Brainstorming - Alternativen zur Image Verification

Wie wärs mit Audio? Ein kurzes Wort?

Nein, nein - Die Idee dahinter ist es ja, dass jedes Forum unterschiedliche Fragen besitzt und für Spammer ist es nicht sinnvoll jedes Forum von Hand einzutragen. Er legt es auf die breite Masse an.

LQ, das mit den Lautsprechern und noch vielmehr mit den passenden Codecs und Plug-Ins für Sound-Wiedergabe in Browsern ist halt so ne Sache...

Reimer, erwartest du tatsächlich, dass jeder Foren-Admin sich zuerst ein paar Fragen ausdenkt, bevor er das Forum startet? Mein Ziel ist es jedenfalls, diese Setup-Phase möglichst zu eliminieren. Hochladen und loslegen, kaufen und verwenden, das ist es imo, was Leute wollen. Nicht erst lange dran rumdoktoren, wie bei Linux. Scnr.

Der Betreiber muss nicht.. Er hätte im AdminCP die Möglichkeit dazu und sollte sie nutzen wenn er Probleme mit Spam hat.

Ich selber habe noch nie Besuch von einem Script bekommen welches Beiträge veröffentlicht hat - ich bräuchte diese Fragen also nicht und könnte sie ignorieren.

Jemand der massive Probleme damit hat findet es eventuell ganz nützlich und wird sich die Arbeit machen.. Gib die Hoffnung auf - im Leben ist nichts geschenkt und nichts fliegt einem zu. Wenn man was will muss man sich drum kümmern. Wer es nicht will braucht es nicht, darf sich aber auch nicht beschweren und das trifft nicht nur auf die Fragestellungseinstellungsoption im AdminCP zu

Als ich vor einem Jahr für mein Projekt den CaptchaImage Maker schrieb, stand ich auch vor dem Problem, wie ich es dem User am einfachsten mache und einem Bot das Gegenteil beweise. Damals hab ich mich für folgende Lösung entschieden: Dem User wird eine Grafik mit einem deutschen Wort (es stehen ca. 2500 zur Anzeige bereit) dargestellt, das, meiner Meinung nach, gut ablesbar und erahnbar ist.

Sicher, man könnte die Lösung ein wenig perfektionisieren, doch dann leidet der User und Usability. Und das muss nicht sein...

hi alle,
ich habe da noch was gefunden zum Spam Schutz unter http://www.theologie.uni-erlangen.de/spam.php

Gibt es da jetzt noch andere Lösungen???

MfG

Michael Finger

Captcha ist nicht sicher.

Die doch recht simplen Captcha Methoden wie z.B. vom VBuelltin Board kann man ohne Probleme automatisiert auslesen. Wer es nicht glaubt kann es im PWNtcha - captcha decoder einfach selber ausprobieren. Auf der dazugehörigen Homepage findet sich auch schon eine Liste der Captcha die geknackt worden sind. Bei AIcaptcha kann man sogar schön nachlesen wie diese automatische Erkennung arbeitet. Wer noch mehr Informationen braucht kann hier auch noch was über “Breaking a Visual CAPTCHA” nachlesen.

Lima, ich nehme an, mit „Captcha“ meinst du hier nur die Textgrafiken. Die Abkürzung an sich bedeutet ja gerade die Unterscheidung von Mensch und Maschine, egal wie, Hauptsache automatisch.

Ja, dass es mittlerweile Bots dagegen gibt, hab ich die letzten Monate auch schon erfahren – aufgrund von E-Mails aus Webformularen, die eigentlich nicht auftreten sollten.

Eine echte Unterscheidung von Mensch und Maschine scheint es wohl momentan nicht zu geben. Deshalb werd ich mich in Zukunft wahrscheinlich darauf konzentrieren, den eigentlichen Schaden der Bots zu verhindern. Diese kleinen nervigen Tierchen wollen ja vor allem eins: Links platzieren. Wenn nun also überaus viele Links, womöglich gepaart mit eindeutigen Schlüsselwörtern oder dazu passender Schreibweise (ihr wisst schon, diese netten E-Mail-Betreffzeilen mit Zahlen und anderen buchstabenähnlichen Symbolen), in einem Formular auftauchen, und als E-Mails-Adresse dann auch noch was von der eigenen Domain eigegeben wurde, sollte man skeptisch werden. Eine mögliche Reaktion wäre dann eine Einzelfreischaltung für diese Aktion. Da in meinem Forum ein registrierter Benutzer sitzt/saß, der immer wieder mal Werbung gepostet hat, schließe ich nicht aus, dass es auch Menschen gibt, die man vor solche Websysteme setzt, um Unsinn zu verbreiten. Eine geschickt angebrachte Warnung oder auch der ausbleibende Erfolg des Postings könnte solche Leute davon abhalten, das zu wiederholen.

Sieht interessant aus, auch wenn der mathematische Teil (ich hab ihn dann nur überflogen) unnötig kompliziert wirkt. Das Prinzip ist ja ganz einfach das Malen von Kästchen mit HTML-Mitteln, die in Großen so aussehen wie Zeichen.

Was mir grade eingefallen ist, man könnte doch vllt seine Grafik etwas größer gestalten, so aus 3 Zeichengruppen, und entweder anweisen, die lesbare Gruppe abzutippen, wobei die beiden anderen Phantasiezeichen enthalten, oder auch nur die Zahlen abzutippen, wobei die (beiden) anderen auch Buchstaben enthalten. Wichtig ist natürlich immer, nur Buchstaben zu wählen, die nicht mit Zahlen verwechselt werden können.

Meinung: Das wird für den Spammer nur ein Schritt mehr: Rendere mir die Seite durch eine entsprechnde Engine (z.B. Gecko) und schneide das Bild aus. Die Erkennung selbst ist dann wesentlich einfacher, da ja nur noch die Quadrate erkannt werden müssen - aber die sind schon vorhersagbar, wie die aussehen, da könnte ein simples Vergleichen mit einer Vorlage (und bei Zahlen sind das ja nur zehn Stück) ausreichen. Die Schwierigkeit wird nur dahin verlagert, dass jetzt das Captcha auf der Seite gefunden werden muss.

Viele Grüße,
Stefan

Wahrscheinlich braucht man nichtmal eine Renderingengine für Webseiten.
Die Quadrate werden immer mit <span class="s">&nbsp;&nbsp;</span> oder <span class="w">&nbsp;&nbsp;</span> dargestellt. Das dürfte selbst ohne Engine nicht schwer gehen...

Hallo zusammen,

auch wenn das Thema schon etwas älter ist ...

Ich vermisste bei den Vorschlägen eine Idee die ich vor einiger Zeit mal irgendwo gesehen habe. Nämlich die Verwendung von Fotos und der Frage was siehst du? Klar, man kann unmöglich edliche tausend Fotos generieren und passende Antworten setzen, man kann allerdings die Fotos automatisiert mit einem Filter bearbeiten, z.B. irgendeinem Lupeneffekt auf einer variablen Stelle, ein Spot oder sonstwas.

Auf der Seite auf der ich das damals gesehen habe, wurden Tierfotos verwendet, z.B. ein Pferd mit verformter Nase.

Was halten die anwesenden von dieser Lösung? Jemand Ideen wie man das knacken könnte? Ideen wie man das weiter verbessern kann?

Ich halte das Bildverfahren für genauso untauglich wie die Text-Captchas. Ich schließe wieder die gleiche Benutzergruppe aus, weshalb sie wieder nicht überall verwendet werden können.

Wurstbrot

wenn du mir jetzt aus dem stand "Pferd mit krummer Nase" (oder doch "Pferdebild mit Lupeneffekt"?) in sagen wir italienisch hier und mit korrekter schreibweise hinschreiben kannst ist das schon mal eine halbwegs brauchbare idee

Problem ist schon, Foren werden meist in der Muttersprache betrieben, die Umstellung auf Englisch oder eine andere Sprache ist meist nur im UCP möglich, damit kann man sich umständliche Erklärungen eigentlich an den Hut stecken und leider gerade bei den Bildern wird die passende Beschreibung auch noch vom Admin geprägt, der womöglich eine sehr eigenwillige Umschreibung abgeben kann, damit IMO einfach nicht praktikabel.
Selbst die an sich logischen Intelligenztestmodelle, welches Bild ist ist falsch, oder führe die Zahlenreihe fort, kann eben schon wieder eine gewisse Menge an potentiellen Usern ausschließen.

Da ist es ja noch praktikabler ala google analyses über JS Daten des Client abzufragen, ich denke das währe dann ein sehr aufwendiger Bot wenn er sowas simulieren kann -- gut setzt JS vorraus, aber eben nur bei der Registrierung.
[jetzt kommt gleich ein Aufbegehren von einem Sicherheitsfanatiker "was JS bist du des wahnsinns" ]
wer das nicht ab kann, mal für ein paar Sekunden einer Seite zu vertrauen, soll eben ein Loch in Gegend lassen und am besten seinen Router abschalten, dann tut im sicher keiner mehr was böses, in Foren wo er gleichgesinnte trifft wird sowas ja auch kaum eingesetzt werden

Naja, das kannst du aber nicht verallgemeinern. Es gibt einfach mal Benutzer, die haben JavaScript deaktiviert, weil es ihnen die Verwendung erschwert (dazu zählen unter anderem Screenreader-Benutzer). Gut, kommt auf die Zielgruppe an. Aber das ist bei Captchas ja auch so.

Also im Ernst: ihr sucht eine Alternative für Captchas. Warum? Weil sie inzwischen gelesen werden können? Das kommt auf die "Verschandelung" an. Weil sie nicht mehr gelesen werden kann? Gleiche Lösung. Es gibt wirklich gute Signaturen, die man gut lesen kann, die ich aber einem PC nicht zutraue. Also bleibt als letztes: weil sie nicht jeder benutzen kann. Und da sind javaScript-Lösungen auch keine Alternative.

Wurstbrot

Anscheinend sind selbstständig operierende Programme nicht so das wahre. Nur mal als Idee: Wie wär's mit einem gemeinschaftlichen Ansatz? Eine global eindeutige Identifizierung vorausgesetzt (OpenID ist glaub ich so eine, oder auch MS Passport oder wie das jetzt heißt) könnte man andere „Benutzer“ bewerten und nur wer ausreichend positives Feedback oder nicht zuviel negatives hat, ist kein Bot. Vergleiche auch das GPG Web of Trust mit den Schlüsselsignaturen (Google weiß mehr darüber). Vielleicht kann man ja auch die Schlüssel verwenden, wie bei E-Mails. Anonym geht das dann aber nicht mehr. Angesichts der aktuellen Rechtslage in Deutschland ist es aber sowieso grob fahrlässig, anonyme Beiträge ungefiltert zu veröffentlichen.

Der Computer kann recht viel... eben leider..

Ich weiss nicht, ob folgiger Link schon genannt wurde: PWNtcha - captcha decoder
Im wesentlichen gehts drum, was alles problemlos knackbar ist. Und wenn ich die geknackten Captchas anschaue, dann ist da der Computer beinahe besser wie ich.. Ich glaube auf Dauer verliert der Mensch, da dem Rechner durch div. Algorithmen einfach mehr Erkennungsleistung möglich ist, ich denk da ans invertieren von Farben, Kontrastveränderungen etc. etc.

Ich weiß, dass die recht gut sind. Hab selber vor kurzem eine Handschrifterkennung programmiert. Deshalb weiß ich aber auch, dass diese Dinger ihre Grenzen haben. Es gibt primär zwei Probleme:

In der Regel gibt es immer zwei Probleme:
1. Das Zeichen muss schon mal gelernt worden sein. So kann man teilweise durch eine entsprechende Schrift das Programm komplett verunsichern (die meisten verwenden aber Standardschriften - damit ist es dann natürlich einfacher). Durch entsprechende Verunreinigungen in derselben Farbe wird das ganze dann noch verschlimmert. Auf vielen Captchas sind Verunreinigungen in anderer Farbe. Das kann man durch entsprechende Filter sehr einfach rausholen. Schwieriger wird es aber dann, wenn die Buchstaben auch noch in anderer Farbe sind.

2. Die Analyse ist in der Regel recht aufwendig, so dass ich in der Summe bezweifel, dass sich für Spam-Spider diesen Aufwand lohnt. Wenn bei jeder Anfrage 3-4 Sekunden zur Erkennung draufgehen, ist es meiner Meinung nach nicht lohnenswert.

Anstelle jetzt also nach Alternativen zu suchen für Captachas, nur weil sie jetzt erkannt werden können, wäre also die Frage: warum können sie das bzw. wie kann ich das verhindern.

Meine Antwort würde in folgender Aussage liegen:
1. Nicht Arial als Ausgabeschrift verwenden, sondern eine verschnörkelte (am besten sogar für jeden Buchstaben eine eigene Schrift)
2. Jeden Buchstaben in gewisser Weise drehen (erschwert die Analyse)
3. Auch mal gespiegelte Buchstaben einfügen (der Mensch ist in der Lage, dies sofort zu erkennen)
4. Buchstaben in unterschiedlicher Farbe verwenden, damit Farbfilter nicht genutzt werden können
5. Verunreinigungen durch eben diese Farben einfügen
6. Buchstaben etwas verzerren.

So, und jetzt natürlich ein TradeOff zwischen - schwer automatisch zu lesen vs für Benutzer lesbar.

Wurstbrot

Die Punkte, die du nennst, werden heute ja bereits grösstenteils verwirklicht. Siehe z.b. amigalink.de für phpbb.

Trotzdem: Etwas wird häufig vergessen: Ca. 10-20% der Bevölkerung in Westeuropa sind Fehlsichtig, was sich oft insbesondere im Farbsehen und den Kontrasten zeigt. Und diese haben sehr viele Mühen, auch nur halbwegs sichere Captchas mit weniger als 10 Versuchen zu "erraten".

Ich selbst bin zwar normalsehend (ausser Kurzsichtigkeit ), trotzdem bin ich auch schon x-fach an Captchas gescheitert. Ein Verzerrtes H kann eben schnell wie ein A aussehen, ein gespiegeltes q wie ein p, ein verzerrtes o kann ein O oder 0 sein, ein gedrehtes m auch ein w etc. etc. etc.

Ich glaube wie gesagt: Die Bots werden in den nächsten 5 Jahren die Fähigkeiten der Menschen überflügeln... insofern haben Captchas in der Form keine Zukunft.

Ich sehe eher andere Möglichkeiten, die explizit die Intelligenz abfordern.

Da teile ich deine Meinung nicht. Es ist zwar so, dass man mit PC-Techniken die Zeichen erkennen kann, es stellt sich aber die Frage, ob sich dieser Aufwand lohnt. Sobald ich die Barrieren zu hoch mache (auch bei Intelligenz), so versperr ich manchen Nutzern den Zugang (böse Zungen würden sagen: wäre dann unter Umständen auch besser). Solange es noch Möglichkeiten gibt, SPAM mit geringerem Aufwand zu fabrizieren, wird das gemacht (wurde bei euch jemals schon ein SPAM-Bot aktiv, trotz Captchas? Bei mir noch nie).

Sollte sich diese Situation aber ändern, dann sollte man von Captchas Abstand nehmen und mit gleichen Mitteln zurückschlagen. Dann sollte man nämlich auch in der Lage sein, SPAM zuverlässig zu erkennen. Das dumme Problem an der Geschichte ist: viele Spammen mich voll, ich kann zwar alle abweheren, bin aufgrund der Rechenleistung aber so gut wie tot.

Also müsste man ein Verfahren finden, das möglichst vollautomatisch und zuverlässig den Zugang zum Server versperrt. Und hier liegt die Kunst.

Wurstbrot

Spam Detection Systeme existieren aber längst. Ich setz ein solches bei meinem Blog (Wordpress) ein, nennt sich SpamKarma. Bisherige Erkennungsrate war 100% bei Null Fehlern.

Ich bin eher Fan von solchen Lösungen, wie Captchas. Leider gibts fürs phpbb noch kein Sinnvolles SDS

du kannst doch bei vB auch Fonts angeben, notfalls "wingdings" benutzen

Hm, SpamKarma und Konsortium sind alle schön und gut. Das Problem - und das wird in Zukunft meiner Meinung nach immer stärker werden - ist jedoch, dass durch die Masse an Spam der Server in die Knie gezwungen wird (weil die Prüfungen doch recht aufwending sind). So ist bereits von mehreren Blogs zu lesen, die aufgrund des Spam-Aufkommens schließen mussten (Basic Thinking kämpft damit in letzter Zeit ja auch).

Wurstbrot