Brainstorming - Alternativen zur Image Verification

Hallo,
ich lese schon seit längerer Zeit in der Boardunity mit und habe mich erst seit kurzem angemeldet.

Denkt ihr, der KittenAuth Test stellt eine Alternative dar?
Für die, die von ihm noch nicht gehört haben:
Aus (meist neun) Tierfotos muss der User drei Katzen (/Füchse/Bären/...) auswählen

Tierfotos sind normalerweise leichter zu erkennen als die meisten TextCaptchas.

Aber bei welchen Lösungen würden Sehbehinderte Menschen nicht ausgeschlossen werden?

Stellt man einfache Fragen, können Legastheniker scheitern, deren Anteil afaik höher ist als der der Sehbehinderten.

Das mit den Textbrowsern ist natürlich eine deutlichere Einschränkung, da auch Screenreader keine Bilder wiedergeben können. Allerdings ist auch dieses Problem bei den meisten Captchas zu finden.

Also ehrlich gesagt, finde ich die KittenAuth keine Lösung. Denn mit 9 Bildern gibt es (wenn ich 3 Bilder auswählen müsste) 504 Möglichkeiten, die korrekten Bilder zu wählen. Bei Text-Captchas habe ich (10 Zahlen + 2*26 Buchstaben) bei der Länge 4 insgesamt 14.776.336 Kombinationsmöglichkeiten (62^4). Ich denke deshalb, dass es für Spambots völlig ausreichend ist, per Zufall in diesen Fällen zu raten. Man dürfte dann oft genug durchkommen. Das gleiche Problem haben Intelligenzfragen (eine Frage und 4 vorgegebene Antworten,...). KittenAuth ist entsprechend natürlich besser geeignet als Intelligenzfragen, was den Schutz angeht. Aber Sie benötigen unnötig viel Platz und haben auch genannte Nachteile.

Wurstbrot

kittenauth.com geht leider nicht mehr. Hat jemand nen Mirror?

hehehe wie geile idee

Captcha Mashup

(n/t: Zitat + ein Smiley reicht dem vB nicht)

Kennt noch wer das "Magische Auge"? Auf's Bild schielen und man erkennt den Code. Das wäre doch eine tolle Idee, das ganze noch unleserlicher zu machen. "Nett" ist in dieser Hinsicht auch das angehängte Captcha.

Ich hasse Captchas

Miniaturansicht angehängter Grafiken

 

Das hier scheint bei Dr. Web ganz gut zu laufen:

» Spam Schutz und Rechenaufgaben - Dr. Web Weblog

Naja DAS würd ich nicht behaupten. Ich mein ich kann auch ein eigenes CAPTCHA auf den Markt schmeissen und dann nach 2 Wochen sagen, dass sich noch kein Bot Schreiber die Mühe gemacht hat es zu knacken..

Ich weiss jetzt nicht, wieso simple Rechenaufgaben besser schützen sollten wie komplexe Mustererkennung..

Was habe ich den behauptet ?

Stellt das jemand in Frage? Wäre Linux beliebter gäbe es auch mehr Viren für Linux. Aber da es im Moment nicht so beliebt ist lebt man damit immer noch sicherer als mit Windows.

Im Fall von Dr. Web schützen sie besser als komplexe Mustererkennung. Du solltest nicht versuchen eine globale Lösung zu finden sondern eine individuelle. Das macht es den Bot's auf jeden Fall schwerer als wenn jeder das selbe benutzt.

Hört, hört! Das sind wahre Worte. Einen Bot und sein Machwerk zu produzieren lohnt sich immer nur dann, wenn es die Anzahl an potenziellen Opfern sich lohnt.

Eine individuelle Abfrage kann noch so simpel sein. Trifft man damit nur dich, lohnt sich der programmiertechnische Aufwand kaum. Es sei denn, man möchte geziehlt dir schaden. Aber die Mühe macht sich kaum jemand denke ich.

Könnte man den Bot nicht irgendwie mit Infos überfluten? In der Art, das der User nichts davon mitbekommt bzw. klar unterscheiden kann, aber der Bot mangels Intelligenz aufs Glatteis geführt wird.

Schaut Euch mal den Registrierungsprozess von Habo an.

Nein, es ist kein Hackerboard es heisst nur so.

Uh die Fragen sind aber doch recht hart find ich.. also da würd ich mir nur registrieren wenn ich absolut keine andere möglichkeit habe..

Solang Bot´s nicht rechnen können, sind simple Mathe Aufgaben sicher eine gute Alternative. Bei verschiedenen Wordpress-Nutzern bspw. funktioniert das Math Comment Spam Protection Plugin super. Eine leicht frisierte Version gibt es davon hier. Frisiert in dem Sinne, dass die Abfrage nur dann angezeigt wird, wenn man JS aus hat. Das können Bots bisher wohl auch nicht vorgaukeln.

Für das vBulletin gibt es das mittlerweile auch als Alternative für die Captchas: NoSpam! vBulletin.org

Das Rechenaufgaben-CAPTCHA kann man leider auch sehr leich knacken. Bisher hat das warscheinlich nur keiner gemacht, weil es einfach nicht weit genug verbreitet ist.

Seh ich leider genauso! Man brauch ja nur nen entsprechenden Reg Ex schreiben und schon sollte das leicht machbar sein. Und wenn es standard im vB werden sollte wird auch ein Bot dazu geschrieben!

Da brauchst du noch nicht mal 'nen RegExp, da macht man einfach nur eval('$result = '.$math.';');

Wo wir gerade so schön bei Worpress sind: Für diese Soft gibt es verschiedenen Möglichkeiten, sich vor Spam zu schützen. Würden eigentlich abgewandelt natürlich, Systeme wie Askimet oder Bad Behaviour Sinn machen?

Hab grad mal ein wenig überlegt, was es denn für alternativen gibt, ohne dass der Benutzer "Einschränkungen" hat.

(ich muss sagen, dass ich nun nicht weiß ob das hier shcon vorgeschlagen wurde, hab nun keine lust mir alles durchzulesen, und ich beziehe mich auch erstmal nur auf ein simples gästebuch, kann man sicher aber auch auf ein Forum erweitern.)

Referer und UserAgent fallen raus.

Vorraussetzung für meinen "Spamschutz" ist, dass der Benutzer vorher auf der Seite war, wo auch das Eintragformular ist.
Per Hiddenfeld wird ein Wert übertragen der Geprüft wird.
Daher eine Möglichkeit

(natürlich kann man das noch ausbauen, mit zufalls werten!)
und dann vor dem eintragen prüfen:
Erweitern könnte man das, indem man dies mit Crypt macht und den Salt in der Session überträgt.
So könnte er jedes mal anders lauten und für den Benutzer eindeutig sein, zb generiert aus einem teil der IP und des UserAgent oder so.
Dann müsste man aber drauf achten die Session mit zu übertragen.
Dadurch wäre der Benutzer genötigt, vorher wirklich auf der Seite gewesen zu sein.

Soweit meine überlegungen. Allerdings weiß ich auch nicht, wie fortgeschritten diese Bots schon sind.
Ich werde es mal ausprobieren bei einem Gästebuch und einem Formmailer, wo der Spam recht hoch ist. Durch ein vergleich der URLs konnte ich dort schon 20.000 Spams abfangen (auf einem Zeitraum von ca 3 Monaten). Werd ich mal vergleichen.

Problem ist hierbei wieder natürlich, die Bots können sich anpassen, je lukrativer die ganze Sache wird (viele Leute nutzen die selbe Variante)

MfG

Ich hab meine Formulare in letzter Zeit immer mehr in Richtung Filterung verändert. Kommen Anzeichen von Missbrauch durch ungültige Eingabedaten (Zeilenumbrüche in E-Mail-Adressen, „MIME-Version: 1.0“ im Namen) oder Spam-Anzeichen (zu viele „http“ oder HTML-Links) vor, wird die Eingabe abgelehnt. Jetzt werd ich auch noch die zuletzt eingegebenen Daten vergleichen. Es kam bei mir mehrfach vor, dass 50-100 mal das selbe eingetragen wurde. Nach 2-3 mal sollte aber Schluss sein. Das spart mir auch beim Aufräumen Arbeit.

Deine Lösung, Zufallswerte zu übertragen, finde ich aber auch nicht schlecht.

Leider hab ich keine Statistiken, wie gut mein Filter arbeitet. Aber einmal hab ich ihn kaputtrepariert, sodass er alles durchgelassen hat, und dann kamen in einer Nacht ca. 20 oder 30 Spam-Beiträge an. Scheinbar werden einmal befallene Formulare auch nicht wieder in Ruhe gelassen, selbst bei >99% Filterquote, und 100% nach wenigen Stunden.