Problem mit Captcha Script

dementius · #1 (**permalink**) 28.05.2007, 20:15

Hey,

Ich baue gerade ein kleines Captcha Skript testweise in ein Gästebuch ein, aber irgendwie komme ich gerade nicht weiter:

captcha.php

PHP-Code:


			
<?

    setcookie("spam", "", time()-3600);



    function randomString($len)

    {



        srand(date("s"));

        $possible="abcdefghijkmnpqrstuvwxyz23456789";

        $str="";



        while(strlen($str)<$len)

        {

            $str.=substr($possible,(rand()%(strlen($possible))),1);

        }



        return($str);



    }



    $breite = "65";

    $hoehe = "22";



    header("Content-Type: image/png");

    $pas = ImageCreate($breite, $hoehe);

    $hintergrund = ImageColorAllocate($pas, 102, 153, 51);

    $text = ImageColorAllocate($pas, 255, 255, 255);

    $lf = ImageColorAllocate($pas, 235,235,235);

    $h = "14";

    $v = "3";

    $key = randomString("4");

    $cookie = md5($key);

    setcookie("spam", $cookie, time()+3600);

    ImageFill($pas, 0, 0, $hintergrund);

    imagestring($pas,6,$h,$v,$key,$text);

    ImagePng($pas);

    ImageDestroy($pas);



?>

Die Datei captcha.php wird per img in die Seite ingebunden, das Captcha wird auch korrekt angezeigt. Wenn ich jetzt aber mit

PHP-Code:


			
if(isset($_COOKIE['spam']) AND md5($_POST['sicherheitscode']) == $_COOKIE['spam'])

{

  ..

}



else {

  // Code Falsch!

}

prüfen will, ob der md5-code im Cookie mit dem angegebenen aus dem Formular übereinstimmt, scheint der Code immer falsch zu sein.

Hoffe jmd kann mir helfen

Greetz

fox · #2 (**permalink**) 28.05.2007, 22:24

Überprüf mal, was im Cookie steht und wie die richtige Lösung aussieht, mach debug-Ausgaben, damit kommst du leicht weiter

Bist du sicher, dass das Cookie richtig gesetzt wird?

Außerdem tust du dir leichter, wenn du den Code nicht in Cookies sondern in Sessions speicherst

Was mir grad beim überfliegen auffällt: Der Keks wird nicht gespeichert:

PHP-Code:


			
setcookie("spam", "", time()-3600);

Nach diesem Code verfällt das Cookie 3600 Sekunden, sprich eine Stunde, vor dem Zeitpunkt an dem es gesendet wird. Der Browser speichert den Keks also nicht und somit kann das ganze gar nicht funktionieren - hier müsste ein + rein

dementius · #3 (**permalink**) 28.05.2007, 22:38

Danke schonmal.
Wenn ich das ändere, wird das Cookie komischerweise immer noch nicht gesetzt.

EDIT
Habe das ganze jetzt mit Sessions gelöst, und es funktioniert einwandfrei.

Gumbo · #4 (**permalink**) 29.05.2007, 00:19

Wenn du die geheime Information in einem Cookie speicherst, geht dir die Sicherheit, die du mit einem Captcha erhoffst, gleich wieder flöten.

fox · #5 (**permalink**) 29.05.2007, 09:14

Zitat:

Zitat von Gumbo

Wenn du die geheime Information in einem Cookie speicherst, geht dir die Sicherheit, die du mit einem Captcha erhoffst, gleich wieder flöten.

Nicht unbedingt - schließlich lässt sich vom md5-Hash nicht auf den Ausgangswert schließen.

Allerdings ist es nicht Barrierefrei, ich nehme selbst nur Cookies von bestimmten Seiten an

Sessions bieten ja die Möglichkeit, die ID über die Adresse zu übertragen.

Gumbo · #6 (**permalink**) 29.05.2007, 12:57

Zitat:

Zitat von fox

Nicht unbedingt - schließlich lässt sich vom md5-Hash nicht auf den Ausgangswert schließen.

Das ist auch gar nicht nötig. Es reicht eine beliebige Zeichenkette par POST und den MD5-Hash davon per Cookie zu senden.

fox · #7 (**permalink**) 29.05.2007, 13:20

Zitat:

Zitat von Gumbo

Das ist auch gar nicht nötig. Es reicht eine beliebige Zeichenkette par POST und den MD5-Hash davon per Cookie zu senden.

Stimmt, daran hatte ich garnicht gedacht.

dementius · #8 (**permalink**) 29.05.2007, 16:18

Zitat:

Es reicht eine beliebige Zeichenkette par POST und den MD5-Hash davon per Cookie zu senden.

Kannst du das evtl. näher erleutern?

fox · #9 (**permalink**) 29.05.2007, 20:37

Zitat:

Zitat von dementius

Kannst du das evtl. näher erleutern?

Mach ich jetzt einfach mal, obwohl du mich nicht angesprochen hast

Folgendes: Du generierst einen Zufallscode und sendest diesen per Cookie an den Browser - nirgends lokal auf dem Server. Der böse Benutzer, der dein Captcha umgehen will, könnte jetzt einfach eine beliebige Zeichenfolge generieren und den md5-hash speichern.
Der MD5-Wert wird per Cookie an den Server geschickt und die Zeichenfolge selbst per POST (also so, wie es der Benutzer normal eingibt). Du kannst somit also nicht überprüfen, ob der Sicherheitscode von deinem Server oder vom Benutzer stammt.

Bei Sessions hast du dieses Problem nicht, da hierbei nur eine eindeutige ID an den Benutzer gesendet wird, mithilfe derer PHP auf die Werte in der Session zugreift. Manipuliert werden kann da nichts.

netspy · #10 (**permalink**) 29.05.2007, 21:18

fox hat damit erst mal absolut Recht. Allerdings ließe sich dieses Problem lösen, indem man den Hash nicht alleine von dem Sicherheitscode bildet. Wenn man den Hash bspw. so bildet, ist das Ganze schon nicht mehr so leicht zu knacken:

Code:

md5('ganz' . $captcha_code . 'geheim')

Die Variante mit Sessions ist aber dennoch wesentlich besser und auch zuverlässiger.

Mario

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
IE 7: Zoom Problem, Höhen Problem, Text problem	Cu Chullain	CSS	4	02.09.2010 13:56
JQuery Uploadify Upload Ordner Problem	Mr. Tool	Javascript & Ajax	5	10.06.2010 13:05
PNG in IE Problem mit der Mauserkennung (klickbar oder nicht)	Angélique	CSS	13	16.03.2010 18:20
Java Script Problem mit Auslagerung.	Somba	Javascript & Ajax	11	15.01.2007 12:00
Problem mit Background-Color im FireFox	to.ni	CSS	2	31.08.2004 11:13