PHP rocks! wünscht allen Mitgliedern einen guten Rutsch ins neue Jahr 2017 !!!
Hinweis: Das Forum zieht um! Um keine Datenverluste zu haben, schalten wir zwecks Übernahme der Daten das Forum am Sonntag, den 24.04.2016 um ca. 21:00 Uhr offline und passen anschliessend die DNS-Einträge an.
www.php-rocks.de wird euch dann nach den Aktualisierungen der DNS-Server wieder wie gewohnt uneingeschränkt zur Verfügung stehen.
Danke für euer Verständnis!

Themabewertung:
  • 0 Bewertung(en) - 0 im Durchschnitt
  • 1
  • 2
  • 3
  • 4
  • 5
"Invisible" Captcha
#1
Hallo,
ich möchte mal nachfragen bezüglich meines captcha systems:
- Es wurde bisher von keinem Roboter überwunden
- These: Es wurde bisher nur mangels Popularität noch nicht überwunden

Besonderheit/Anforderungen:
- Das Captcha soll möglichst wenig oder keine Benutzerinteraktivität erfodern, e.g. blinde Benutzer

Ich freue mich über Ratschläge und Meinungen:
Einige Schwachstellen sind mir selbst schon klar, nur habe ich noch keine Lösung ohne das Captcha "unleserlich" zu machen?

  1. Captcha 1 Demo: https://frdl.webfan.de/kontakt.html
  2. Captcha 2 Demo: https://frdlweb.de/demo/contact/
                      Code: https://frdl.webfan.de/cdn/01/packages/frdl/invisible-captcha/

mfg
Antworten
#2
Sorry, da kann ich wenig helfen, Till.
Ich persönlich halte Captchas für den falschen Weg und meide sie soweit es mir möglich ist, aber da scheiden sich die Geister.
Antworten
#3
Zitat:Ich persönlich halte Captchas für den falschen Weg und meide sie soweit es mir möglich ist, aber da scheiden sich die Geister.
Aber welche Lösung schlägst Du statt dessen vor, um z.B. ein einfaches Kontaktformular zu schützen?

Wenn ich nach meinem Anliegen googele, verweisen die meisten Einträge auf googles reCaptcha, dazu meine ich einerseits, man sollte weit verbreitete, vorhandene und bewährte Lösungen bevorzugen (warum also das Rad neu erfinden), zum anderen meine ich leider hier google aus Datenschutzgründen meiden zu müssen!?

Meine obigen Lösungen arbeiten im Prinzip mit der Tatsache, daß die meisten robots (noch) kein Javascript entsprechend ausführen.
Antworten
#4
Hi,

Es gibt ja ausreichend Alternativen zu Captchas.
Die einen mögen es so, die anderen so. Da kann man lange drüber diskutieren oder sinnieren.  Wink

Ich persönlich habe ein paar Methoden eingebaut, die es mir erlauben, relativ gut festzustellen, ob es sich um einen Humanoiden handelt oder nicht.
Jede Methode an sich bringt kaum nennenswerte Vorteile, aber zusammen genutzt doch sehr viel.

Ich habe bspw. eine relativ triviale TAN, um das Formular nach dem Absenden identifizieren und Duplikate ausschließen zu können.
Dann kommt häufig noch zusätzlich ein gern kritisierter Honeypot zum Einsatz. Mag man berechtigte Einwände gegen haben, aber in Kombination mit den anderen Dingen klappt das super.

Was bei mir am Ende dann noch am meisten gebracht hat war, ist die Methode, die ich liebevoll TimeSpanFilter nenne.
Dieser berechnet anhand der Formularfelder und dessen Eingaben ( basierend auf dem Typ ), in welchem Zeitraum ein menschlicher Benutzer dieses hätte ausfüllen können, sollen, müssen. Etwas konfigurierbar natürlich, um die Toleranz +/- einstellen zu können, aber mehr braucht es am Ende nicht, damit das relativ gut funktioniert.

Klar, Copy/Paste geht dann natürlich nicht mehr, weil das vermutlich zu schnell wäre, aber irgendwas ist immer und damit kann ich leben.
Bei Formularen, die viele Textfelder haben, sperre ich per default auch Paste, so dass sie tippen müssen. Dann kommt die Zeitberechnung wieder hin.

Das sind so die hauptsächlichen Filter, die ich für mich verwende, wovon tatsächlich der TimeSpanFilter am besten filtert.
Ich habe einen Kunden, bei dem kamen die ersten Tage noch relativ viel Spam durch das Formular durch ( ca. 25 pro Tag ), nach einer Feinjustierung der Toleranzen kommen max. 1 bis 2 die Woche, damit kann er leben und ich auch sowie auch deren Kunden, denn sie müssen kein nerviges Captcha überwinden.
Tongue

Wie gesagt, nur kurz ausgeführt, um Deine Frage zu beantworten.
Andere Meinungen würde Dir jetzt was anderes erzählen, ist halt so. Ich benötige keine Captchas und mag sie auch nicht besonders.

Achso, fällt mir gerade ein. Ab und zu lasse ich eBay bspw. in einem Containment ( virtuelle Umgebung ) laufen.
Da erfordert eBay zur Verifizierung auch ein reCaptcha, was aber nie funktioniert im Containment! Er setzt sogar den grünen Haken, dass alles richtig war, aber antwortet mit einem weiteren Captcha und das permanent.
Ohne Captchas gäbe es die Probleme nicht.
Wink
Antworten
#5
Hallo Arne,
Zitat:Ich habe bspw. eine relativ triviale TAN, um das Formular nach dem Absenden identifizieren und Duplikate ausschließen zu können.
Das geht auch in die Richtung meines Ansatzes...

Im Prinzip hast Du in Deiner "catptchafeindlichkeit" je Recht wenn es um Barrierefreiheit geht, deshalb ja auch mein Zusatz "invisible".

Dieser TimeSpanFilter überzeugt mich noch nicht ganz, da ich schonmal gerne copy&paste nutze oder auch mal stundenlang auf ein Formular glotze wie auf ein Aquarium Smile

Das mit dem EBay Containment, kann ich mir grad nicht viel drunter vorstellen, frage mich nur ob es nicht gerade der Sinn eines Captchas ist "automatische Containments" auszuschliessen Dodgy Huh

Viele Grüße
Till
Antworten
#6
(05.12.2019, 19:09)Till schrieb: Dieser TimeSpanFilter überzeugt mich noch nicht ganz, da ich schonmal gerne copy&paste nutze oder auch mal stundenlang auf ein Formular glotze wie auf ein Aquarium  Smile
Dann fällst Du halt aus dem Raster Wink

(05.12.2019, 19:09)Till schrieb: Das  mit dem EBay Containment, kann ich mir grad nicht viel drunter vorstellen, frage mich nur ob es nicht gerade der Sinn eines Captchas ist "automatische Containments" auszuschliessen  Dodgy  Huh
Nicht automatisches Containment. Wenn ich bspw. auf Arbeit bin und schnell mal etwas in meinem privaten eBay Account nachschauen muss, starte ich den Browser im Containment, d.h. heißt, alles, was ich darin mache, bleibt im Container und wird nicht an das Host-System übermittelt. In diesem Containment-Modus kann aber eBay bspw. nicht richtig arbeiten, so dass die Anmeldung bzw. die Captcha-Bestätigung immer fehl schlägt, egal ob richtig beantwortet oder nicht.

Das passiert halt bei den Alternativen nicht oder zumindest deutlich seltener.

Was Copy/Paste angeht, gebe ich Dir recht, das ist manchmal ganz nützlich. Es kommt halt immer darauf an, um was für ein Formular es sich handelt.
Kann man nicht drauf verzichten, aktiviert man das eben, muss dann halt nur die Toleranzen entsprechend abstimmen und die Gefahr in Kauf nehmen, dass vereinzelt doch mal ein Bot durchkommt. Solange die anderen Filter den nicht schon erkannt haben, natürlich...
Big Grin
Antworten


Gehe zu: