| |
|
|
- Seite 1 - |
|
Julian Schmidt | Hallo, wurde gestern, trotz kleiner Rechen-Captcha, über mein Gästebuch[...] zugespamt. Habe gerade eine kleine Bad-Word-Liste hinzugefügt. Was sind so die häufigsten Wörter/Kriterien nach den man effektiv Spams herausfiltern kann? Meine Liste sieht gerade so aus.
$punkte += 1 * substr_count(strtolower($inhalt),'<');
$punkte += 1 * substr_count(strtolower($inhalt),'>');
$punkte += 1 * substr_count(strtolower($inhalt),'!');
$punkte += 2 * substr_count(strtolower($inhalt),'</');
$punkte += 2 * substr_count(strtolower($inhalt),'100%');
$punkte += 2 * substr_count(strtolower($inhalt),'viagra');
$punkte += 2 * substr_count(strtolower($inhalt),'porn');
$punkte += 2 * substr_count(strtolower($inhalt),'free');
$punkte += 2 * substr_count(strtolower($inhalt),'poker');
$punkte += 2 * substr_count(strtolower($inhalt),'https://');
$punkte += 3 * substr_count(strtolower($inhalt),'href');
Bitte keine elend langen Wort-Listen posten, sondern nur potenziale Spam-Begriffe, welche ein normaler Nutzer wahrscheinlich eh nie verwenden würde. Über 5 Punkten zeige ich momentan Spamverdacht. Wie kann man sich noch vor Spams schützen?
Gruß.
Julian
[OFFTOPIC]@iF: Neues Header-Design gefällt nicht. [/OFFTOPIC] |
|
|
| |
|
|
|
| |
|
- Seite 5 - |
|
| Bei mir wurde eben aber 1 falsches Bild angezeigt, also eins das nicht zum anderen passt. Nach F5 war alles IO. |
|
|
| |
|
|
|
Julian Schmidt | iF (05.05.13)
Bei mir wurde eben aber 1 falsches Bild angezeigt, also eins das nicht zum anderen passt. Nach F5 war alles IO.
Ist mir auch schon aufgefallen, weiß aber nicht genau wo der Fehler liegt. Tue beim nicht Vorhandensein der Session die Session erzeugen. Und beim Übertragen der Lösung der Captcha per Post die Session per unset() entfernen. Haste du ne Idee woran das liegen könnte.
Tue meine Sessions nun verschlüsseln, falls doch mal jemand die Session ID rausbekommt. Ich tue erst um einen Key erweitern und anschließend per Base64 verschlüsseln. |
|
|
| |
|
|
|
Julian Schmidt | Es könnte sein, dass das Problem weg ist. Zumindest ist es bei mir nicht wieder aufgetreten. Ich tue jetzt bei keinen Request die Sessions zurücksetzen. |
|
|
| |
|
|
|
| >>Tue meine Sessions nun verschlüsseln, falls doch mal jemand die Session ID >>rausbekommt.
Das ist nicht sinnvoll, die SID ist ohnehin öffentlich - nur die dahinterliegenden Daten (liegen auf dem Server) sind nicht öffentlich aber die kannst Du nicht per verschlüsseln der SID schützen.
>>Haste du ne Idee woran das liegen könnte.
Vlt. war meine Session noch von gestern aktiv. Liegt/ lag wohl ein logisches Problem vor. |
|
|
| |
|
|
|
Julian Schmidt | iF (05.05.13)
Das ist nicht sinnvoll, die SID ist ohnehin öffentlich - nur die dahinterliegenden Daten (liegen auf dem Server) sind nicht öffentlich aber die kannst Du nicht per verschlüsseln der SID schützen.
Meinte auch das ich die Daten in der Session verschlüssele. Wegen Session Fixation hab ich nun auch SID Regenerierung aktiviert.
iF (05.05.13)
Vlt. war meine Session noch von gestern aktiv. Liegt/ lag wohl ein logisches Problem vor.
Leider nicht. Tritt bei mir immer dann auf, wenn ich meine Browsercache lösche. |
|
|
| |
|
|
| |
|
- Seite 6 - |
|
|
E.T. | Hab ich auch mal 'ne Fräge zu:
Ist mir eben über den Weg gelaufen, Kann denn da ein Bot etc. zwischen Fett / Grau unterscheiden ?? |
|
|
| XProfan X2Grüße aus Sachsen... Mario WinXP, Win7 (64 Bit),Win8(.1),Win10, Win 11, Profan 6 - X4, XPSE, und 'nen schwarzes, blinkendes Dingens, wo ich das alles reinschütte... | 06.05.2013 ▲ |
|
|
|
|
| Klar kann er, ist total sinnlos solche Unterscheidung bei guten Bots, selbst dann, wenn die Aufgabe mal lautet "grau eingeben" oder "schwarz" eingeben. Auch Buchstabendrehen ist nicht wirklich ein Hindernis wenn die Buchstaben einfach in der Eingabereihenfolge von links nach rechts geparst werden können.
Solch Untermalung mit grauen Buchstaben hilft dem Bot sogar zu unterscheiden, mit welchem Captcha-Typ er es wohlmöglich zu tun hat. Grundsätzlich kann man wohl sagen, dass wenn die Buchstaben gut zu erkennen sind und wenn nicht etwa ein "Sinn" zu erkennnen ist (sowas wie "was ist größer: apfel, auto"), dann finden Bots relative leichte Wege. Aber auch bei abverlangter Sinnerkennung wie "was ist größer: apfel, auto" gibt es bereits einfache Algorithmen, die sogar sehr gute Trefferquoten erzielen.
Unsicher:
Mittelsicher aber auch schlecht zu lesen:
Sicher aber auch schlecht zu lesen:
Und noch mehr Sicherheit bieten die hier im Thema besprochenden Mechanismen und das so erzeugte Ergebnis kann man sogar gut lesen. |
|
|
| |
|
|
|
Julian Schmidt | Wie sicher sind denn dann animierte Captcha wie [...] . Oder andere Arten wie hier [...] ? |
|
|
| |
|
|
|
| Na so wie Deins, haben quasi meine Idee(n) "geklaut". |
|
|
| |
|
|
|
Julian Schmidt | Jup, dort nur nicht basiernd auf JS, sondern auf Gifs. Kann man solche Bewegte Gifs auch per PHP erzeugen?
iF (05.05.13)
Bei mir wurde eben aber 1 falsches Bild angezeigt, also eins das nicht zum anderen passt. Nach F5 war alles IO.
Ist immernoch ab und zu so. Hängt wohl igendwie mit der Browsercache zusammen. Haste ne Idee? |
|
|
| |
|
|
|
| Gibt ne ext. Klasse um Anigifs mit PHP zu erstellen aber es wäre der Sache insofern nicht dienlich da es nicht sicherer wäre als Dein Prinzip.
Das mit dem falschen Bild kommt von einem logischen Problem im Source - da bleibt Dir wohl nichts weiter als drüber zu grüblen.
Ich schrieb ja das Du vlt. besser das Captcha bzw. die Formel erzeugst nur zu Session-Beginn - also nur einmal. Zumindest um erstmal zu schauen ob Du damit das Problem in den Griff bekommst. |
|
|
| |
|
|
|
Julian Schmidt | Mach die Session auch nur einmal so.
$_SESSION['rechen_captcha_pic']++;
if (!isset($_SESSION['rechen_captcha_spam'])) {
$_SESSION['rechen_captcha_pic'] = 1;
...
$_SESSION['rechen_captcha_spam'] = ...
}
$img = imagecreatetruecolor(80,20);
...
Evtl. liegt der Fehler eher beim zurücksetzen der Session. Habs so. Im Prinzip eig immer. |
|
|
| |
|
|