hehehe wie geile idee :)

Captcha Mashup

:(

(n/t: Zitat + ein Smiley reicht dem vB nicht)

Kennt noch wer das "Magische Auge"? Auf's Bild schielen und man erkennt den Code. Das wäre doch eine tolle Idee, das ganze noch unleserlicher zu machen. "Nett" ist in dieser Hinsicht auch das angehängte Captcha.

Ich hasse Captchas :rolleyes:

Das hier scheint bei Dr. Web ganz gut zu laufen:

» Spam Schutz und Rechenaufgaben - Dr. Web Weblog

Naja DAS würd ich nicht behaupten. Ich mein ich kann auch ein eigenes CAPTCHA auf den Markt schmeissen und dann nach 2 Wochen sagen, dass sich noch kein Bot Schreiber die Mühe gemacht hat es zu knacken..

Ich weiss jetzt nicht, wieso simple Rechenaufgaben besser schützen sollten wie komplexe Mustererkennung..

Was habe ich den behauptet :rolleyes:?

Stellt das jemand in Frage? Wäre Linux beliebter gäbe es auch mehr Viren für Linux. Aber da es im Moment nicht so beliebt ist lebt man damit immer noch sicherer als mit Windows.

Im Fall von Dr. Web schützen sie besser als komplexe Mustererkennung. Du solltest nicht versuchen eine globale Lösung zu finden sondern eine individuelle. Das macht es den Bot's auf jeden Fall schwerer als wenn jeder das selbe benutzt.

Hört, hört! Das sind wahre Worte. Einen Bot und sein Machwerk zu produzieren lohnt sich immer nur dann, wenn es die Anzahl an potenziellen Opfern sich lohnt.

Eine individuelle Abfrage kann noch so simpel sein. Trifft man damit nur dich, lohnt sich der programmiertechnische Aufwand kaum. Es sei denn, man möchte geziehlt dir schaden. Aber die Mühe macht sich kaum jemand denke ich.

Könnte man den Bot nicht irgendwie mit Infos überfluten? In der Art, das der User nichts davon mitbekommt bzw. klar unterscheiden kann, aber der Bot mangels Intelligenz aufs Glatteis geführt wird.

Schaut Euch mal den Registrierungsprozess von Habo an.

Nein, es ist kein Hackerboard ;) es heisst nur so.

Uh die Fragen sind aber doch recht hart find ich.. also da würd ich mir nur registrieren wenn ich absolut keine andere möglichkeit habe..

Solang Bot´s nicht rechnen können, sind simple Mathe Aufgaben sicher eine gute Alternative. Bei verschiedenen Wordpress-Nutzern bspw. funktioniert das Math Comment Spam Protection Plugin super. Eine leicht frisierte Version gibt es davon hier. Frisiert in dem Sinne, dass die Abfrage nur dann angezeigt wird, wenn man JS aus hat. Das können Bots bisher wohl auch nicht vorgaukeln.

Für das vBulletin gibt es das mittlerweile auch als Alternative für die Captchas: NoSpam! vBulletin.org

Anhang 423 Anhang 424

Das Rechenaufgaben-CAPTCHA kann man leider auch sehr leich knacken. Bisher hat das warscheinlich nur keiner gemacht, weil es einfach nicht weit genug verbreitet ist.

Seh ich leider genauso! Man brauch ja nur nen entsprechenden Reg Ex schreiben und schon sollte das leicht machbar sein. Und wenn es standard im vB werden sollte wird auch ein Bot dazu geschrieben!

Da brauchst du noch nicht mal 'nen RegExp, da macht man einfach nur eval('$result = '.$math.';');

Wo wir gerade so schön bei Worpress sind: Für diese Soft gibt es verschiedenen Möglichkeiten, sich vor Spam zu schützen. Würden eigentlich abgewandelt natürlich, Systeme wie Askimet oder Bad Behaviour Sinn machen?

Hab grad mal ein wenig überlegt, was es denn für alternativen gibt, ohne dass der Benutzer "Einschränkungen" hat.

(ich muss sagen, dass ich nun nicht weiß ob das hier shcon vorgeschlagen wurde, hab nun keine lust mir alles durchzulesen, und ich beziehe mich auch erstmal nur auf ein simples gästebuch, kann man sicher aber auch auf ein Forum erweitern.)

Referer und UserAgent fallen raus.

Vorraussetzung für meinen "Spamschutz" ist, dass der Benutzer vorher auf der Seite war, wo auch das Eintragformular ist.
Per Hiddenfeld wird ein Wert übertragen der Geprüft wird.
Daher eine Möglichkeit

(natürlich kann man das noch ausbauen, mit zufalls werten!)
und dann vor dem eintragen prüfen:
Erweitern könnte man das, indem man dies mit Crypt macht und den Salt in der Session überträgt.
So könnte er jedes mal anders lauten und für den Benutzer eindeutig sein, zb generiert aus einem teil der IP und des UserAgent oder so.
Dann müsste man aber drauf achten die Session mit zu übertragen.
Dadurch wäre der Benutzer genötigt, vorher wirklich auf der Seite gewesen zu sein.

Soweit meine überlegungen. Allerdings weiß ich auch nicht, wie fortgeschritten diese Bots schon sind.
Ich werde es mal ausprobieren bei einem Gästebuch und einem Formmailer, wo der Spam recht hoch ist. Durch ein vergleich der URLs konnte ich dort schon 20.000 Spams abfangen (auf einem Zeitraum von ca 3 Monaten). Werd ich mal vergleichen.

Problem ist hierbei wieder natürlich, die Bots können sich anpassen, je lukrativer die ganze Sache wird (viele Leute nutzen die selbe Variante)

MfG

Ich hab meine Formulare in letzter Zeit immer mehr in Richtung Filterung verändert. Kommen Anzeichen von Missbrauch durch ungültige Eingabedaten (Zeilenumbrüche in E-Mail-Adressen, „MIME-Version: 1.0“ im Namen) oder Spam-Anzeichen (zu viele „http“ oder HTML-Links) vor, wird die Eingabe abgelehnt. Jetzt werd ich auch noch die zuletzt eingegebenen Daten vergleichen. Es kam bei mir mehrfach vor, dass 50-100 mal das selbe eingetragen wurde. Nach 2-3 mal sollte aber Schluss sein. Das spart mir auch beim Aufräumen Arbeit.

Deine Lösung, Zufallswerte zu übertragen, finde ich aber auch nicht schlecht.

Leider hab ich keine Statistiken, wie gut mein Filter arbeitet. Aber einmal hab ich ihn kaputtrepariert, sodass er alles durchgelassen hat, und dann kamen in einer Nacht ca. 20 oder 30 Spam-Beiträge an. Scheinbar werden einmal befallene Formulare auch nicht wieder in Ruhe gelassen, selbst bei >99% Filterquote, und 100% nach wenigen Stunden.

Jo wenn sie einmal drin sind dann sind sie drin.
Ich habe mir mal etwas gebastelt, um zentral Spam zu bekämpfen. Dazu wird der "Beitrag" vorher an einen Server übertragen und geschaut ob es ihn so schon gibt oder ob es Filterwörter gibt, z.B. URLs.
Automatisch werden von der Software halt diese Filter erstellt, damit konnt ich schon einige abfangen, in den letzten 3 Monaten über 20.000! Leider hab ich keinen Wert wieviele durchgingen.
Hab das übrigends gestern mal eingebaut und bis jetzt kam noch kein Spam. Mal abwarten.