat. Das kann ja jeder. Okay, Farbenblinde User schließt man aus, aber ich denke bei solch einer solchen Sache kann man es nicht allen recht machen.

[TRS]

Die Sprache des erfahrenen Nutzers bei der Registrierung in einem Standardforum ist eigentlich egal, wenn es sich um die Standardregistrierung handelt. Ich könnte mich ohne Probleme in einem chinesischen phpBB oder vBulletin anmelden, weil ich das von anderen Foren kenne.

Aber ein Laie, der nicht damit vertraut ist, wird seine Probleme erhalten. Zum Glück ist mathematik sprachunabhängig und versteht jeder Mensch, der natürlich die entsprechende Bildung besitzt. Aber mal schauen, was es noch für Lösungen gibt.

[Indigo]

Zitat:

Zitat von Reimer

Die Sprache des erfahrenen Nutzers bei der Registrierung in einem Standardforum ist eigentlich egal, wenn es sich um die Standardregistrierung handelt. Ich könnte mich ohne Probleme in einem chinesischen phpBB oder vBulletin anmelden, weil ich das von anderen Foren kenne.

dito. Und nebst der "gängigen" Forensysteme ala vBulletin oder PHPBB ist die Struktur des Registrierungsformulars (Nickname - eMail - Passwort - Passwort wiederholen) auch in anderer Software nicht sooo verschieden, dass man nicht nach wenigen Sekunden weiß, was man wo einzugeben hat.

Zitat:

Zitat von Daniel Richter

[...] aber ich denke bei solch einer solchen Sache kann man es nicht allen recht machen.

Du schreibst so, als ob es beim Spammen um Leben und Tod ginge (bei solch einer Sache...). Ich nehme lieber die Arbeit auch mich, einmal pro Woche/Tag einen Beitrag zu löschen, als zunehmend relevante Gruppen auszuschließen! Zumal der meiste Spam NICHT von Bots stammt, sondern von menschlichen Usern. Dagegen hilft mE selbst der ausgereifteste Schutz - abgesehen von komplett moderierten Foren bzgl Aktivierung neuer Beiträge - nichts.

@Daniel - wenn man die Fragen in die Sprachpakete implementiert, denkst du dann nicht auch, dass in kürzester Zeit auch die Bots mit den richtigen Antworten gefüttert werden, bzw "wo" die richtige Antwort zu finden ist -> Farbcode des Headers bestimmen, etc. Das einzige wirklich hilfreiche wäre, wenn jeder Forenbetreiber in regelmäßigen Intervallen neue Fragen eingibt, was aber auch mit nicht geringem Zeitaufwand verbunden wäre - zumal man die Fragen dann auch in den zum Einsatz kommenden Sprachen stellen müsste.

[Fabchan]

Ich finde JavaScript gar nicht mal so schlecht. Auf folgender Webseite gibt es einen wunderbaren JS-Verschlüsseler:

http://dean.edwards.name/packer/

Damit ließe sich sicher was anfangen, was konkretes kann ich allerdings net nennen... vielleicht irgendwas mit von PHP zufällig generiertem JS-Code.

Auch Flash finde ich gar nicht mal so abwegig oder selbst bunte Bilder. Wer kein Flash hat oder Farbenblind ist, kennt sicher jemanden, der Flash hat oder nicht Farbenblind ist und wenn man die Email-Adresse des Admins angibt, für den Fall, dass man Probleme mit der Registierung hat, dann kann IMHO kaum etwas schief gehen.

[Gardan]

Fragen lassen sich leicht aus dem Quelltext lesen und dann die Antworten eingeben. Das bringt nix.

Bilder sind meiner Meinung nach immer noch die beste Methode. Allerdings haben die meisten wohl keine Ahnung wie man wirklich aus Bildern die Informationen extrahiert. Ich muss sagen, 95% der gängigen registrierungsbildchen könnte ich mit den richtigen Bibliotheken problemlos knacken Paar Pixel hierhin, paar Striche dahin und das ganze noch in bunt bringt garnix...

[Jan Stöver]

Hallo Gardan,

woher soll der BOT denn die Antwort auf eine Frage kennen? Die steht ja nicht im Quelltext ...

Wenn die Fragen frei definierbar sind, dann würde ich da kein Problem drin sehen.

[LonelyPixel]

Die allermeisten Admins wechseln noch nichtmal das Board-Logo aus. Erwarte also besser nicht, dass da mehr als 2% tatsächlich Fragen erfinden. Und mach das mal für alle möglichen Sprachen, Kulturen etc...

[TRS]

http://www.w3.org/2004/Talks/0319-cs...slide10-0.html - Auch das W3 findet Captcha nicht so prall wie es die Folie zeigt.

[Jan Stöver]

Interessante Pro´s und Contra´s für die verschiedenen Systeme. Am besten gefällt mir der Einsatz einer zentralen Registratur wie Passport ... wobei auch das schwer umsetzbar wird.

[Metro Man]

mal ganz von den grafischen dingen weg, was ich nicht schlecht fänd ne freischaltung er handy das jemand sich den code aufs handy schicken lässt. was natürlich auch mit kosten verbunden ist für den betreiber und ja jetzt kommt nicht jeder hat ein handy war auch nur so ne idee.

[TRS]

Die Idee hat natürlich etwas und kann man vielen Communitys durchaus funktionieren, wenn es die entsprechende Zielgruppe besitzt. Auch die Kosten von 4 bis 8 Cent sind vergleichsweise gering.

Allerdings muss es in der Tat ein sehr spezielles Forum sein um so etwas durchzuziehen

[Jens*]

So eine Handy Aktivierung sollte ja möglich sein... Habe leider noch nicht den passenden Anbieter gefunden?!? Kennt jemand einen?!?

[TRS]

Frag in der Webhostlist oder bei mir im Forum nach. Relativ viele Anbieter besitzen SMS Gateways mit mindestens einer HTTP Schnittstelle zum Versand.

[LonelyPixel]

Die Ideen sind interessant, danke für den Link.
Ich werd meine Vorgehensweise in dem Bereich mal überdenken müssen. Vielleicht ist eine differenziertere Zugangskontrolle (zuerst nur Moderation Queue, später Gewährung des Immediate Posting-Rechts) eine bessere Lösung für Foren.

Wie ist das eigentlich mit der EMail Verification? Koennen die Bots die auch umgehen?

[exe]

Im Grunde ist E-Mail Verifizierung sehr einfach zu umgehen. Ein Bot-Entwickler der eine Software schreibt die automatisch in Foren und Blogs schreibt dürfte kein Problem damit haben ein Postfach automatisch abfragen zu lassen. Und mit der Kenntnis über das Format einer Verifizierungsmail lässt sich der Verifizierungslink problemlos rausfiltern.

[StGaensler]

Der Verifizierungslink ist meist der erste Link in der eMail. Das ist ganz einfach herauszufinden.
Und wenn es nicht der Erste ist, dann ist es der Zweite, aber es schadet nicht, wenn man den Ersten auch aufruft.

[LonelyPixel]

Jo, und der 2. Link bestellt das Ganze dann gleich wieder ab.

[StGaensler]

Ja, das wäre eine einfache Lösung. Man schickt dem neuen Benutzer z.B. drei Links, und er muss den richtigen heraussuchen (steht natürlich drüber, welchen er nehmen muss). Wenn er den falschen klickt, wird er gesperrt, und muss dann persönlich beim Admin vorsprechen, wenn er doch ins Forum will.

Ich nehme an, dass ein Bot einfach alle Links "klickt", die er in der eMail findet, oder?

[TRS]

Zitat:

Zitat von StGaensler

Ich nehme an, dass ein Bot einfach alle Links "klickt", die er in der eMail findet, oder?

Alles regelmäßige kann man erfassen. Irgendwo im Text muss dann ja der Hinweis stehen und zwar entweder als "dritter Link" oder "3. Link" und auch wenn ein Computer nicht versteht, was dort steht, kann er doch ableiten was er soll.

Vor allem sind da so Leute wie ich wieder "überfordert", weil ich mir den immer gleichen Text in Verification Mails eh nicht durchlese

[itst]

Zitat:

Zitat von LQ

Generell hast du natürlich recht. Nur lohnt es sich wirklich, diese Randgruppen zu beachten? Man muss für vielleicht 0,2 % der User große Kompromisse eingehen. Meiner Meinung nach lohnt sich das auf keinen Fall!

Gegenfrage: Kannst Du es Dir leisten, 0,2% (wo immer dieser Wert herkommt) der potenziellen Nutzer auszuschließen?

[Luki]

interessant ist eher was alles nicht geschützt ist:
-> die Passwort vergessen Funktion z.B.

beim Thwboard gibt es zwar optional auch die Image Verification die man bei Problemen anstellen kann aber ansonsten nur bequem eine IP Flood Protection, die eine IP sperrt, wenn Sie in einem bestimmten Zeitraum zuviele Accounts registriert!

ansonsten interessant zum Thema
Captcha Alternative
Captcha Cracking / Decoding und OCR Sicherheit

[R. U. Serious]

- Javascript ist keine Lösung. Womit wird Javascript ausgeführt? Mit dem Browser, also einem Stück Software. Es ist ohne weiteres Möglich, sich das notwendige aus dem Mozilla Source-Code herauszuholen, bzw. sich den Browser so zu erweitern, dass er zum Bot wird.

- Allgemeine Fragen sind keine Lösungen. Das Problem hier ist es einen ausreichend großen Fragenkatalog zusammenzubekommen. Nehmen wir einmal ihr macht euch die Mühe und stellt 50 Fragen zusammen, dann braucht der Bot später nur eine richtige Antwort zu kennen (läßt sich manuell eintragen), und hat bei 1 Anmeldeversuchen pro Sekunde nach 60 Minuten mind. 60 Accounts. Ebenso bei (einfachen) Matheaufgaben und Checkbox-Spielchen -> zu kleiner Lösungsraum. Die Wahrscheinlichkeit ist einfach auf Seiten der Bots. Der Grund warum es bei Captchas funktioniert ist, dass es idR. ca. 5-stellig ist und ~36 Möglichkeiten pro Stelle hat: Also Lösungsraum 36^5 ~ 60 Millionen. Da muß auch ein Bot sehr lange probieren um einen Zufallstreffer zu landen.


CAPTCHAs lassen sich mit geeigneten Verzerrungen heute so darstellen, dass sie nicht von "einfachen Bots" geknackt werden können. Wenn man dann im Registrierungsformular einen Link zu einer Kontaktmöglichkeit gibt (E-Mail, Kontaktformular), dann lassen sich auch die Leute auffangen, welche Probleme mit Captchas haben. Wenn ein Forum eine hinreichende Größe hat und man nicht auf große Neuanmeldungszahlen angewiesen ist, würde ich das mit den Captchas gleich überspringen, und ein "Bewerbungsformular" machen mit einem Freitextformular und einer Frage die spezifisch zum Forum oder zum User ist, mit der Aufforderung ein paar Sätze dazu zu schreiben. ("Beschreibe in einigen Sätzen warum du ausgerechnet bei uns teilnehmen möchtest?"). Die Zeit welche die Admins aufbringen können die Bewerbungen zu lesen und mit den Bewerbern zu kommunizieren stellt bei diesem Art Lösung natürlich eine natürliche Wachstumsgrenze dar, das ist aber ein durchaus erwünschter Nebeneffekt.