zurück zur Startseite
  


Zurück XHTMLforum > (X)HTML und CSS > Barrierefreiheit
Seite neu laden Barrierefreie Alternative zu Captcha's?

Antwort
 
LinkBack Themen-Optionen Ansicht
  #21 (permalink)  
Alt 22.02.2007, 13:59
Neuer Benutzer
neuer user
 
Registriert seit: 31.03.2005
Beiträge: 14
wurstbrot befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Zitat von Gumbo Beitrag anzeigen
Ich hoffe, du hast nicht einfach nur bei PHP die Sitzung gestartet („session_start()“) und erwartet, dass PHP des Rest übernimmt. PHP bietet zwar Werkzeuge, die Maschine musst du aber selbst entwickeln und justieren.
Das versteht sich von selbst. Es wurde ein zufälliger Token der Lange 20 erstellt. Das ist nicht nur aus Gründen des Spamschutzes sinnvoll, sondern auch als Schutz vor Cross-Site Request Forgery.

Zitat:
Zitat von Gumbo Beitrag anzeigen
Dass Spambots nicht einfach ins Blaue raten sondern die Formularseite erst analysieren, sollte eigentlich offensichtlich sein. Nur bei weit verbreiteter Software wie Foren, Weblogs oder Portalsystemen, bei denen die Skripte selten verändert werden, ist solch ein Schuss ins Blaue sinnvoll. Dort reicht es allem Anschein nach schon aus die Skripte umzubenennen (JustAddWater.dk – Blog Usability: Avoid Spam Comments (Part 2)) um einen Großteil des Spams abzuwehren.
Tja, das würde ich wie gesagt nicht unterschreiben, weil die "besseren" Spambots heute schon in der Lage sind, die Formulare selber zu erkennen. Da hilft weder ein Umbenennen der Seite, noch ein Umbenennen der Felder noch versteckte Felder mit Zufalls-Token.

Wurstbrot
Mit Zitat antworten
Sponsored Links
  #22 (permalink)  
Alt 22.02.2007, 14:14
Benutzerbild von Gumbo
XHTMLforum-Kenner
 
Registriert seit: 22.08.2004
Ort: Trier
Beiträge: 2.733
Gumbo ist jedem bekanntGumbo ist jedem bekanntGumbo ist jedem bekanntGumbo ist jedem bekanntGumbo ist jedem bekanntGumbo ist jedem bekannt
Standard

Wenn der Zufallsschlüssel nicht validiert wird, ist er natürlich sinnlos. Und es reicht nicht aus, einfach nur zu prüfen, ob der Schlüssel tatsächlich 20 Zeichen lang ist. Daher ja auch mein Vorschlag, den Schlüssel in Sitzung und Formular zu übergeben und anschließend zu vergleichen.
__________________
Markus Wulftange
Mit Zitat antworten
Sponsored Links
  #23 (permalink)  
Alt 22.02.2007, 14:37
Neuer Benutzer
neuer user
 
Registriert seit: 31.03.2005
Beiträge: 14
wurstbrot befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Zitat von Gumbo Beitrag anzeigen
Wenn der Zufallsschlüssel nicht validiert wird, ist er natürlich sinnlos. Und es reicht nicht aus, einfach nur zu prüfen, ob der Schlüssel tatsächlich 20 Zeichen lang ist. Daher ja auch mein Vorschlag, den Schlüssel in Sitzung und Formular zu übergeben und anschließend zu vergleichen.
Man muss schon sehr bescheuert sein, wenn der Wert nicht zwischengespeichert wird. Dann kannst du ihn auch weglassen.

Also nochmals. Ich habe:
  1. zufälligen Wert erzeugt
  2. in Session gespeichert
  3. in hidden Feld eingetragen
  4. bei Datenempfang nach Existenz und Korrektheit des Wertes geprüft

Fazit: es war für Spambots kein Problem.

Wurstbrot

(ich weiß, ich schreib in diesem Forum nicht so viel, aber soviel Intelligenz kannst mir zutrauen
Mit Zitat antworten
  #24 (permalink)  
Alt 22.02.2007, 14:58
Benutzerbild von Gumbo
XHTMLforum-Kenner
 
Registriert seit: 22.08.2004
Ort: Trier
Beiträge: 2.733
Gumbo ist jedem bekanntGumbo ist jedem bekanntGumbo ist jedem bekanntGumbo ist jedem bekanntGumbo ist jedem bekanntGumbo ist jedem bekannt
Standard

Wie lange bleibt der Schlüsselwert denn gültig? Bis zum Erfolg der Aktion oder auch noch danach, sodass ein einmalig erzeugter Wert ausreicht um tausende Spam-Mitteilungen zu verschicken?
__________________
Markus Wulftange
Mit Zitat antworten
  #25 (permalink)  
Alt 22.02.2007, 15:35
Neuer Benutzer
neuer user
 
Registriert seit: 31.03.2005
Beiträge: 14
wurstbrot befindet sich auf einem aufstrebenden Ast
Standard

Ich hab den Schlüssel bei jedem Formular neu erstellt.
Mit Zitat antworten
  #26 (permalink)  
Alt 22.02.2007, 15:44
Benutzerbild von Dieter
Erfahrener Benutzer
XHTMLforum-Kenner
 
Registriert seit: 12.09.2003
Beiträge: 3.635
Dieter sorgt für eine eindrucksvolle AtmosphäreDieter sorgt für eine eindrucksvolle Atmosphäre
Standard

Zitat:
Zitat von Gumbo
PHP bietet zwar Werkzeuge, die Maschine musst du aber selbst entwickeln und justieren.
Hallo, Markus!

Erklär mir das bitte mal etwas ausführlich!
Danke Dir!
__________________
Informationen aus Koblenz-Metternich
-----------------------------------
"Wissen heißt, Fragen zu erwerben."
Mit Zitat antworten
  #27 (permalink)  
Alt 22.02.2007, 16:47
Benutzerbild von Gumbo
XHTMLforum-Kenner
 
Registriert seit: 22.08.2004
Ort: Trier
Beiträge: 2.733
Gumbo ist jedem bekanntGumbo ist jedem bekanntGumbo ist jedem bekanntGumbo ist jedem bekanntGumbo ist jedem bekanntGumbo ist jedem bekannt
Standard

Die von PHP gelieferte Sitzungsverwaltung ist recht simpel und damit auch nur beschränkt einsetzbar. Bis auf die syntaktische Validierung der Sitzungs-ID findet keine weitere Validierung statt. Es könnte also jede beliebige, syntaktisch korrekte Sitzungs-ID genommen werden und sie würde als gültig angesehen.
Einen Schutz vor Session Hijacking, also der Nutzung einer fremden Sitzungs-ID und damit auch der fremden Sitzung selbst, ist also mit den von PHP gelieferten Mitteln allein nicht möglich. Dafür muss der Entwickler selbst sorgen, in dem beispielsweise nur vom System selbst erzeugte Sitzungs-IDs als gültig erachtet werden.


Zitat:
Zitat von wurstbrot Beitrag anzeigen
Ich hab den Schlüssel bei jedem Formular neu erstellt.
Und auch den alten ungültig gemacht, ihn also beispielsweise aus der Sitzung gelöscht?
__________________
Markus Wulftange
Mit Zitat antworten
  #28 (permalink)  
Alt 22.02.2007, 16:54
Neuer Benutzer
neuer user
 
Registriert seit: 31.03.2005
Beiträge: 14
wurstbrot befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Zitat von Gumbo Beitrag anzeigen
Und auch den alten ungültig gemacht, ihn also beispielsweise aus der Sitzung gelöscht?
Natürlich. Jedes Formular bekommt einen eigenen Schlüssel und die Gültigkeit dieses Schlüssels ist nur in einer gegebenen Session vorhanden und auch nur für dieses Formular. Sollte das Formular erneut angefordert werden, wird ein neuer Schlüssel erzeugt.

Wie gesagt, das ist auch das notwendige Vorgehen zum Schutz vor Cross-Site Request Forgery Angriffen, in denen ein Formular von außen gesteuert werden könnte. Allein deshalb müssen die Spambots in dieser Hinsicht entsprechend flexibel sein. Für uns natürlich ärgerlich, aber die Spam-Bot-Programmierer sind ja auch nicht dumm.

Wurstbrot
Mit Zitat antworten
  #29 (permalink)  
Alt 22.02.2007, 17:21
lal lal ist offline
Erfahrener Benutzer
XHTMLforum-Mitglied
Thread-Ersteller
 
Registriert seit: 19.02.2007
Beiträge: 186
lal befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Also nochmals. Ich habe:

zufälligen Wert erzeugt
in Session gespeichert
in hidden Feld eingetragen
bei Datenempfang nach Existenz und Korrektheit des Wertes geprüft

Fazit: es war für Spambots kein Problem.
mhh... das ist meines erachtens auch kein wunder. den erstens gibt es selbst mit php selbst die möglichkeit ein spambot zu programmieren... den es gibt ja unteranderem funktionen die nach den wörtern "versteckt, type="hidden", etc." suchen, und wenn das gefunden wurde in der zeile oder was weiß ich wird diese ganz einfach ignoriert. oder z.b. nach bekannten sachen wie "Powered by.... 2.0" suchen und sicherheitslücken (wenn man den quelltext hat, schnell gefunden) suchen bzw. einfach austesten wie man die url manipulieren muss (bei get-einträgen) um einen korrekten wert zu erhalten, oder per externes post-formular etc.

es gibt viele möglichkeiten zu spammen und teilweise ist dies ja leider auch ohne bots möglich aber jetzt wo ich grade mal gerechnet habe ist es ja extrem leicht zu raten und beim falsch antworten einfach ne neue frage zu nehmen... habt ihr ideen die wirken (könnten) ?

vielleicht sollte man mal hier in diesem Forum eine entwicklungsgruppe zusammenstellen die zusammen einen blog oder sowas macht und jede woche sich ein problem rauspickt (per vote oder zufall etc...) und dieses ausführlich behandelt und mögliche (barrierearme) alternativen aufzeigt?

mfg,
skatelal(szs)
Mit Zitat antworten
Sponsored Links
  #30 (permalink)  
Alt 22.02.2007, 17:27
Benutzerbild von Dieter
Erfahrener Benutzer
XHTMLforum-Kenner
 
Registriert seit: 12.09.2003
Beiträge: 3.635
Dieter sorgt für eine eindrucksvolle AtmosphäreDieter sorgt für eine eindrucksvolle Atmosphäre
Standard

Die Input-Felder werden ja üblicherweise mit recht eindeuitigen Bezeichnungen (name, email, text, etc.) versehen.

Bringt es was, wenn man die Bezeichnungen völlig sachunabhängig (suppenteller, fahrradstaender, holzfassade, etc.) anlegt?
__________________
Informationen aus Koblenz-Metternich
-----------------------------------
"Wissen heißt, Fragen zu erwerben."
Mit Zitat antworten
Sponsored Links
Antwort

Themen-Optionen
Ansicht

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus


Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
jQAPI - Alternative jQuery Documentation zeji Ressourcen 2 29.09.2010 11:50
Sizer unter Vista oder Alternative emti Offtopic 2 12.06.2008 09:39
Hintergrundbilder skalieren > alternative Lösung? grischa_sgd CSS 10 17.10.2007 09:37
Tickbox, Lightbox oder eine Alternative? Mesh (X)HTML 5 16.08.2007 19:50
Barrierefreie Websites mit Content Management System erstellen chrh Barrierefreiheit 8 19.09.2006 19:06


Alle Zeitangaben in WEZ +2. Es ist jetzt 04:30 Uhr.