[HaBo]

odigo · 29.01.07, 01:17

Hallo zusammen,

ich bin des Öfteren auch in einem anderem Forum unterwegs. Dabei ist mir jetzt schön öfters aufgefallen, daß immer wieder Bots Spam in dem Forum platzieren. Ich gehe mal davon aus daß das Bots sind, weil ich mir nicht vorstellen kann, daß sich jemand die Mühe macht und das manuell einträgt.
Was ich mir nicht zusammenreimen kann ist, wie es die Bots schaffen sich automatisch zu registrieren.
So sieht daß Registrierungsformular aus:

Und so ist das Bild mit den Zahlen und Buchstaben eingebunden:

Code:

<img src="profile.php?mode=confirm&amp;id=5747e48493bd37d483fc4f2b06f1adf7" alt="" title="" />

Gibt es denn schone eine Bilderkennungssoftware die automatisch diesen Text entschlüsseln kann oder kann man vielleicht aus der id des Bildes auf den Code schließen?
Mir ist das echt Rätselhaft.
Weiß dazu jemand was?

Gruß odigo

**bitmuncher** · 29.01.07, 01:38

Es gibt bereits diverse Tools und Algorithmen um Captchas zu lesen. Siehe z.B. http://sam.zoy.org/pwntcha/ um nur mal ein Beispiel zu nennen. Momentan sind animierte Captchas noch eine recht gute Lösung, aber ewig wird das auch nicht halten.

Anzeige

- Anzeige -

nifelan · 29.01.07, 01:43

Also gerade das gezeigte Beispiel müsste relativ leicht mittels Bilderkennung lösen können.

Vielleicht würden Semantische Fragen bei Registrierungsformularen helfen.
Z.b sowas wie "Apfel Birne Orange - Nehmen sie das zweite Wort und schreiben sie es rückwärts"

LX · 29.01.07, 01:49

Ein Blick ins Log des Webservers bringt vielleicht auch Aufschluss. Möglicherweise gibt es eine Lücke in der Registrierungsroutine, mit der das CAPTCHA umgangen werden kann.

Eine weitere Möglichkeit ist auch, die Dinger von Menschen lösen zu lassen. Das macht keiner freiwillig, aber möglicherweise ja doch, wenn es nicht wissentlich passiert. Zum Beispiel könnten die CAPTCHAs von deinem Forum auf einer anderen Seite eingebunden werden, wo Leute dann in dem Glauben, sich für diese Seite zu registrieren, die CAPTCHAs deines Forums lösen und damit über Umwege dem Seitenbetreiber einen weiteren Account zum Spammen generieren... das ist zwar recht kompliziert und unwahrscheinlich, aber nicht ganz auszuschließen.

29.01.07, 07:25

Zitat:

Eine weitere Möglichkeit ist auch, die Dinger von Menschen lösen zu lassen. Das macht keiner freiwillig, aber möglicherweise ja doch, wenn es nicht wissentlich passiert. Zum Beispiel könnten die CAPTCHAs von deinem Forum auf einer anderen Seite eingebunden werden, wo Leute dann in dem Glauben, sich für diese Seite zu registrieren, die CAPTCHAs deines Forums lösen und damit über Umwege dem Seitenbetreiber einen weiteren Account zum Spammen generieren... das ist zwar recht kompliziert und unwahrscheinlich, aber nicht ganz auszuschließen.

Ich glaube auch eher dass ¨¨¨v

Zitat:

Also gerade das gezeigte Beispiel müsste relativ leicht mittels Bilderkennung lösen können.

Ja. z.B. mit Abyy FineReader. Der ist auch in der Lage weitaus schwierigere zu entziffern, wie z.B. die CAPTCHAs von RS

mfg
IsNull

**Elderan** · 29.01.07, 16:13

Hallo,
auf der Seite von bitmuncher findet man deinen Captcha:
97% Erfolgsrate

Zitat:

Weaknesses: constant font, no rotation, no deformation, constant colours, weak perturbation.

Was aber gegen Bots hilft:
Unsichtbare Felder einfügen, die nicht ausgefüllt werden dürfen. Ein Mensch füllt da kein Text ein, weil er ja das Feld nicht sieht, ein Bot sendet aber u.U. einen Inhalt mit für das Feld. Vorallem wenn es so Standard-Namen hat wie "Homepage", "Url", "Email", "Message" o.ä.
Einfach in der Beitrag erstellen Seite ein paar unsichtbare Felder (CSS: display:none

einfügen, und im PHP Script die Annahme des Posts verweigern, sobald eins der Felder ausgefüllt ist. Dies hält bei mir die Spamflut sehr in Grenzen (unter 5%), obwohl kein Captcha o.ä. vorhanden ist (obwohl Bots täglich vorbei schauen).

odigo · 29.01.07, 16:31

Es ging da jetzt nicht um ein Forum das ich betreibe.
Ich habe dem Administrator diesen Link geschickt was ja auch eine einfache Möglichkeit wäre Spambots auszuschließen. Man muss im Prinzip nur das "Standardprozedere" in dem Fall von phpBB ändern und schon haben die Bots keine Chance mehr. Der Admin hat mir aber nur geantwortet, daß er zur Zeit nichts am Code ändern will, weil eh ein Update von phpBB2 auf phpBB3 ansteht. Er hofft daß es dadurch auch besser wird mit den Spambots. Ich glaube das ehrlich gesagt nicht, aber man kann ja niemanden zu seinem Glück zwingen. Er löscht anscheinend lieber jede Menge Spam anstatt eine kleine nicht zeitaufwendige Änderung vorzunehmen

Gruß odigo

Burntime · 29.01.07, 16:45

Zitat:

Original von odigo
Er löscht anscheinend lieber jede Menge Spam anstatt eine kleine nicht zeitaufwendige Änderung vorzunehmen

Wenn sie so einfach ist dann kannste die doch coden und nen mod für phpbb draus machen. Wollte ich auch schon machen aber irgendwie nicht zu gekommen...

Was währe den die beste methode? Kleine rechenaufgaben würden ja schon reichen? Die bots sind ja für die standart installation gedacht und würden ja bestimmt nicht für ne kleine menge an boards wo es nicht geht umgeschrieben werden.

EDIT: hoppala den link zur phpbb.de diskussion übersehn

30.01.07, 10:02

Ein link von einer mailingliste bzlg. captchas

http://www.cip.physik.uni-muenchen.d.../misc/captcha/

odigo · 02.02.07, 01:07

Ich hab mir jetzt mal testweise die Beta5 vom neuen phpBB3-Board installiert um mir mal das Captcha da anzuschauen. So schaut es aus:

Ich kenn mich zwar im Bereich von OCR/Bilderkennung überhaupt nicht aus, aber irgendwie schaut das für den momentanen Stand der Technik recht sicher aus.
Ich habe auch mal diesem Sam aus bitmuncher's Link die Frage gestellt was er davon hält, mal schauen ob er antwortet

Gruß odigo

02.02.07, 07:52

Sieht nicht gerade sicher aus

mfg
IsNull

Anzeige

- Anzeige -

29.01.07, 01:17	#1 (permalink)
odigo Senior Member Registriert seit: 25.12.04 Likes: 54	Bots umgehen Sicherheitscode Anzeige Hallo zusammen, ich bin des Öfteren auch in einem anderem Forum unterwegs. Dabei ist mir jetzt schön öfters aufgefallen, daß immer wieder Bots Spam in dem Forum platzieren. Ich gehe mal davon aus daß das Bots sind, weil ich mir nicht vorstellen kann, daß sich jemand die Mühe macht und das manuell einträgt. Was ich mir nicht zusammenreimen kann ist, wie es die Bots schaffen sich automatisch zu registrieren. So sieht daß Registrierungsformular aus: Und so ist das Bild mit den Zahlen und Buchstaben eingebunden: Code: <img src="profile.php?mode=confirm&id=5747e48493bd37d483fc4f2b06f1adf7" alt="" title="" /> Gibt es denn schone eine Bilderkennungssoftware die automatisch diesen Text entschlüsseln kann oder kann man vielleicht aus der id des Bildes auf den Code schließen? Mir ist das echt Rätselhaft. Weiß dazu jemand was? Gruß odigo __________________ [HaBo] @ Facebook - Gefällt mir!

29.01.07, 01:38	#2 (permalink)
bitmuncher Moderator Registriert seit: 30.09.06 Likes: 443	Es gibt bereits diverse Tools und Algorithmen um Captchas zu lesen. Siehe z.B. http://sam.zoy.org/pwntcha/ um nur mal ein Beispiel zu nennen. Momentan sind animierte Captchas noch eine recht gute Lösung, aber ewig wird das auch nicht halten. __________________ Mein Blog - Mein Job - Diaspora Der Ring uns zu knechten besteht aus 12 Sternen auf blauem Grund. Neue Beiträge im Habo via Twitter - Das HaBo auf FB - Das HaBo bei G+

29.01.07, 01:49	#4 (permalink)
LX Moderator Registriert seit: 14.02.06 Likes: 21	Ein Blick ins Log des Webservers bringt vielleicht auch Aufschluss. Möglicherweise gibt es eine Lücke in der Registrierungsroutine, mit der das CAPTCHA umgangen werden kann. Eine weitere Möglichkeit ist auch, die Dinger von Menschen lösen zu lassen. Das macht keiner freiwillig, aber möglicherweise ja doch, wenn es nicht wissentlich passiert. Zum Beispiel könnten die CAPTCHAs von deinem Forum auf einer anderen Seite eingebunden werden, wo Leute dann in dem Glauben, sich für diese Seite zu registrieren, die CAPTCHAs deines Forums lösen und damit über Umwege dem Seitenbetreiber einen weiteren Account zum Spammen generieren... das ist zwar recht kompliziert und unwahrscheinlich, aber nicht ganz auszuschließen. __________________ "Ever tried. Ever failed. No matter. Try again. Fail again. Fail better." - Samuel Beckett JS BB LX UP

29.01.07, 16:31	#7 (permalink)
odigo Senior Member Themenstarter Registriert seit: 25.12.04 Likes: 54	Es ging da jetzt nicht um ein Forum das ich betreibe. Ich habe dem Administrator diesen Link geschickt was ja auch eine einfache Möglichkeit wäre Spambots auszuschließen. Man muss im Prinzip nur das "Standardprozedere" in dem Fall von phpBB ändern und schon haben die Bots keine Chance mehr. Der Admin hat mir aber nur geantwortet, daß er zur Zeit nichts am Code ändern will, weil eh ein Update von phpBB2 auf phpBB3 ansteht. Er hofft daß es dadurch auch besser wird mit den Spambots. Ich glaube das ehrlich gesagt nicht, aber man kann ja niemanden zu seinem Glück zwingen. Er löscht anscheinend lieber jede Menge Spam anstatt eine kleine nicht zeitaufwendige Änderung vorzunehmen Gruß odigo __________________ [HaBo] @ Facebook - Gefällt mir!

02.02.07, 01:07	#10 (permalink)
odigo Senior Member Themenstarter Registriert seit: 25.12.04 Likes: 54	Ich hab mir jetzt mal testweise die Beta5 vom neuen phpBB3-Board installiert um mir mal das Captcha da anzuschauen. So schaut es aus: Ich kenn mich zwar im Bereich von OCR/Bilderkennung überhaupt nicht aus, aber irgendwie schaut das für den momentanen Stand der Technik recht sicher aus. Ich habe auch mal diesem Sam aus bitmuncher's Link die Frage gestellt was er davon hält, mal schauen ob er antwortet Gruß odigo __________________ [HaBo] @ Facebook - Gefällt mir!

29.01.07, 01:43	#3 (permalink)
nifelan Registriert seit: 14.04.06 Likes: 0	Also gerade das gezeigte Beispiel müsste relativ leicht mittels Bilderkennung lösen können. Vielleicht würden Semantische Fragen bei Registrierungsformularen helfen. Z.b sowas wie "Apfel Birne Orange - Nehmen sie das zweite Wort und schreiben sie es rückwärts"

30.01.07, 10:02	#9 (permalink)
Gulliver Guest Likes:	Ein link von einer mailingliste bzlg. captchas http://www.cip.physik.uni-muenchen.d.../misc/captcha/

02.02.07, 07:52	#11 (permalink)
IsNull Guest Likes:	Sieht nicht gerade sicher aus mfg IsNull

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
[Erledigt] Sicherheitscode realisieren	reaLInsanity	(Web-) Design und webbasierte Sprachen	3	07.10.06 23:39
Sicherheitscode bei altem Nokia 5110 Handy	flexo1	Mobile Geräte/Smartphones	11	04.06.06 16:16
Bots!!	bangdoo	Virenschutz · Tools & Aggressive Software	7	20.10.05 15:23
Nokia Sicherheitscode	Leatherface	(In)security allgemein	15	09.04.03 21:54

[HaBo]

Bots umgehen Sicherheitscode