Alternative zu Grafik-Captcha als Spamschutz

[Funky_MF]

Aus gegebenem Anlass eröffne ich mal einen neuen Thread zu diesem Thema, da es in einem andern Thread begonnen wurde, aber dort eigentlich offtopic ist.

Ich habe mir Gedanken gemacht, welche Alternativen es zur Captcha-Abfrage gibt. Beim Recherchieren bin ich auf etliche Lösungsansätze gestossen. Einen davon habe ich im Gästebuch einer bestehenden WB-Page integriert, um über einen gewissen Zeitraum das Ergebnis zu testen.

Da ich in letzter Zeit auch SPAM-Probleme hatte, obwohl ich Captcha einsetze, hab ich jetzt eine neue Variante im Test. Allerdings zunächst nur im Gästebuch, da das Problem hier akut auftritt. Es handelt sich um eine Rechenaufgabe,welche gelöst werden muß. Wen es interessiert, zu besichtigen unter:
http://www.handball-wertheim.de/modules/guestbook/gstbk_add.php?sid=7&pid=7

Die Idee dazu hab ich mir hier geholt:
http://www.drweb.de/weblog/weblog/?p=599

Dort habe ich aber auch folgenden Link gefunden, welcher noch etliche Verbesserungsmöglichkeiten nennt:
http://www.oxxo.de/spam-blocking/

Die Captcha-Grafik wird hier durch eine Rechenaufgabe ersetzt, und der Besucher muß das Ergebnis in ein Feld eintragen.

Die Umsetzung im Code ist hier nachzulesen:
http://forum.websitebaker.org/index.php/topic,5849.msg37718.html#msg37718

Ebenso wäre auch die Integration im Form-Modul machbar.

Allerdings könnte man die Art diese "Mathe-Captchas" auch noch abwandeln, und evtl. noch etwas sicherer machen, z.b. in dem man die komplette Rechenaufgabe als ganzen Satz und nur mit Worten schreibt, etwa so: "Wie lautet das Ergebnis von Neun plus Eins?" oder "Wieviel ist Zehn minus Drei?"

Bitte alle weiteren Antworten zu diesem Thema jetzt HIER rein schreiben, damit der ursprüngliche Thread nicht offtopic wird.

[Guzele]

Hallo,

das Einbinden ins Gästebuch funktioniert einwandfrei, allerdings würde ich gerne die Rechenaufgabe auch beim Kommenieren im Newsmodul verwenden. Scheitere aber an den fehleneden PHP Kenntnissen, bzw. ich vermute, dass die Captcha-Funktion anders eingebunden ist als im Gästebuch. Hilfe wäre nett!

Gruß, dirk

 

[Funky_MF]

Hallo,

auf die Schnelle würd ich mal sagen, du musst in der comment_page.php die Zeilen 59-68 abändern, gemäß den Anweisungen im vorgenannten Thread, dann müsste es klappen.

[Guzele]

Hallo Funky_MF,

funktioniert einwandfrei!
Danke und Gruß, dirk

[MrRedlich]

Die Sache mit den Rechenaufgabe finde ich besser als dieser Schrott mit den verzerten Grafikbuchstaben, wo man manchmal die Zeichen selbst nicht richtig lesen kann und es sehr ärgerlich ist, das wegen eines falschen bestätigungscode den ganzen scheiß im gästebuch oder forumular neu geschrieben werden muss.

[Hans aus Berlin]

Dann ändere doch die Darstellung der Grafik in Deiner capcha.php (Stammverzeichnis: /include/). Ich mache das deshalb auch bei jedem Web.
einfachste Methode:
Zeile 42 auskommentieren:     // $gray = imagecolorallocate($image, 0xC0, 0xC0, 0xC0);  // Kritzelstriche entfernt

Zeile 56: Originalwert 3,5 entfernen hat zum Ergebnis, das alle Ziffern gleichgroß angezeigt werden
      $fnt = rand();

Hoffe es gefällt Dir so besser und wenn Du nun schon einmal probierst, dann teile uns doch die Ergebnisse Deiner Versuche mit

Gruß Hans aus Berlin

PS: Vor dem Hochladen der geänderten PHP-Datei einfach die Originale umbenennen z.B. in capcha_org.php, dann kann Dir gar nichts passieren

[Macros]

Die Sache mit den Rechenaufgabe finde ich besser als dieser Schrott mit den verzerten Grafikbuchstaben, wo man manchmal die Zeichen selbst nicht richtig lesen kann und es sehr ärgerlich ist, das wegen eines falschen bestätigungscode den ganzen scheiß im gästebuch oder forumular neu geschrieben werden muss.

Du benutzt den falschen Browser, meiner merkt sich die Inhalte wenn ich auch zurueck klicke.

Gruss

[Hans aus Berlin]

@ macros: bzw. eine falsche Konfiguration?

[Funky_MF]

und es sehr ärgerlich ist, das wegen eines falschen bestätigungscode den ganzen sch*** im gästebuch oder forumular neu geschrieben werden muss.

Dafür gibt es bereits einen Patch:
http://forum.websitebaker.org/index.php/topic,5199.msg32568.html#msg32568
Ich weiß aber im Moment selbst nicht, ob das schon in der aktuellsten Version vom Guestbook implementiert ist oder nicht.

Dann ändere doch die Darstellung der Grafik in Deiner capcha.php (Stammverzeichnis: /include/). Ich mache das deshalb auch bei jedem Web.einfachste Methode:
Zeile 42 auskommentieren:     // $gray = imagecolorallocate($image, 0xC0, 0xC0, 0xC0);  // Kritzelstriche entfernt

Zeile 56: Originalwert 3,5 entfernen hat zum Ergebnis, das alle Ziffern gleichgroß angezeigt werden
      $fnt = rand();

@Hans:
Das hat aber halt auch zu Folge, daß die Sicherheit des Captchas noch schlechter wird, d.h. Spambots können den Zifferncode noch leichter entziffern.

[Hans aus Berlin]

@ Funky_MF

Du hast natürlich Recht und wie Du selbst bereits schreibst "noch schlechter" bzw. "noch leichter" ist spätestens jetzt jedem klar, dass ein Capcha nur eine Hürde darstellen kann - nicht aber ein Garant für 100%-Sicherheit ist.

Zum Thema Capcha gibt es ja inzwischen wirklich sehr viel und z.T. brauchbare Infos im Web. Finde es super, dass Du da ran gehst! Bin jetzt schon überzeugt das wir bald wieder eine weitere brauchbare Lösung von Dir im WB erhalten werden!

Manchmal muss man sich halt entscheiden, welchen Grad an Sicherheit man mit welchem Erscheinungsbild haben möchte.

Es scheint, dass unser Standard-Capcha offensichtlich umgangen werden konnte. Ich habe diese Erfahrungen zum Glück selbst noch nicht gemacht. Wenn man großen Wert auf Sicherheit legt, wird man um eigene Anpassungen an seinen Skripten nicht drumherum kommen können. Diese sollten dann ggf. auch stets aktualisiert werden.

Mein Tipp sollte nur aufzeigen, dass man optisch (@ Meinung v. MrRedlich "als dieser Schrott mit den verzerrten Grafikbuchstaben") nicht am Standard gebunden ist - es ist selbstverständlich auch möglich das Capcha weiter in Richtung Sicherheit zu verifizieren.

Gruß Hans

[Funky_MF]

Hallo Hans,

Du hast natürlich Recht und wie Du selbst bereits schreibst "noch schlechter" bzw. "noch leichter" ist spätestens jetzt jedem klar, dass ein Capcha nur eine Hürde darstellen kann - nicht aber ein Garant für 100%-Sicherheit ist.

Deshalb auch der Link in meinem ersten Post:
http://www.oxxo.de/spam-blocking/

Finde es super, dass Du da ran gehst! Bin jetzt schon überzeugt das wir bald wieder eine weitere brauchbare Lösung von Dir im WB erhalten werden!

Danke für die Blumen - gut, daß zumindest du davon schon überzeugt bist.... 

Manchmal muss man sich halt entscheiden, welchen Grad an Sicherheit man mit welchem Erscheinungsbild haben möchte.

Bin hier voll und ganz deiner Meinung.

Es scheint, dass unser Standard-Capcha offensichtlich umgangen werden konnte. Ich habe diese Erfahrungen zum Glück selbst noch nicht gemacht.

... ich hatte diese Erfahrungen schon (leider) - deshalb habe ich mich auch mal nach neuen Lösungsansätzen umgeschaut.

Gruß
Manfred

[MrRedlich]

Die Sache mit den Rechenaufgabe finde ich besser als dieser Schrott mit den verzerten Grafikbuchstaben, wo man manchmal die Zeichen selbst nicht richtig lesen kann und es sehr ärgerlich ist, das wegen eines falschen bestätigungscode den ganzen scheiß im gästebuch oder forumular neu geschrieben werden muss.

Ich verwende Firefox und die besagten webseiten wo ich manchmal schlecht diese grafiken lesen kann sind z.B. bei der Onlinebank, bei Ebay

Du benutzt den falschen Browser, meiner merkt sich die Inhalte wenn ich auch zurueck klicke.

Gruss

[zifi]

In welcher Datei wird eigentlcih captcha im GB eingebunden und an welcher Stelle kannn ich die Logic (z.B. Überprüfng der Eingabe) ändern.
Man könnt doch z.B. die Eingabe der Buchstaben Spiegelverkehrt machen. Ist zwar nur eine Lösung solange es nicht jeder macht und die Spambots sich darauf einstellen, es wäre aber eine Idee.
Hätte da noch ein paar, die ich einfach mal gerne testen würde.
Felix

[Funky_MF]

In welcher Datei wird eigentlcih captcha im GB eingebunden und an welcher Stelle kannn ich die Logic (z.B. Überprüfng der Eingabe) ändern.

Steht in meinem ersten Beitrag, bzw. in dem darin verlinkten Thread.

Aber mal ganz unabhängig davon, hab ich hier ein sehr schönes Beispiel für eine garantiert Spambotsichere Variante gefunden:
http://rebellen-web.de/prepage/gaestebuch.php

[Funky_MF]

Meine bisherige Alternative zum Zahlen-Captcha (einfache Rechenaufgabe) wurde von einem Spambot geknackt!
Seit der Umstellung auf die Rechenaufgabe hatte ich keinen einzigen Spameintrag mehr, seit ein paar Tagen kam ich aber mit dem Löschen nicht mehr hinterher......, ich habe deshalb die bisherige Version der Rechenaufgabe nochmal überarbeitet.
Es gibt jetzt 4 Alternative Abfragen, bei dreien kommen Grundrechenarten zum Einsat, beim vierten wird eine Frage gestellt, welche mit reinem Text zu beantworten ist. Bei den Rechenaufgaben werden die Operatoren jetzt als Text dargestellt, und es werden alle vier Abfragen kombiniert per Zufallsgenerator abwechselnd angezeigt.
Zu sehen unter: www.handball-wertheim.de/pages/gaestebuch.php

Hierbei kam folgender Code zum Einsatz:  (betrifft Zeilen 145-159 in der gstbk_page.php - siehe hierzu auch: http://forum.websitebaker.org/index.php/topic,5849.msg37718.html#msg37718 )

Code:

<?php
// Captcha
if($use_captcha) {
   $_SESSION['captcha'] = '';

   /* for($i = 0; $i < 5; $i++) {
       $_SESSION['captcha'] .= rand(0,9);
    } */
    
    mt_srand((double)microtime()*100000);
    $n = mt_rand(1,4);
    switch ($n) {
    case 1:
        mt_srand((double)microtime()*1000000);
        $x = mt_rand(1,9);
        $y = mt_rand(1,9);
        $_SESSION['captcha'] = $x + $y;
        $cap = $x.' plus '.$y; 
        break; 
    case 2:
        mt_srand((double)microtime()*1000000);
        $x = mt_rand(10,20);
        $y = mt_rand(1,9);
        $_SESSION['captcha'] = $x - $y; 
        $cap = $x.' minus '.$y; 
        break;
    case 3:
        mt_srand((double)microtime()*1000000);
        $x = mt_rand(2,10);
        $y = mt_rand(2,5);
        $_SESSION['captcha'] = $x * $y; 
        $cap = $x.' mal '.$y; 
        break;
    case 4:
        $cap = 'Wie lautet der letzte Punkt im Men&uuml; dieser Website?';
        $_SESSION['captcha'] = 'Impressum';
        break;     
    } 
    
    if ($n > 3) {
?>
    <tr>
       <td><font face="Verdana" size="-1"><?php echo $GSTBKTEXT['VERIFICATION']; ?>*:</font></td>
       <td><?php echo $cap ?> <input type="text" name="captcha" maxlength="10"  style="width:80px" value="Imp..." /></td>
     </tr> 
<?php
    } else {   
?>
     <tr>
       <td><font face="Verdana" size="-1"><?php echo $GSTBKTEXT['VERIFICATION']; ?>*:</font></td>
       <td><?php echo $cap ?> = <input type="text" name="captcha" maxlength="2"  style="width:20px" />&nbsp;&nbsp;<font face="Verdana" size="-1"><?php echo $GSTBKTEXT['CAPTCHA_INFO']; ?></font></td>
      </tr> 
<?php
    }
}
?>

[doc]

Hallo,

klingt nach dem alten Spiel Jäger und Gejagter 
Ich habe auch noch gute Erfahrung mit zusätzlichen versteckten Eingabefeldern (visibility = none) gemacht. Sind diese ausgefüllt, weisst Du sicher, dass das ganze von einem Robot ausgefüllt wurde.

Auf jeden Fall danke für das Update.

Gruss Christian

[Chaploo]

Ich hatte das Rechen-Captcha ja auch verwendet und bekam prompt in den letzten Wochen plötzlich auch haufenweise Spams.

Super Arbeit! Danke!

Grüße
Jochen

[zifi]

Ich habe es momentan so gelöst http://www.the-admiriade.de/pages/gE4stebuch.php.
Mal sehen wann die Spambots das lernen. Und wenn ändere ich den Buchstaben und dann schauen wir weiter.
Bis jetzt 0 Spam

[Funky_MF]

Um dem ganzen noch einen draufzusetzen, könnte man dann bei den Rechenaufgaben die Ziffern durch Worte ersetzen (also eins, zwei, drei usw...)

Schön wäre es jetzt, wenn all diese Funktionen per Admintool auswählbar wären und man sich seine persönliche Captcha-Methode konfigurieren könnte, dann könte man z.B. bei der Textabfrage den Text frei eingeben und auswählen ob z.B. nur eine Methode odereben eine Kombination aus allen Spamschutz-Techniken Verwendung findet. (Grafik, Rechenaufgaben, Textabfrage)

Ich halte dies Methode gegenüber der IP-Banlist für besser, beim letzten Spamangriff hab ich mal die Logs gecheckt, weil ich dachte, ich könnte die IP-Adresse des Bots blocken. Bei IP-Adresse Nr. 20 innerhalb von 2 Tagen hab ichs dann aufgegeben....

[Waldschwein]

Hallo!
Also mit IP-Adressen Blocken habe ich auch schlechte Erfahrungen gemacht (zwar auf meinem Forum, aber ist ja dasselbe). Weil in der Regel, nach der 24Stunden Zwangstrennung, die ja fast jeder hat, werden die IPs häufig neu zusammengestellt. Und ich habe, als ich dann einen IP-Blocker eingebaut habe, Neuanmeldungen von unschuldigen Benutzern verhindert und sogar schon bestehende Benutzer am Anmelden gehindert.
Ich selber habe einfach eine andere Schriftart zum Captcha hinzugefügt- und siehe da, seit einem halben Jahr spamlos glücklich.  (Vorher sicher 10 pro Woche...) Aber natürlich ist das nur sinnvoll, wenn dies individuell gelöst wird. Auch Fragen dürfen nie allgemein sein (auf einem Forum wo ich bin wurde die "Sind sie ein Mensch" Frage eingebaut und die Spamrobots hat das gar nicht gejukt...) Daher fände ich individuelle Fragestellungen immer am sinnvollsten (und zudem weiß die Zielgruppe sicher darüber Bescheid *g*).
Gruß Michael

[Lonesome Walker]

@Funky_MF:

Super Sache!
Ich habe hier ja schon mal sowas ähnliches angeregt, bzgl. der "humanen" Verifizierung.

Deine Umsetzung ist sicher nicht die komfortabelste (siehe der Schrei nach dem Interface für's Admin-Interface ), jedoch denke ich, es ist die solideste Basis, die man sich wünschen kann.

Wie schon gesagt: Hut ab!

[DJKat]

Sodele...

Hab gerade Funky_MF's Version eingebaut.
Mal schauen wie lange es diesmal hält bis der 1. Spammer es geschafft hat.

Aber schon mal Thx Funky_MF 

[Luckyluke]

Ich habe auch Probleme mit Spam auf http://www.kisstory.be/cms/pages/nl/gastenboek.php (dutch site).
Und ich hab Funky_MF's Version eingebaut in meine site. De version von http://forum.websitebaker.org/index.php/topic,5849.msg37718.html#msg37718;


Lets hope!
Danke Funky_MF!!

Grüße
Luc

[chio]

Hallo,
ich bin mir ja fast sicher, dass die Capchas von irgendwelchen Idioten tatsächlich eingegeben werden - einfach Fließbandarbeit. Aber kann mich natürlich täuschen.

Was mir auffällt: Ich habe irgendwo ein kleines Gästebuch mit solchen Rechenaufgaben (nicht-WB), und dort habe ich tatsächlich keinerlei Probleme mit Spam. Ich will aber nicht wagen zu hoffen...

Sonst überall die Hölle los: Täglich bis zu 10 Spameinträge (verteilt auf etliche Sites), Capchas überall eingeschaltet. Was hilft: Moderation einschalten.

Problematischer sind die News: Da gibt es keine Moderation. Hier hab ich mir selbst was zusammengeschraubt, das mir das meiste vom Hals hält. (Ich bekomme aber trotzdem Mails, um zu sehen was sich tut)

[Waldschwein]

Hallo!

Ich hab einfach eine andere Schriftart als Captcha genommen - siehe da, ein Jahr ohne einen einzigen Spam. (Vorher warens so 5-10/Tag).

Gruß Michael