4. Captcha: Gestaltung <> Sicherheit

Captcha: Gestaltung <> Sicherheit

  • ?

    Hallo

    Natürlich kannst du auf deiner Seite machen, was du willst, aber du solltest vielleicht auch Rücksicht auf deine User nehmen.

    chrische

    0
  • P

    Was sind das wieder für Antworten? "Captchas sind Müll, weil sie für Menschen mit Sehschwäche nicht von Vorteil sind" .. ohne Captcha wird ihm dann die ganze Seite komplett vorgelesen oder wie soll das funktionieren?

    Und wieso sollten Captchas nicht die Sicherheit erhöhen? Das klingt nach frustriertem geblubber ohne Hand und Fuß. WPA kann auch geknackt werden, also lassen wir ihn doch direkt weg, is ja eh unsicher. Airbags? Haben auch schon versagt, hinfort damit!

    Schlecht macht sich eine zerschrubbte, vollgespamte und zerhackte Seite als kommerziellen Seite, sicherlich aber keine Captchas.

    0
  • Z

    na ok... ein Merkbefreiter

    wenn dir ein Captcha, dass neben einer deutlich erhöhten Sicherheit gegenüber den Standarddingern auch noch die Möglichkeit des vorlesen-lassens bietet, für deine Seite zu "unsauber" ist und du lieber ein eigenes Captcha verwenden willst, dass sich in der Praxis erst noch bewähren musst, nur zu.
    Fragt sich nur, welches denn nun unsauber ist

    Wenn etwas als verwundbar gilt, ist es nicht sicher, da deine Seite jederzeit Ziel einer Attacke werden kann. Da kann man das Captcha gleich ganz rauslassen und sich eine vernünftige Lösung überlegen.

    Du musst garnichts machen, außer standardkonforme Seiten zu entwerfen, um deine Seite ausreichend barrierefrei zu machen. Den Rest erledigen Screenreader. Nur brauchen die eine klar strukturierte Seite (und können mit Bildern in der Regel nichts anfangen)

    http://www.pcwelt.de/start/sicherheit/archiv/42310/index.html

    0
  • S
    Mod

    personenkult schrieb:

    Schlecht macht sich eine zerschrubbte, vollgespamte und zerhackte Seite als kommerziellen Seite, sicherlich aber keine Captchas.

    captchas sagen "ich habe keine Ahnung von Technik"

    Wenn du das kommunizieren willst - bitte.
    Je nach Zielgruppe ist es schlimm oder unbedeutend.

    0
  • Z

    personenkult schrieb:

    Und wieso sollten Captchas nicht die Sicherheit erhöhen? Das klingt nach frustriertem geblubber ohne Hand und Fuß. WPA kann auch geknackt werden, also lassen wir ihn doch direkt weg, is ja eh unsicher. Airbags? Haben auch schon versagt, hinfort damit!

    was sind denn das für Beispiele? Airbags haben eine Ausfallrate, die niedrig genug ist, dass man ihnen vertrauen kann. WPA soll man auch nicht verwenden, sondern WPA2, und das ist sehrwohl sicher genug, um auch staatlichen Sicherheitsbestimmungen zu genügen.
    So oder so agieren beide Systeme zuverlässig, ohne das der User was merkt, was man bei Captchas nicht grad behaupten kann

    0
  • P

    captchas sagen "ich habe keine Ahnung von Technik"

    Diese Aussage ist ca. genauso sinnlos wie mein Airbagvergleich.

    @zwutz
    Du hast die Ironie nicht verstanden und der PCWelt-Link als Quelle hat dich disqualifiziert.

    0
  • ?

    zwutz schrieb:

    na ok... ein Merkbefreiter

    beleidige mich nicht, ich beleidige dich auch nicht.

    zwutz schrieb:

    wenn dir ein Captcha, dass neben einer deutlich erhöhten Sicherheit gegenüber den Standarddingern auch noch die Möglichkeit des vorlesen-lassens bietet, für deine Seite zu "unsauber" ist und du lieber ein eigenes Captcha verwenden willst, dass sich in der Praxis erst noch bewähren musst, nur zu.
    Fragt sich nur, welches denn nun unsauber ist

    ich habe nirgends geschrieben dass mir das zu unsauber ist, du hast recht vermutlich ist es sogar deutliche sauberer und toller vom funktionsumfang und haste nicht gesehen. nur möchte ich es einfach nicht das fremde sourcen in meiner website verwendung finden. auch möchte ich dort kein logo von irgendwem anders haben fertig.
    abgesehen davon is das argumentativ höchst unsinnig von dir hier zu versuchen mich zu überreden etwas zu gebrauchen was ich bereits dankbar abgelehnt habe. wieso sollte ich hier auf deine persönliche meinung etwas geben wenn ich dich überhaupt nicht kenne und du mich einfach nur darstellst als sei ich ein trottel nur wenn ich nicht auf dich höre?

    zwutz schrieb:

    Wenn etwas als verwundbar gilt, ist es nicht sicher, da deine Seite jederzeit Ziel einer Attacke werden kann. Da kann man das Captcha gleich ganz rauslassen und sich eine vernünftige Lösung überlegen.

    Wie sieht die denn aus? Und das Captchas nicht das nonplusultra sind ist mir schon klar. sie geben mir aber ausreichend sicherheit als dass ich das ganze als für mich verwendbar betrachte. nimm das doch einfach hin und gib tipps bzgl meiner ausgangsfrage und gut is. immer diese antworten auf nicht gestellt fragen, und dann auch noch beleidigend werden (s.o.) wenn man den vorschlag ablehnt.

    zwutz schrieb:

    Du musst garnichts machen, außer standardkonforme Seiten zu entwerfen, um deine Seite ausreichend barrierefrei zu machen. Den Rest erledigen Screenreader. Nur brauchen die eine klar strukturierte Seite (und können mit Bildern in der Regel nichts anfangen)
    http://www.pcwelt.de/start/sicherheit/archiv/42310/index.html

    der artikel und auch dieser weiterführende artikel http://www.w3.org/TR/turingtest/ haben meiner meinung nach das problem dass sie (noch) nicht wirklich praxisnah, zumindest für mich, sind. ich kann und werde mich nicht mit akustischen sicherheitskonzepten beschäftigen, und wie in deinem artikel auch geschrieben, captcha erfüllen in der praxis ihren, in diesem fall meinen, zweck. man sollte auch immer bedenken wer hier die zielgruppe ist, und bei meiner zielgruppe ist es mir relativ wurscht was sie über catpchas denken, da ein großteil dieser gruppe sich nie mit web-sicherheitskonzepten beschöftigt hat noch wird und daher meiner meinung nach an gewissen stellen ein captcha aushalten wird. solltest du also nochmal antworten so nimm doch bitte die verwendung von captchas als gegeben hin.

    0
  • ?

    php-hackl0rd schrieb:

    abgesehen davon is das argumentativ höchst unsinnig von dir hier zu versuchen mich zu überreden etwas zu gebrauchen was ich bereits dankbar abgelehnt habe. wieso sollte ich hier auf deine persönliche meinung etwas geben wenn ich dich überhaupt nicht kenne und du mich einfach nur darstellst als sei ich ein trottel nur wenn ich nicht auf dich höre?

    mal sehen. du kommst her und willst auskunft über dinge, von denen du selbst nichts verstehst. leute mit mehr plan erklären dir dann, wie du dein vorhaben am besten umsetzen kannst. das geht dir aber gegen den strich, weil du dir nicht vorschreiben willst was du zu tun und zu lassen lasst.

    warum machst du es also nicht einfach gleich so, wie es dir in den kram passt? dann verschwendest du auch nicht die zeit dritter.

    0
  • Z

    php-hackl0rd schrieb:

    solltest du also nochmal antworten so nimm doch bitte die verwendung von captchas als gegeben hin.

    hab ich von anfang an und dir daher recaptcha empfohlen. Wenn captchas, dann diese.
    Sieh dir die Seite einfach nochmal an. Auch die FAQ und die API-Doku. Selbst das Logo kann ausgeblendet werden (siehe http://recaptcha.net/fastcgi/demo/customtheme).
    Du kannst sebstverständlich weiter darauf bestehen, dein eigenes Captcha zu entwerfen, aber wunder dich nicht, wenn dir der Aufwand dadurch gelöhnt wird, dass sich die User beschweren (wenn zu sicher) oder ein Spambot ne Möglichkeit findet, es zu umgehen (wenn zu benutzerfreundlich). (und ja, beides kommt durchaus vor).
    Dazu kommt die Serverlast durch die Generierung der Bilder.

    Und ja, es gibt vernünftigere Lösungen als ein Captcha. Die erfordern aber in der Regel ein wenig mehr Aufwand.

    btw: ich wurde nicht beleidigend, nur direkt. Immerhin hat es aber zum gewünschten Effekt geführt

    personenkult schrieb:

    Du hast die Ironie nicht verstanden und der PCWelt-Link als Quelle hat dich disqualifiziert.

    ja ne, is klar. Der PCWelt-Artikel fasst relativ gut den Inhalt der W3C-Aussage zusammen und spiegelt auch meine Erfahrung wieder. Er reicht als Überblick aus, und der W3C-Artikel war ebenfalls verlinkt. Also wo ist dein Problem? Oder sollte das ein Versuch sein, meine Glaubwürdigkeit zu untergraben?

    0
  • P

    ja

    0
  • P

    attorney at law schrieb:

    php-hackl0rd schrieb:

    abgesehen davon is das argumentativ höchst unsinnig von dir hier zu versuchen mich zu überreden etwas zu gebrauchen was ich bereits dankbar abgelehnt habe. wieso sollte ich hier auf deine persönliche meinung etwas geben wenn ich dich überhaupt nicht kenne und du mich einfach nur darstellst als sei ich ein trottel nur wenn ich nicht auf dich höre?

    mal sehen. du kommst her und willst auskunft über dinge, von denen du selbst nichts verstehst. leute mit mehr plan erklären dir dann, wie du dein vorhaben am besten umsetzen kannst. das geht dir aber gegen den strich, weil du dir nicht vorschreiben willst was du zu tun und zu lassen lasst.

    warum machst du es also nicht einfach gleich so, wie es dir in den kram passt? dann verschwendest du auch nicht die zeit dritter.

    Hey, ich mische mich auch gerade sinnlos in eine Diskussion ein. Wie gehts dir dabei so?

    0
  • ?

    attorney at law schrieb:

    mal sehen. du kommst her und willst auskunft über dinge, von denen du selbst nichts verstehst. leute mit mehr plan erklären dir dann, wie du dein vorhaben am besten umsetzen kannst. das geht dir aber gegen den strich, weil du dir nicht vorschreiben willst was du zu tun und zu lassen lasst.
    warum machst du es also nicht einfach gleich so, wie es dir in den kram passt? dann verschwendest du auch nicht die zeit dritter.

    so wie du das darstellt ist es doch gerade nicht. wer weiß denn heute nicht das captchas zahlreiche probleme mit sich bringen bzw. könnten. wer meint auf sowas ein wissensmonopol zu haben versteht nichts von der materie.
    ich habe auch nicht danach gefragt wie man ein catpcha am besten umsetzt, sondern wie man eigene, selbstgemacht captchas noch optimieren kann. meinst du ich hacke mir hier nen captcha zurecht ohne zu wissen dass es zahlreiche sehr gute, freie und vermutlich auch weitaus bessere lösungen gibt? natürlich nicht. nur habe ich da nach nicht gefragt. ich habe bereits zu verstehen gegeben dass die lösungen meistens professioneller und toller und so sind, ich möchte sie aber nicht verwenden, basta. meine motive dafür sind doch erstmal völlig irrelevant, wenn du mir weiter helfen kannst dann tu es aber nicht mit etwas was ich bereits abgelehnt habe. und wenn du meine ablehnende haltung gegenüber freien catpchas bescheuert findest dann sag doch einfach nichts da zu, so verschwendest du nämlich zeit - durch unnötiges ungefragtes blabla was keiner hören will und wonach niemand gefragt hat.

    zwutz schrieb:

    hab ich von anfang an und dir daher recaptcha empfohlen. Wenn captchas, dann diese.
    Sieh dir die Seite einfach nochmal an. Auch die FAQ und die API-Doku. Selbst das Logo kann ausgeblendet werden (siehe http://recaptcha.net/fastcgi/demo/customtheme).
    Du kannst sebstverständlich weiter darauf bestehen, dein eigenes Captcha zu entwerfen, aber wunder dich nicht, wenn dir der Aufwand dadurch gelöhnt wird, dass sich die User beschweren (wenn zu sicher) oder ein Spambot ne Möglichkeit findet, es zu umgehen (wenn zu benutzerfreundlich). (und ja, beides kommt durchaus vor).
    Dazu kommt die Serverlast durch die Generierung der Bilder.

    Und ja, es gibt vernünftigere Lösungen als ein Captcha. Die erfordern aber in der Regel ein wenig mehr Aufwand.

    btw: ich wurde nicht beleidigend, nur direkt. Immerhin hat es aber zum gewünschten Effekt geführt

    nein hast du nicht. ich möchte eigene captchas optimieren und nicht fremd entwickelte benutzen. habe ich etwa nach captchas dritter gefragt? nein, ich habe es sogar bereits mehrmals abgelehnt. ist mir aber auch zu müßig mit dir darüber zu sprechen, denn wenn jemand schreibt ich sei ein merkbefreiter ist das eine beleidigung und nichts anderes. dass du etwas direkt sagst schließt nicht aus dass es nicht beleidigend ist. und was soll der gewünschte effekt sein? dass du dich als andere beleidigender user outest? glückwunsch.

    0
  • Z

    so... langsam wirds lustig ^^

    und was soll der gewünschte effekt sein?

    dass du mit der ekelhaften Scheinhöflichkeit aus den ersten Posts aufhörst. So wurde die Diskussion wenigstens lebhafter

    und du willst tatsächlich ein kommerzielles Projekt als "Spielwiese" für deine Captcha-Versuche verwenden? Nimm für sowas deine private Homepage oder localhost, aber auf ner kommerziellen Seite solltest du etwas verwenden, dass sich in der Praxis bereits mehrfach bewährt hat.

    Und dir kann niemand sagen, was man optimieren kann, weil es kein "nonplus-ultra"-Captcha gibt. Ein Captcha muss ständig verändert werden, die Wortliste muss ständig ausgewechselt werden und bei einem Spam-Durchbruch muss der Algorithmus geändert werden, ohne dass es für die User zu schwer wird. Und nach jeder Änderung muss sich das Captcha erneut bewähren, da es womöglich dadurch sogar noch angreifbarer wurde.
    Ein selbst-erstelltes Captcha für Seiten zu verwenden, die über die private Homepage hinausgehen sollte nur dann gemacht werden, wenn man sich wirklich sicher ist, was man macht. Alles andere ist, ich wiederhole, sinnlos, da du deine ganze Aufmerksamkeit in ein kleines Bild stecken musst, dass die meisten User eh nur als störend empfinden, nur um die Spammer abzuwehren, anstatt dich sinnvolleren Sicherheitsmaßnahmen zu widmen, die dir kein Captcha abnehmen kann

    btw: ich ersetze "merkbefreit" durch "nicht lernfähig", "stur" und "kritikunfähig". Im Grunde das selbe, aber ein wenig indirekter

    0
  • ?

    personenkult schrieb:

    Hey, ich mische mich auch gerade sinnlos in eine Diskussion ein. Wie gehts dir dabei so?

    wenn du private diskussionen führen willst, solltest du lieber e-mail benutzen.

    0
  • P

    schmollhans schrieb:

    personenkult schrieb:

    Hey, ich mische mich auch gerade sinnlos in eine Diskussion ein. Wie gehts dir dabei so?

    wenn du private diskussionen führen willst, solltest du lieber e-mail benutzen.

    Sehr geehrter Herr Diskutant,
    vielen Dank für diesen äußerst interessanten Hinweis.

    0
  • ?

    zwutz schrieb:

    so... langsam wirds lustig ^^
    dass du mit der ekelhaften Scheinhöflichkeit aus den ersten Posts aufhörst. So wurde die Diskussion wenigstens lebhafter

    entschuldige wenn dich meine höflichkeit stört, scheinbar hast du nicht viel umgang mit netten leuten. da du inhaltlich bisher nichts beigetragen hast siehe doch bitte von weiteren zu nichts führenden postings ab.

    vllt hat ja jemand anders noch tipps was man beim erstellen von captcha beachten sollte, wie man diese durch eine bestimmte gestaltung sicherer machen kann etc...

    0
  • Z

    php-hackl0rd schrieb:

    zwutz schrieb:

    so... langsam wirds lustig ^^
    dass du mit der ekelhaften Scheinhöflichkeit aus den ersten Posts aufhörst. So wurde die Diskussion wenigstens lebhafter

    entschuldige wenn dich meine höflichkeit stört, scheinbar hast du nicht viel umgang mit netten leuten. da du inhaltlich bisher nichts beigetragen hast siehe doch bitte von weiteren zu nichts führenden postings ab.

    ich hab nichts gegen Höflichkeit, es sei denn sie wird nur als Mittel zum Zweck verwendet.
    Übrigens hab ich genug beigetragen. Allerdings konnte ich ja nicht wissen, dass du nur auf jemanden wartest, der dich in deinem Standpunkt bestätigt. Ich dachte halt, du willst Hilfe.

    Hm... wollte grad nach ein paar Tipps für Captchas suchen, aber alle Tipps waren, dass man sie nicht verwenden sollte und sogar Tipps, wie man sie umgeht...... Muss wohl was dran sein...

    Nett ist auch diese Geschichte: http://www.heise.de/newsticker/Trojaner-laesst-Anwender-Captchas-lesen--/meldung/98097 ^^

    Obwohl: http://sam.zoy.org/pwntcha/
    hier steht, wie man es nicht machen sollte, da bereits geknackt... evtl kann man sich so sein Captcha zusammenbaun

    0
  • P

    http://sam.zoy.org/pwntcha/

    ein recht deutliches Beispiel bei dem "Cwazymail-Verfahren".

    0
Anmelden zum Antworten