Brainstorming - Alternativen zur Image Verification
 

Hallo zusammen,

habe mich gerade mit Boardster über die "nervige" Image Verification unterhalten.

http://www.pressefrechheit.de/privat...ikpruefung.png

Die kennt ja sicher jeder von euch. Ich persönlich finde diese Art der Überprüfung ob es sich um einen echten Menschen handelt sehr benutzerunfreundlich, da die Schrift doch immer arg schlecht zu lesen ist. Da auch dies keinen wirklichen Schutz mehr vor Spam-Bots darstellt und die Alternative noch unkenntlichere Grafiken zu sein scheint, können wir uns ja mal Gedanken über Alternativen machen.

Eine kleine, ausbaufähige Idee meinerseits wäre der Einsatz von Checkboxen, die mit einem Zufallsgenerator verknüpft angeklickt werden müssen. Den Umgang mit Checkboxen bekommt auch ein "Anfängern" wunderbar hin. Da auch dies natürlich durch Try&Error von einem BOT lösbar ist, können wir ja über eure Ideen sprechen oder gucken, wie man die Idee um die Checkboxen erweitern bzw. verfeinern könnte.

http://www.pressefrechheit.de/privat...oxpruefung.png

vBulletin Germany war neulich ein interessanter Screenshot aus einem Forum, welches eine mathmatische Formel via Grafik ausgab. Diese musste man dann korrekt ausrechnen und die Lösung eingeben. Mir gefiel das ziemlich und läßt eigentlich nur den Schluss übrig, dass man interaktive Fragen nutzen muss.

Das ist dann gleichzeitig ein Test um irgendwelche Bratzen aus dem Forum fernzuhalten ;)

Interaktivität müsste allerdings DAU-tauglich sein. Verschlimmbessern wollen wir ja auch nichts.

Hast du eine Idee, wie man Interaktivität lösen könnte?

@Jan: Das Problem bei deiner Variante besteht jedoch darin, dass der Bot einfach diese "1, 3, 4" aus dem Hinweis herausfiltern und die Checkboxen dementsprechend aktivieren könnte.

Keine schlechte Idee - das schützt dann auch direkt vor solchen Kiddies, die in Mathe so etwas noch nicht behandelt haben. :D
Wer weiß, ob das jedoch immer so gewollt ist. ;)


codethief.

Ich habe eigentlich kein gesteigertes Interesse daran, mich vor dem Registrieren in einem Forum erst zehn Minuten mit der Registrierung auseinanderzusetzen.

Ich kann mir kaum vorstellen, wie die Bots das aus dem Bild rausfiltern. Vielleicht sollte man da einfach was schwierigeres nehmen?

Hi.

Mathematik sollte nicht viel bringen... denn wenn die Bots "xf23g" oder sowas extrahieren können, dann sollten Sie auch 2+3*4 extrahieren. Dann ein bisschen PHP o.ä. und schon hat der Bot das Ergebnis.
Bis jetzt ist mir zu dem Thema keine zufriedenstellende Lösung eingefallen :(

MfG MaMo

Das wollte ich auch gerade anmerken. Mathematik ist doch das Simpelste für einen solchen Bot. Aber auch interaktive Fragen könnten abschreckend auf neue Besucher wirken.
Wenn man sich einfach mal anmelden möchte, zum Beispiel in einer Support Community, dann macht es keinen guten Eindruck, wenn man quasi als Einstellungstest auch noch Fragen richtig beantworten muss.

Du brauchst 10 Minuten für eine einfache mathematische Frage wie 2 + 2 * 3? Gut, das war gemein, aber beispielsweise ist eine der 10-Minuten-Registrierungen bei Spotleid zu finden und das war auch bei mir schon hart an der Grenze. Eigentlich hatte ich da schon nach einen Blick auf die Länge des Formulars keinen Bock mehr.

Das kommt natürlich auf die Formel an. Wenn Sie nicht dem Standard entspricht, beispielsweise mit einem Bruchstrich, ist es für einen Computer gleich wesentlich schwieriger die Lösung zu finden.

Ich habe als Attachment einmal den Screenshot aus dem vBulletin hochgeladen.


Attachmentquelle: http://www.vbulletin-germany.com/for...ad.php?t=16319

Und sowas willst du einem User vorsetzen, der eventuell gerade mal froh ist das Prinzip des Anmeldeformulars verstanden zu haben, weil er sich mit Foren nicht auskennt?

Verrückte Idee ...

Danke, da verzichte ich...

Also einfach Matheaufgaben lösen finde ich auch eine gute Idee.

Oder sowas http://xde.maedhros.com/server01/index.php

mfg

Aus meinem UNB bug tracker (http://newsboard.unclassified.de/task.244):

"Improve VeriWord image generation:
single letters must be rotated and shifted separately
use different colour for single letters
add some lines as overlay over the text"

Z.B. durch Rotation der Buchstaben oder Zahlen könnte man Bots weiter verunsichern.

"Add "Hashcash" as primary solution and use VeriWord as fallback (<noscript/>)
http://elliottback.com/wp/archives/2...opgap-extreme/
Idea: Let the browser calculate some hash with JavaScript and compare the result on the server"

Das ist ein Wordpress-Plugin, von dem einige Blogger sehr angetan sind. Es wird hier per Javascript eine wohl recht komplizierte Funktion berechnet, wozu Bots scheinbar nicht in der Lage sein sollten. Allerdings hab ich mich schon immer gefragt, warum diese Bots angeblich keine &#x0040; in ein @ auflösen können oder Javascript-Funktionen mit Textersetzung durch reguläre Ausdrücke ausführen können sollen. Javascript müsste für die doch eigentlich ein leichtes sein.

Naja, mit zunehmender KI von Computersystemen, mit dem Ziel, sie intelligenter als Menschen zu machen, wird man sich kaum vor dieser Art Angriffen wehren können.

Ich seh aber weniger das Problem in der automatisierten Anmeldung sondern in der automatisierten Generierung von Beiträgen. Dagegen könnte dann nur eine Moderation Queue helfen. Ziel hierbei muss es dann sein, die Moderationsarbeit möglichst effizient zu verteilen.

Boah das ist hart. Ich kann da kaum was drauf erkennen... Und bis man endlich mal drauf kommt, dass da ein Zahl-WORT stehen soll... und warum das wohl 2x dasteht?

Kann man seine Meinung nicht auch so sagen, Jan?
Ist es für eine Diskussion so störend, wenn ich sage das das ganze keine gute Idee ist, aber keine Verbesserungsvorschläge nenne?

Hi.

Also, solche eine Rechenaufgabe hält mich dann komplett vom registrieren ab. Ich hol doch nicht erst meinen Taschenrechner raus. Alle in der Familie hier, würden sich nicht registrieren, einfach deswegen, weil ich den einzigsten Taschenrechenr habe der mit Wurzeln und som Zeug ausgestattet ist.
Nene, Mathematik ist glaube ich nicht geeignet und dieses ganze Zerstören der Bilder, macht es ungemein schwer, die Ausgabe zu entziffern. Was mir eben noch eingefallen ist, das man das ganze vielleicht per Flash ausgeben lässt und nicht per Bild, jedoch hat natürlich nicht jeder Flash installiert, was wieder ein arger Nachteil wäre.

MfG MaMo

Nein, Meiner Meinung nach ist das nicht störend.

Wie wäre es denn mit einer Antwort auf eine ganz banale Frage, zum Beispiel "Was ist gelb und hat Löcher?"

Ja was ist gelb und hat Löcher? Ein erschossener Kanarienvogel? Also da würd ich jetzt scheitern :confused:

Ich glaube perfekt machen kann man es nicht. Die beste Möglichkeit wird immernoch eine dieser CAPTCHA-Grafiken sein. Das Ganze mit unsymetrischen (verzerrten) Buchstaben so das sich der Text nicht ganz so einfach mit einer Software rausfiltern lässt. Bei dem Eingangsbeispiel beispielsweise wären die Buchstaben ja nicht schwer rauszufinden. Den trotz der Störmuster bestehen Sie ja immer aus den gleichen Pixelmustern. Also einfach per Software zu identifizieren..

Die Idee an sich finde ich aber auch eigentlich besser als über diese unleserlichen BuchstabenZahlen-Graphiken wie es viele Boards jetzt seit ner Weile generieren zum Registrieren.
Weil: was macht man denn mit Menschen, die eine Farbschwäche haben? Oder blind und Brailletastaturen verwenden? (Stichpunkt barrierefreie Websitegestaltung) Oder schlicht einen Browser verwenden, der so eingestellt ist, Graphiken nicht anzuzeigen? (-> Modemuser, Lynxnutzer, etc.)

Was mathematische Fragen anginge: das Problem eines intelligenten Bots wäre leicht umgehbar, denke ich, einfach indem man Sprache verwendet anstatt einer Formelschreibweise.
Eins plus eins ist - dann muß ein Bot schon mindestens Spracherkennung eingebaut haben... oder simple Fragen wie "in Deutschland bezahlt man mit dem"...

Genau, dem Euro.

Generell hast du natürlich recht. Nur lohnt es sich wirklich, diese Randgruppen zu beachten? Man muss für vielleicht 0,2 % der User große Kompromisse eingehen. Meiner Meinung nach lohnt sich das auf keinen Fall!

Eine Alternative wären Fragen, die der Admin selber angeben muss.. Wie z.B. wie ist der Benutzername vom Administrator, welche Farbe hat die Schrift im Logo..

Wenn sich dann die Admins Mühe geben kommt ein brauchbares, kaum missbrauchbares Ergebnis raus :)

CAPTCHA besitzt nach wie vor das Problem, dass es nicht nur mit mit grafischen Browsern funktioniert. Ein Nutzer, der einen einen Textbrowser nutzt oder Grafiken deaktiviert, wird nicht in der Lage sein die Anmeldung auszufüllen.

Daher wäre eine Textlösung eine schönere Lösung. Nehmen wir das Beispiel mit der mathematischen Formel, so wäre das zumindest kurzzeitig eine Lösung. Allerdings sollte ein fähiger Programmierer schnell das aufschlüsseln können, wenn man etwas fähig ist.

Daher ist eigentlich die Fragestellung wie bereits im Beispiel von Jannefant die beste Lösung. Eine Frage, Checkboxen oder andere Formularfelder müssen hier die Spambots aufhalten. So lange es nicht zum Standard in Foren mutiert, wird kein Spammer sich die Arbeit machen einen Bot dafür zu programmieren.

Prinzipiell eine gute Idee und ein vermeintlich sicherer Schutz vor SpamBots. Hingegen sperrst du damit u.U. Nicht-deutsch-Sprechende oder nicht mit dem Thema vertraute aus. Bspw fragt der Betreiber eine Forums nach einem speziellen HTML-Tag, bzw einem für den eigenen Sprachkreis eindeutigem Sprichwort. Spätestens hier kann man die Multi-Kulti Boards vergessen. Und ob es zweckmäßig wäre für jegliche Sprache eigene Fragen zu stellen??

Dann bleibe ich doch lieber bei der idiotensicheren Methode mit dem Abtippen eines generierten Codes auf einer Grafik.

Das ist aber kein Argument gegen so etwas.
Foren sind ja schon multilingual aufgebaut. Man kann solche Frage-und-Antwort Sachen ja auch in das Sprachsystem eines Forums einbauen und somit das nach der Einstellung anpassen. Aber was mir gerade einfällt: Die Registrierungen bei einem Forum sind sowieso meist auf deutsch. Also von daher ... Wenn jemand die Frage nicht versteht, dann kann er auch das Formular an sich auf Grund von Verständnisproblemen nicht ausfüllen.

Leute, die mit dem Thema nicht vertraut sind, sperrt man mit Sicherheit auch nicht aus, wenn man hier z.B. fragen würde, welche Farbe der Boardunity-Schriftzug im Logo hat. Das kann ja jeder. Okay, Farbenblinde User schließt man aus, aber ich denke bei solch einer solchen Sache kann man es nicht allen recht machen.

Die Sprache des erfahrenen Nutzers bei der Registrierung in einem Standardforum ist eigentlich egal, wenn es sich um die Standardregistrierung handelt. Ich könnte mich ohne Probleme in einem chinesischen phpBB oder vBulletin anmelden, weil ich das von anderen Foren kenne.

Aber ein Laie, der nicht damit vertraut ist, wird seine Probleme erhalten. Zum Glück ist mathematik sprachunabhängig und versteht jeder Mensch, der natürlich die entsprechende Bildung besitzt. Aber mal schauen, was es noch für Lösungen gibt.

dito. Und nebst der "gängigen" Forensysteme ala vBulletin oder PHPBB ist die Struktur des Registrierungsformulars (Nickname - eMail - Passwort - Passwort wiederholen) auch in anderer Software nicht sooo verschieden, dass man nicht nach wenigen Sekunden weiß, was man wo einzugeben hat.

:eek: Du schreibst so, als ob es beim Spammen um Leben und Tod ginge (bei solch einer Sache...). Ich nehme lieber die Arbeit auch mich, einmal pro Woche/Tag einen Beitrag zu löschen, als zunehmend relevante Gruppen auszuschließen! Zumal der meiste Spam NICHT von Bots stammt, sondern von menschlichen Usern. Dagegen hilft mE selbst der ausgereifteste Schutz - abgesehen von komplett moderierten Foren bzgl Aktivierung neuer Beiträge - nichts.

@Daniel - wenn man die Fragen in die Sprachpakete implementiert, denkst du dann nicht auch, dass in kürzester Zeit auch die Bots mit den richtigen Antworten gefüttert werden, bzw "wo" die richtige Antwort zu finden ist -> Farbcode des Headers bestimmen, etc. Das einzige wirklich hilfreiche wäre, wenn jeder Forenbetreiber in regelmäßigen Intervallen neue Fragen eingibt, was aber auch mit nicht geringem Zeitaufwand verbunden wäre - zumal man die Fragen dann auch in den zum Einsatz kommenden Sprachen stellen müsste.

Ich finde JavaScript gar nicht mal so schlecht. Auf folgender Webseite gibt es einen wunderbaren JS-Verschlüsseler:

http://dean.edwards.name/packer/

Damit ließe sich sicher was anfangen, was konkretes kann ich allerdings net nennen... vielleicht irgendwas mit von PHP zufällig generiertem JS-Code.

Auch Flash finde ich gar nicht mal so abwegig oder selbst bunte Bilder. Wer kein Flash hat oder Farbenblind ist, kennt sicher jemanden, der Flash hat oder nicht Farbenblind ist und wenn man die Email-Adresse des Admins angibt, für den Fall, dass man Probleme mit der Registierung hat, dann kann IMHO kaum etwas schief gehen.

Fragen lassen sich leicht aus dem Quelltext lesen und dann die Antworten eingeben. Das bringt nix.

Bilder sind meiner Meinung nach immer noch die beste Methode. Allerdings haben die meisten wohl keine Ahnung wie man wirklich aus Bildern die Informationen extrahiert. Ich muss sagen, 95% der gängigen registrierungsbildchen könnte ich mit den richtigen Bibliotheken problemlos knacken ;) Paar Pixel hierhin, paar Striche dahin und das ganze noch in bunt bringt garnix...

Hallo Gardan,

woher soll der BOT denn die Antwort auf eine Frage kennen? Die steht ja nicht im Quelltext ...

Wenn die Fragen frei definierbar sind, dann würde ich da kein Problem drin sehen.

Die allermeisten Admins wechseln noch nichtmal das Board-Logo aus. Erwarte also besser nicht, dass da mehr als 2% tatsächlich Fragen erfinden. Und mach das mal für alle möglichen Sprachen, Kulturen etc...

http://www.w3.org/2004/Talks/0319-cs...slide10-0.html - Auch das W3 findet Captcha nicht so prall wie es die Folie zeigt.

Interessante Pro´s und Contra´s für die verschiedenen Systeme. Am besten gefällt mir der Einsatz einer zentralen Registratur wie Passport ... wobei auch das schwer umsetzbar wird.

mal ganz von den grafischen dingen weg, was ich nicht schlecht fänd ne freischaltung er handy das jemand sich den code aufs handy schicken lässt. was natürlich auch mit kosten verbunden ist für den betreiber und ja jetzt kommt nicht jeder hat ein handy war auch nur so ne idee.

Die Idee hat natürlich etwas und kann man vielen Communitys durchaus funktionieren, wenn es die entsprechende Zielgruppe besitzt. Auch die Kosten von 4 bis 8 Cent sind vergleichsweise gering.

Allerdings muss es in der Tat ein sehr spezielles Forum sein um so etwas durchzuziehen ;)

So eine Handy Aktivierung sollte ja möglich sein... Habe leider noch nicht den passenden Anbieter gefunden?!? Kennt jemand einen?!?

Frag in der Webhostlist oder bei mir im Forum nach. Relativ viele Anbieter besitzen SMS Gateways mit mindestens einer HTTP Schnittstelle zum Versand.

Die Ideen sind interessant, danke für den Link.
Ich werd meine Vorgehensweise in dem Bereich mal überdenken müssen. Vielleicht ist eine differenziertere Zugangskontrolle (zuerst nur Moderation Queue, später Gewährung des Immediate Posting-Rechts) eine bessere Lösung für Foren.