mmofacts.com

Bots benutzen neue Software !

gepostet vor 13 Jahre, 10 Monate von Krushnak
Vor einigen Tagen habe ich in meinem Forum ohne Ende Spampost erhalten. Sie waren quer Beet in alle Bereiche verstreut. Trotz meine Registrierungspflicht und Sicherheits Zahlenfolge. Habt ihr auch das Problem ? Wie könnt ihr euch schützen ? Lg Krushnak
gepostet vor 13 Jahre, 10 Monate von darwolia

"Sicherheitszahlenfolgen" - also Captchas sind doch eh bullshit.

Ganz abgesehen von der Problematik, dass mithilfe der Seh- und Erkennungsfähigkeit "echte Menschen" erkannt werden sollen, wodrüber sich jeder mit Seheinschränkungen oder sogar Blindheit freut, sind standard-captchas für Bots eh kein Hindernis. Solche Sicherheitsabfragen sollte man lieber selber basteln oder weglassen. "Kreuze die Checkbox mit der Nummer X an", "Wenn Peter ein TIER1 und ein TIER2 kauft und danach das TIERX verkauft, hat er dann noch ein TIER1 oder ein TIER2?" etc pp ist wesentlich sinnvoller :)

gepostet vor 13 Jahre, 10 Monate von BlackScorp

Original von darwolia

"Sicherheitszahlenfolgen" - also Captchas sind doch eh bullshit.

Ganz abgesehen von der Problematik, dass mithilfe der Seh- und Erkennungsfähigkeit "echte Menschen" erkannt werden sollen, wodrüber sich jeder mit Seheinschränkungen oder sogar Blindheit freut, sind standard-captchas für Bots eh kein Hindernis. Solche Sicherheitsabfragen sollte man lieber selber basteln oder weglassen. "Kreuze die Checkbox mit der Nummer X an", "Wenn Peter ein TIER1 und ein TIER2 kauft und danach das TIERX verkauft, hat er dann noch ein TIER1 oder ein TIER2?" etc pp ist wesentlich sinnvoller :)

da hat man aber das Problem , dass man von einem user eine gewisse intelligenz erwartet. ein Dau würde ja sagen:"Was ist Checkbox?" :D oder beim 2en würden user mit schlechter logik garnicht zu recht kommen. da kannst du gleich abgragen:

Wenn zug A von Berlin um 9:30 los fährt mit einer durschnittsgeschwindigkeit von 120 km/h und Zug B von München um 9:20 mit einer durchschnittsgeschwindigkeit von 150km/h losfährt , um wieviel uhr würde es ein crash geben:D

bei phpbb forum gibt es da einen Botschutz der registrierungen von bestimmten IP block, diese IPs sind in so einer Botliste gespeichert.

hier ist auch ein schönes beispiel gegen botschutz

http://reinerstileset.4players.de/forum2/ucp.php?mode=register

gepostet vor 13 Jahre, 10 Monate von splasch

Deswegen sollte man zu gänze auf Captcha verzichten. Einer macht was vor und alle anderen machen den wahn nach. Es gibt soviele efecktive wege Spambot auszuschließen die oft viel efecktiver sind als die Captcha methode.

Warum also die User ägern wenn es auch ohne Captcha geht und dazu meisten noch viel sicherer. Statistiken beweisen das 90% aller Captcha unsicher sind und leicht für den Bot überwunden werden können. Es ist nur schwer für den Menschen diese Captcha zu lösen. Trozdem werden sie immer wieder verwendet.

Und dann wundert ihr euch warum alles voll gespamt wird. Am sicherhersten sind immer schon eigen kreationen gewesen die noch keiner kennt. Den alles was bekannt ist es ein leichtes dafür einen Bot zu schreiben der genau diese sachen dann ausnütz.

Mfg.

gepostet vor 13 Jahre, 10 Monate von tector

Original von darwolia

"Sicherheitszahlenfolgen" - also Captchas sind doch eh bullshit. 

Original von splasch

Am sicherhersten sind immer schon eigen kreationen gewesen die noch keiner kennt. Den alles was bekannt ist es ein leichtes dafür einen Bot zu schreiben der genau diese sachen dann ausnütz.

Bin da ganz anderer Meinung. Ich finde Captchas haben durchaus ihre Daseinsberechtigung und halten Bots ab. Dass es natürlich so ausgeklügelte Bots gibt die das überwinden ist wieder ein anderes Thema.. (Eigentlich genau das Thema um das es dem Threadersteller hier geht)

Und eigene Lösungen sind ganz sicher nicht "am sichersten" - lol  (zumindest nicht wenn du kein Genie bist ^^)

Original von BlackScorp

hier ist auch ein schönes beispiel gegen botschutz

http://reinerstileset.4players.de/forum2/ucp.php?mode=register

 ja schön.. aber selbst auf dieser Seite findet man noch ein Captcha um das zusätzlich abzusichern ;)

gepostet vor 13 Jahre, 10 Monate von BlackScorp

Original von tector


Original von BlackScorp


hier ist auch ein schönes beispiel gegen botschutz

http://reinerstileset.4players.de/forum2/ucp.php?mode=register

 ja schön.. aber selbst auf dieser Seite findet man noch ein Captcha um das zusätzlich abzusichern ;)

ich habe nicht behauptet dass captchas sinnlos sind, nur reichen die eben nicht aus und müssen durch andere methoden erweitert werden

gepostet vor 13 Jahre, 10 Monate von darwolia

Und eigene Lösungen sind ganz sicher nicht "am sichersten" - lol  (zumindest nicht wenn du kein Genie bist ^^)


Da hast Du einfach das grundlegende Prinzip nicht verstanden: Eigene Lösungen sind im Normalfall sicherer, weil Bot-Scripte nicht für ein einzelnes unbedeutendes Forum entwickelt werden, sondern immer nur für die Standard-Captchas.

Und in meinem Post weiter oben habe ich rudimentäre Beispiele gebracht - und keine konkreten Vorschläge. In nem konkreten Vorschlag hätte ich nicht "Checkbox" verwendet - das ist klar.

Ich behaupt halt: Eine selbstgebaute Sicherheitsabfrage wie <<"Was ist Zahl1 + Zahl2?" (beide 0-9) und dann drei Möglichkeiten zur Auswahl - eine davon richtig>> ist sicherer als das Captchas, das mit dem Forum mitgeliefert wird. Es ist zwar wesentlich einfacher mit einem Script zu erschlagen - aber es ist sehr unwahrscheinlich, dass jemand für dieses eine Forum mit dieser individuellen Sicherheitsabfrage ein Botscript schreiben würde. Und das macht in dem Fall den Botschutz aus. Der 0815-Bot mit den Standard-Captcha-Lösungs-Algorithmen (oder in den USA eingekaufte 10000 Captcha-Lösungen durch einen menschlichen Bot) wird abgehalten.

gepostet vor 13 Jahre, 10 Monate von splasch

Original von darwolia

Und in meinem Post weiter oben habe ich rudimentäre Beispiele gebracht - und keine konkreten Vorschläge. In nem konkreten Vorschlag hätte ich nicht "Checkbox" verwendet - das ist klar.

Ich behaupt halt: Eine selbstgebaute Sicherheitsabfrage wie <<"Was ist Zahl1 + Zahl2?" (beide 0-9) und dann drei Möglichkeiten zur Auswahl - eine davon richtig>> ist sicherer als das Captchas, das mit dem Forum mitgeliefert wird. Es ist zwar wesentlich einfacher mit einem Script zu erschlagen - aber es ist sehr unwahrscheinlich, dass jemand für dieses eine Forum mit dieser individuellen Sicherheitsabfrage ein Botscript schreiben würde. Und das macht in dem Fall den Botschutz aus. Der 0815-Bot mit den Standard-Captcha-Lösungs-Algorithmen (oder in den USA eingekaufte 10000 Captcha-Lösungen durch einen menschlichen Bot) wird abgehalten

Dein Beispiel ist genau so ein fall für eine Eigenkreation nur das in dem Fall die Eigenkreation bekannt ist. Daher schnell angepasst werden kann wenn es erwünscht ist. Bei User Freundlichen Methoden wo die Eigenkreation nicht gleich bekannt ist. Wird es schwieriger dafür einen Bot zu schreiben ohne zu wissen wie es funktioniert. Daher muß erst mal die Methode ausgeforscht werden um darauf passend einen Bot zu entwickeln.

Daher ist es auch sicher weil sich keiner das antut für jede Methode einen eigenen Bot zu schreiben oft versuchen diese viele Methoden. Je einfalsreicher die Methode ist um so höher die Chance das der Bot nicht durchkommt.

Daher ist es absolut nicht notwendig den User mit irgendwelchen nervigen eingaben zu nerven. Der gleiche und oft bessere Schutz kann mit User - Freundlichen Methoden genauso erreicht werden.

Und das betrifft nicht nur das Forum. Dafür gibst viele Anwendungsgebiete. Gästebuch, Blog , unsw.

gepostet vor 13 Jahre, 10 Monate von BlackScorp

was ist eigentlich mit dem Bildschutz und "Klinck in den offenen Kreis" captcha? war das sicher? weil irgendwie hat das Plötzlich kaum einer und bei den meisten muss man wörter eintippen..

gepostet vor 13 Jahre, 10 Monate von splasch

Original von BlackScorp

was ist eigentlich mit dem Bildschutz und "Klinck in den offenen Kreis" captcha? war das sicher? weil irgendwie hat das Plötzlich kaum einer und bei den meisten muss man wörter eintippen..

Das klicken in irgendeinen Bereich ist für die Bots genauso leicht festzustellen. Oft braucht man nur den Quellcode lesen. Genauso das mit den 3 Auswahlmöglichkeiten hier kommt man auch schon mit zufall durch Chance 1 zu 3.  Wenn die über 1000 Anfragen senden könnt ihr euch vorstellen wie oft er bei einer 1 zu 3 Chance durchkommt. Am schwersten tun sich die Bots eben mit fragen die sie net verstehen können.

Bei Wörter kommt das weitere Problem auf das fremdsprachig Nutzer damit auch ihre schwierigkeit haben. Rechen Beispiele kann ein Bot genauso einfach lösen. Fragen was man in gewiesen bereichen auf den Bilder sieht sind sachen wo auch der Mensch Probleme hat das richtige Wort zu finden. Da es in der Sprache oft auch sehr viele verschiedene Wörter gibt für ein und die selbe sache. Daher werden meisten sehr einfache Wörter verwendet die der Bot allerdings dann auch aus dem Wörterbuch herauszaubern kann.

Wobei wir wieder dann dort sind wo wir vorher waren das eben solche Eingabe sachen keines falls besser sind als andere Methoden die keine extra eingaben erfordern.

Ziel ist es zu erkennen ob nun ein Programm versucht sich anzumelden oder ein Mensch. Die nächste Frage ist eben dann was unterscheidet die 2 von einander.

Und da versuchen sie eben mit den verschiedensten Methoden dagen einzugreifen.

gepostet vor 13 Jahre, 10 Monate von BlackScorp

Original von splasch


Das klicken in irgendeinen Bereich ist für die Bots genauso leicht festzustellen. Oft braucht man nur den Quellcode lesen.


biste dir da sicher? soweit ich weis, wird ein bild generiert und ein clickbereich auf dem server gespeichert, danach werden mauspositionen an den server geschickt und der validiert das ganze.. hm.. ohne JS würde es aber nicht laufen.. ka

gepostet vor 13 Jahre, 10 Monate von d3nn1s

Original von BlackScorp

Original von splasch


Das klicken in irgendeinen Bereich ist für die Bots genauso leicht festzustellen. Oft braucht man nur den Quellcode lesen.


biste dir da sicher? soweit ich weis, wird ein bild generiert und ein clickbereich auf dem server gespeichert, danach werden mauspositionen an den server geschickt und der validiert das ganze.. hm.. ohne JS würde es aber nicht laufen.. ka

Wieso nicht? Das kann man doch komplett mit PHP lösen? Ein Bild erstellen mit PHP ist kein großer Akt und wenn du input type=image verwendest, bekommst du doch in PHP die Mousepositionen mitgeliefert, oder bin ich da jetzt voll auf dem Holzweg?!? Ich seh da keine Notwendigkeit von Javascript.

gepostet vor 13 Jahre, 10 Monate von splasch

Php wird am Server ausgeführt so ist es net möglich über den Clienten informationen zu schicken. Die Informationen müssen schon von Clienten selbst gesendet werden. Und diese Informationen können dann nur über Clientseitige sprachen gesendet werden. Javascript kommt hier nicht in Frage weil die Webseiten mit ausgeschalteten Javascript ja genauso funktionieren sollen. 

Weiters schalten Bots meisten immer javascript aus so lassen sich viele Captcher ganz leicht überwinden.

Nun arbeiten einige mit Map Area dadurch läst sich genau der Klick bereich definieren. Ist aber auch im Quellcode ersichtlich so das diese Informationen leicht ausgewertet werden können.

gepostet vor 13 Jahre, 10 Monate von darwolia

Original von splasch

Php wird am Server ausgeführt so ist es net möglich über den Clienten informationen zu schicken. Die Informationen müssen schon von Clienten selbst gesendet werden. Und diese Informationen können dann nur über Clientseitige sprachen gesendet werden. Javascript kommt hier nicht in Frage weil die Webseiten mit ausgeschalteten Javascript ja genauso funktionieren sollen.

Weiters schalten Bots meisten immer javascript aus so lassen sich viele Captcher ganz leicht überwinden.

Nun arbeiten einige mit Map Area dadurch läst sich genau der Klick bereich definieren. Ist aber auch im Quellcode ersichtlich so das diese Informationen leicht ausgewertet werden können.

 d3nn1s hat da doch schon recht: Du kannst ein Bild als Formular-Feld definieren (type=image). Wenn der User auf das Bild klickt, werden per POST oder GET die Klick-koordinaten auf dem Bild mit übertragen. Da ist dann keine Logik Client-seitig in Form von Javascript oder sonstigem Kram nötig. Ich benutz das auch in meinem Spiel - User sollen in einem See angeln können. Auf dem Server ist hinterlegt, in welchem Bereich des Sees was angelbar ist. User klickt aufs Bild, ich werte im php die Klickposition aus und gebe entsprechend ein Angel-Ergebnis raus. völlig ohne Javascript, nur mit unterschiedlichen POST-Namen je nach Browser.

gepostet vor 13 Jahre, 10 Monate von splasch

Gut das ist eine Html lösung wird also von der Client Seite gesendet per Get oder Post.

Infos unter: http://www.mediaevent.de/xhtml/input.html

Ein Tutorial zur Spam vermeidung findet man unter:

http://www.source-center.de/forum/showthread.php?25724-Spam-kontrolle&langid=2

Dort werden auch einige Punkte beschrieben wodurch man einen Mensch und einen Bot unterscheiden kann. Je mehr level Stufen man hat um so sicherer wird das ganze denk ich.

Da so ein Captcha Bild auch net sehr groß ist sind die Chancen relative hoch das der Bot per zufall die richtige stelle sendet. Da oft die Richtigen stellen 1/3 bis zu 1/4 des Bildes in anspruch nehmen. Chance liegt hier bei 1 zu 3 bzw 1 zu 4

gepostet vor 13 Jahre, 10 Monate von Miphois

Also das schreiben eines eigenen Captcha ist gar nicht so schwer. Da ich aber von den verzehrten Texten nichts halte und da oft selber daran scheitere, (Z.B. brauchte ich 5 Anläufe für nen Google Mail Account. :D ) habe ich einfach die Idee hier bei GN aufgegriffen und erweitert.

Damit man die Kreise aber nicht analysieren kann ist wirklich jeder Farbpunkt bei mir einzigartig in seiner Farbe. Das macht es einem Script sehr schwer ein Muster zu erkennen. Da aber die Farben fürs das Auge dennoch sehr ähnlich sind, kann man es Optisch trotzdem gut erkennen.

Der einzige Nachteil ist, theoretisch kann man mit genügend Anläufen nach ca. 20 Versuchen trotzdem einen Glückstreffer landen. Daher müssen Accounts immer noch per Mail aktiviert werden.

gepostet vor 13 Jahre, 10 Monate von splasch

Eine Farbe kann der Bot genau so leicht erkennen und auswerten. Da braucht er gar keinen Zufalls Treffer.

gepostet vor 13 Jahre, 10 Monate von Miphois

klar kann man das, aber der Aufwand wird immer grösser. Kreiserkennung mit nur einer Farbe ist schon schwer genug, wenn du aber noch eine Ähnlichkeitsformel der Farben brauchst wirds schon viel schwerer und aufwändiger. Nur wer soll sich das antun nur für MEINE Seite? :D

ich würde jedenfalls kein Standard Captcha einsetzen.

gepostet vor 13 Jahre, 10 Monate von TheUndeadable

> wenn du aber noch eine Ähnlichkeitsformel der Farben brauchst wirds schon viel schwerer und aufwändiger.

diff = (r1-r2)² + (g1-g2)² + (b1-b2)²

gepostet vor 13 Jahre, 1 Monat von Maulwurf

Ahh. In den Archiven stöbern zahlt sich also aus. Die IP-Sperre reicht nicht (mehr). Die Bots arbeiten mit wechselnder IP. Die Registrierungen werden nicht freigeschaltet und dann immer wieder en block gelöscht. Das hilft, Spam gelingt ihnen nicht. Aber Zeit ist was wert. Man muss ja außer tillen auch ständig schauen und die lebenden User freischalten. Dann lieber mal hinsetzen und was lustiges bauen. Habt Dank für den Thread.

gepostet vor 13 Jahre, 1 Monat von sukchart

Auf IPs darf man sich in Zeiten mobiler Anbieter die IP Adressen durchgehend an andere User vergeben überhaupt nicht mehr verlassen.

Quote von "Innovative ways of simplifying signups and logins":

"If you get a lot of spam, then putting a CAPTCHA on your form may be necessary. What’s not necessary is making the CAPTCHA an obstacle that turns users away. Traditional CAPTCHAs that ask users to retype distorted letters have been proven to hurt conversion rates. With the extra hassle they force on users, it’s no wonder."

Kann ich nur mal raten im ganzen zu lesen, da sind denkansätze drin die Bots raus halten ohne dass der User was extra tun muss. Ebenso im Artikel verlinkt sind Seite mit Auswertungen über den negativen Impact von Captchas.

Auf diese Diskussion antworten