[lokari]

Hallo zusammen,

die Absicherung von Formularen gegen automatisches Ausfüllen von Bots ist ja nichts wirklich neues.

Die sogenannten Captchas sind mittlerweile ein verbreitetes und probates Mittel - sie kommen nicht ohne Grund bei sehr vielen großen Systemen zum Einsatz: Forensysteme, Google, etc.

Leider bringen Captchas teilweise unschöne Aspekte mit sich (Sortierung nach meiner persönlichen Priorität

• knackbar (http://sam.zoy.org/pwntcha/)
• schlecht lesbar
• optisch unpassend zur restlichen Site

Gerade in Communities ist z.B. die schlechte Lesbarkeit aus meiner Sicht ein absolutes Killerargument und der Grund dafür warum ich derzeit in meinem eigenen VBulletin-Forum diese Überprüfung abgeschalten hab (hatte bisher keine Probleme mit automatischen Registrierungen)

Wie man unter http://sam.zoy.org/pwntcha/ sehen kann, gibt es auch schwer knackbare Lösungen, die durchaus gut lesbar sind und die auch so aussehen als könnte man sie optisch halbwegs passabel in nahezu jedes Design integrieren.

Zum Beispiel (von oben genannter Seite kopiert)


Wie könnte ein Captcha (bzw. eine Captcha-Klasse) aussehen um den oben genannten Kriterien zu entsprechen bzw. die oben genannten Probleme nicht auftauchen zu lassen?

Meine Ideen:

• verzichtet auf die Verwendung zweideutigen Buchstaben und Zahlen (1,0,o,O,l,I,...)
• verwendet verschiedene, gut lesbare Schriftarten
• verbiegt und verzerrt Text - lesbarkeit muss erhalten bleiben
• Hinter- und Vordergrundfarbe(n) definierbar
• Größe anpassbar

Ein gutes Beispiel ist (finde ich) das abgebildete Captcha-Image auf der Startseite bei http://www.captcha.net/

Wie denkt ihr über das Thema? Bin gespannt auf Eure Meinung.

[CIX88]

Zitat:

verwendet verschiedene, gut lesbare Schriftarten

Hmmm, ich dachte eher gerade nicht.

Hab mir auch mal dazu Gedanken gemacht, bin aber dann abgestorben:
http://www.cix88.de/cix_php/php_grafik/cix_captcha.php

[lokari]

Zitat:

Hmmm, ich dachte eher gerade nicht.

zum Verständnis: Ich rede von "für Menschen gut lesbar"... das sollte dann doch so sein

[Corvin]

Aber was für Menschen gut lesbar ist, ist meistens auch für Computer gut lesbar.

[lokari]

naja, nicht unbedingt. Siehe obiges Image als Beispiel in Verbindung mit den Informationen hier:
http://sam.zoy.org/pwntcha/

[_root]

mit 100% why?

[Corvin]

@lokari:
Stimmt... wieder was gelernt

[lokari]

Zitat:

mit 100% why?

vermutlich weil's zu 100% geknackt wurde? steht doch daneben - einfach lesen.

[_root]

Zitat:

Zitat von lokari

Zitat:

vermutlich weil's zu 100% geknackt wurde? steht doch daneben - einfach lesen.

ach stimmt, habs nur so überflogen

Ich finde den Einsatz in sofern überflüßig da ich Userdaten nur bei Gewinnspielen der Kunden brauche, diese aber sowieso nur daran interessiert sind, Kontakt-Daten potenzieller Kunden zu bekommen.

Ansonsten erschließt sich für mich der Sinn automatischer Anmeldungen nicht.
Natürlich kann das jemand aus Jux und Tollerei machen, ist mir aber bisher bei noch keinem Projekt untergekommen.

Spätestens wenns doch mal vorkommt muss ich mir dann wohl auch mal Gedanken machen, wobei ich die Frage nach dem Aussehen schon wichtig finde. Die Grafiken sind einfach häßlich und passen garnicht ins Layout.
Schwer zu lösen sind sie oft auch.

Eine bessere Idee ist mir allerdings auch noch nicht gekommen, denn Rätsel oder Fotos müssen auch erstmal erstellt werden, können also nur schwer generiert werden.

Habe übrigens das 1. Captcha heute bei der Anmeldung in diesem Forum nicht lösen können.

[bob]

Zitat:

Ansonsten erschließt sich für mich der Sinn automatischer Anmeldungen nicht.
Natürlich kann das jemand aus Jux und Tollerei machen, ist mir aber bisher bei noch keinem Projekt untergekommen.

Ich kann mich noch daran erinnern als bei php.de 5 seiten an accounts angelegt wurden (immer ein md5 hash oder sowas).
Und in 99% der Fälle hatte ich persönlich noch nie das "Pech" das ich das Captcha nicht lesen konnte.

Gruss,
bob

[_root]

Zitat:

Zitat von bob

Und in 99% der Fälle hatte ich persönlich noch nie das "Pech" das ich das Captcha nicht lesen konnte.

Gruss,
bob

Registriere dich mal bei Google für GMail Konten
Ich wäre beinahe verzweifelt brauchte 4-5 versuche. (Dauerte so lange bis keine o,O,0 enthalten waren dann wars kein Problem)

Sehe gerade das die Google Chapchas wieder einfacher sind:
https://www.google.com/accounts/Capt...il=&c style=0
https://www.google.com/accounts/Capt...mail=&cstyle=0
https://www.google.com/accounts/Capt...mail=&cstyle=0
https://www.google.com/accounts/Capt...mail=&cstyle=0

Unterstell mir keine Blödheit, manche Captchas sind nunmal nicht leicht lesbar.

Und wenn immer ein md5hash angelegt wurde löscht der Admin sie einmalig und gut ist.

[bob]

Zitat:

Unterstell mir keine Blödheit

Mach ich nicht.

Zitat:

manche Captchas sind nunmal nicht leicht lesbar.

Mag sein ... aber ist mir persönlcih noch nicht vorgekommen.

Zitat:

Und wenn immer ein md5hash angelegt wurde löscht der Admin sie einmalig und gut ist.

Das waren natürlich verschiedene hashes ....


Gruss,
bob

Ein md5hash ist 32 Zeichen lang, sehr schwer zu finden...

Ansonsten erschließt sich für mich der Sinn automatischer Anmeldungen nicht.

Naja, ich kann mir zB bei Yahoo! schnell und automatisch eMail Konten anlegen und damit SPAM versenden. Bis die da draufkommen habe ich schon tausende von mails versendet. Das Captcha hindert mich aber daran.

[_root]

Zitat:

Zitat von Fat Tony

Ansonsten erschließt sich für mich der Sinn automatischer Anmeldungen nicht.

Naja, ich kann mir zB bei Yahoo! schnell und automatisch eMail Konten anlegen und damit SPAM versenden. Bis die da draufkommen habe ich schon tausende von mails versendet. Das Captcha hindert mich aber daran.

Das Captcha hindert mich aber nicht daran.
Es ist lediglich eine weitere Hürde, kürzlich habe ich sogar schon ein mit flashanimiertes Captcha auf einer Koreanischen Seite gesehen, da war es schlichtweg so das die Bilder kein Problem darstellten.
Da aber nach dieser änderung das Problem immer noch bestand wurde klar das sie sich direkt in die DB eintrugen und nicht via reg formular. Die Seite musste vor ca. 1 1/2 monaten dann geschlossen werden(Hatte aber auch andere Gründe).