4. Captcha: Gestaltung <> Sicherheit

Captcha: Gestaltung <> Sicherheit

  • ?

    Hallo Leute,
    ich habe mich gerade das erste mal mit dem Erstellen eines Captcha beschäftigt, funzt soweit ganz gut. Nur bin ich mir unsicher bzgl der Gestaltung: inwiefern trägt diese zur Funktionalität des Captchas bei? Gibt es bestimmte Farben oder Hintergründe die die Sicherheit merklich verbessern? Ähnliche Farben für Hintergrund und Schrift oder nen Gitternetz im Hintergrund oder so?
    Ich denke da an so Tricks wie beim Kopierer dass man lila auf rot hat und so ne Geschichten... (war früher glaube ich mal sicher, heute vermutlich nicht mehr). Habt ihr da vllt ein paar Tricks und Tipps parat?

    Besten Dank
    der Php-Super-H0ck-L0rd-L33t-4-eva

    0
  • Z

    wenn du schon captchas verwendest, nimm die

    und nein, captchas verbessern nicht die Sicherheit, sondern verwirren, stören und behindern den User

    0
  • ?

    Danke erstmal für die Antwort, aber so ne freie lösung ist in meinem fall nicht geeignet da das ganze für eine kommerzielle Seite sein soll und sich daher nicht so gut macht.

    und wieso sollten captchas die sicherheit nicht verbessern? das sagt sich immer so schön aber gründe dafür fallen zumindest mir nicht ein. dass es den user in deinen augen stört oder verwirrt ist m.E. nicht mehr so, heutzutage is mans ja schon gewohnt die Dinger ausfüllen zu müssen (was auch immer man davon halten mag), und so barrierefreies web is meiner Meinung nach eh ein Wunschtraum...

    0
  • ?

    Hallo

    php-hackl0rd schrieb:

    Danke erstmal für die Antwort, aber so ne freie lösung ist in meinem fall nicht geeignet da das ganze für eine kommerzielle Seite sein soll und sich daher nicht so gut macht.

    Das musst du mal erklären. Muss alles Geld kosten, was du dort verwenden willst.

    php-hackl0rd schrieb:

    und wieso sollten captchas die sicherheit nicht verbessern? das sagt sich immer so schön aber gründe dafür fallen zumindest mir nicht ein. dass es den user in deinen augen stört oder verwirrt ist m.E. nicht mehr so, heutzutage is mans ja schon gewohnt die Dinger ausfüllen zu müssen (was auch immer man davon halten mag), und so barrierefreies web is meiner Meinung nach eh ein Wunschtraum...

    Die Dinger nerven, egal wie oft man sie trifft. Des weiteren habe ich das Gefühl, dass es endlich wieder weniger wird. Oft hat man ja Probleme die Dinger selber zu lesen. Lass die Finger davon, es lohnt nicht.

    chrische

    0
  • Z

    Danke erstmal für die Antwort, aber so ne freie lösung ist in meinem fall nicht geeignet da das ganze für eine kommerzielle Seite sein soll und sich daher nicht so gut macht.

    ich sehe keine Lizenzbestimmung, die dagegen spricht.
    Noch dazu machen sich Captchas generell schlecht auf einer kommerziellen Seite (sehr schlecht sogar)

    und wieso sollten captchas die sicherheit nicht verbessern?

    die captchas, die man so in der Regel findet sind mittlerweile längst geknackt worden und gelten als verwundbar.

    dass es den user in deinen augen stört oder verwirrt ist m.E. nicht mehr so

    sicher? Es gibt auch Leute mit Sehschwäche.
    Noch dazu sind einige Captchas miserabel implementiert (reset nach absenden und man darf neu ausfüllen, wenn ein Formularfeld nicht gepasst hat), was enorm stört

    heutzutage is mans ja schon gewohnt die Dinger ausfüllen zu müssen (was auch immer man davon halten mag)

    nein, ist man nicht. Ich ärgere mich über jede Seite, die sowas implementiert und meide diese auch weitestgehend

    und so barrierefreies web is meiner Meinung nach eh ein Wunschtraum...

    Ach... jeder, der nicht richtig sehen, lesen, schreiben oder denken kann, wird also von dir bewusst nicht beachtet, da du den Aufwand scheust, deine Seite einigermaßen barrierefrei zu machen? Dazu kommen natürlich User, die keinen der 3 Browsergrößen verwenden, sondern meinetwegen übers Handy oder einen Textbrowser ins Internet gehen.
    Barrierefreiheit ist KEIN Wunschdenken, sondern wird im Gegenteil immer wichtiger, wenn man sich von anderen Seiten abheben will.
    Und der Aufwand ist, wenn man ein wenig Ahnung von Webdesign hat (und ein wenig Mehraufwand nicht scheut), zu vernachlässigen

    0
  • ?

    chrische5 schrieb:

    Das musst du mal erklären. Muss alles Geld kosten, was du dort verwenden willst.

    naja ich denke halt das macht sich nicht gut. ich kenne zumindest keine professionellen seiten die auf freie lösungen setzen. hat denke ich was mit prestige zu tun, mag inhaltlich unsinn sein, is aber so. ansonsten isses meine persönliche entscheidung, völlig subjektiv und feddisch. is ja auch meine seite 🙂

    chrische5 schrieb:

    Die Dinger nerven, egal wie oft man sie trifft. Des weiteren habe ich das Gefühl, dass es endlich wieder weniger wird. Oft hat man ja Probleme die Dinger selber zu lesen. Lass die Finger davon, es lohnt nicht.

    das sagst du jetzt so aber mehr als deine subjektive meinung is das auch nicht. ich habe ja kein problem damit dass das so ist, WENN es so ist. aber du kannst doch jetzt nicht erwarten dass du mir das sagst und ich das jetzt lasse 🤡
    ich habe auch noch keine seite erlebt, die daran untergegangen ist.

    0
  • ?

    zwutz schrieb:

    ich sehe keine Lizenzbestimmung, die dagegen spricht.
    Noch dazu machen sich Captchas generell schlecht auf einer kommerziellen Seite (sehr schlecht sogar)

    das hat nichts mit lizenzbestimmungen zu tun. ich sage ja nicht dass es nicht machbar wäre, sondern einfach dass ich es nicht möchte. und da ich meine seite hoffentlich so gestalten darf wie ich möchte muss ich das im grunde gar nicht rechtfertigen. ich möchte meine seite halt nicht mit fremden dingen voll wissen.

    zwutz schrieb:

    die captchas, die man so in der Regel findet sind mittlerweile längst geknackt worden und gelten als verwundbar.

    das sie als verwundbar gelten heißt jan icht automatisch dass sie die sicherheit nicht erhöhen.

    zwutz schrieb:

    sicher? Es gibt auch Leute mit Sehschwäche.
    Noch dazu sind einige Captchas miserabel implementiert (reset nach absenden und man darf neu ausfüllen, wenn ein Formularfeld nicht gepasst hat), was enorm stört

    Es gibt auch Leute ohne Hände, soll ich für die jetzt noch Eingabegeräte ausliefern? Versteh mich nicht falsch, es wäre wünschenswert wenn jeder Zugang zu allen Seiten hätte, aber manchmal is das doch mit Kanonen auf Spatzen schießen. Im Grunde müssste man dann doch jede Seite vorlesen lassen für Blinde etc was denke ich etwas zu viel des Guten ist.
    Außerdem ging es ja in der Ursprungsfrage auch darum, dass man die Captchas so optimiert, dass sie neben der Sicherheit auch noch gut lesbar sind (ich dachte das wäre implizit klar).

    zwutz schrieb:

    nein, ist man nicht. Ich ärgere mich über jede Seite, die sowas implementiert und meide diese auch weitestgehend

    dass du das tust bedeutet aber nicht das alle das tun. studivz zum beispiel is dermaßen voll davon dass ich da auch weg bin weils nur nervt, dennoch is die seite erfolgreich.

    zwutz schrieb:

    Ach... jeder, der nicht richtig sehen, lesen, schreiben oder denken kann, wird also von dir bewusst nicht beachtet, da du den Aufwand scheust, deine Seite einigermaßen barrierefrei zu machen? Dazu kommen natürlich User, die keinen der 3 Browsergrößen verwenden, sondern meinetwegen übers Handy oder einen Textbrowser ins Internet gehen.
    Barrierefreiheit ist KEIN Wunschdenken, sondern wird im Gegenteil immer wichtiger, wenn man sich von anderen Seiten abheben will.
    Und der Aufwand ist, wenn man ein wenig Ahnung von Webdesign hat (und ein wenig Mehraufwand nicht scheut), zu vernachlässigen

    Wie intonierst du denn ohne Mehraufwand Formulare etc.? Hab ich da irgendwelche Techniken verpasst? Wie oben geschrieben tuts mir ja leid für jeden einzelnen, aber irgendwo sind halt Grenzen erreicht. Und wenn einer meint ich müsste für ihn die Seite für sein Handy darstellen können dann hat er halt Pech gehabt. Wünschenswert wäre es sicherlich aber man kann es halt nicht jedem Recht machen. Gerne kannst du mir hier natürlich auch mit Informationen weiterhelfen wo steht dass das so einfach geht. Ich bin in Sachen Webdesign nicht komplett unbegabt, aber eine Website komplett barrierefrei hinzubekommen ist denke ich nicht möglich.

    0
  • ?

    Hallo

    Natürlich kannst du auf deiner Seite machen, was du willst, aber du solltest vielleicht auch Rücksicht auf deine User nehmen.

    chrische

    0
  • P

    Was sind das wieder für Antworten? "Captchas sind Müll, weil sie für Menschen mit Sehschwäche nicht von Vorteil sind" .. ohne Captcha wird ihm dann die ganze Seite komplett vorgelesen oder wie soll das funktionieren?

    Und wieso sollten Captchas nicht die Sicherheit erhöhen? Das klingt nach frustriertem geblubber ohne Hand und Fuß. WPA kann auch geknackt werden, also lassen wir ihn doch direkt weg, is ja eh unsicher. Airbags? Haben auch schon versagt, hinfort damit!

    Schlecht macht sich eine zerschrubbte, vollgespamte und zerhackte Seite als kommerziellen Seite, sicherlich aber keine Captchas.

    0
  • Z

    na ok... ein Merkbefreiter

    wenn dir ein Captcha, dass neben einer deutlich erhöhten Sicherheit gegenüber den Standarddingern auch noch die Möglichkeit des vorlesen-lassens bietet, für deine Seite zu "unsauber" ist und du lieber ein eigenes Captcha verwenden willst, dass sich in der Praxis erst noch bewähren musst, nur zu.
    Fragt sich nur, welches denn nun unsauber ist

    Wenn etwas als verwundbar gilt, ist es nicht sicher, da deine Seite jederzeit Ziel einer Attacke werden kann. Da kann man das Captcha gleich ganz rauslassen und sich eine vernünftige Lösung überlegen.

    Du musst garnichts machen, außer standardkonforme Seiten zu entwerfen, um deine Seite ausreichend barrierefrei zu machen. Den Rest erledigen Screenreader. Nur brauchen die eine klar strukturierte Seite (und können mit Bildern in der Regel nichts anfangen)

    http://www.pcwelt.de/start/sicherheit/archiv/42310/index.html

    0
  • S
    Mod

    personenkult schrieb:

    Schlecht macht sich eine zerschrubbte, vollgespamte und zerhackte Seite als kommerziellen Seite, sicherlich aber keine Captchas.

    captchas sagen "ich habe keine Ahnung von Technik"

    Wenn du das kommunizieren willst - bitte.
    Je nach Zielgruppe ist es schlimm oder unbedeutend.

    0
  • Z

    personenkult schrieb:

    Und wieso sollten Captchas nicht die Sicherheit erhöhen? Das klingt nach frustriertem geblubber ohne Hand und Fuß. WPA kann auch geknackt werden, also lassen wir ihn doch direkt weg, is ja eh unsicher. Airbags? Haben auch schon versagt, hinfort damit!

    was sind denn das für Beispiele? Airbags haben eine Ausfallrate, die niedrig genug ist, dass man ihnen vertrauen kann. WPA soll man auch nicht verwenden, sondern WPA2, und das ist sehrwohl sicher genug, um auch staatlichen Sicherheitsbestimmungen zu genügen.
    So oder so agieren beide Systeme zuverlässig, ohne das der User was merkt, was man bei Captchas nicht grad behaupten kann

    0
  • P

    captchas sagen "ich habe keine Ahnung von Technik"

    Diese Aussage ist ca. genauso sinnlos wie mein Airbagvergleich.

    @zwutz
    Du hast die Ironie nicht verstanden und der PCWelt-Link als Quelle hat dich disqualifiziert.

    0
  • ?

    zwutz schrieb:

    na ok... ein Merkbefreiter

    beleidige mich nicht, ich beleidige dich auch nicht.

    zwutz schrieb:

    wenn dir ein Captcha, dass neben einer deutlich erhöhten Sicherheit gegenüber den Standarddingern auch noch die Möglichkeit des vorlesen-lassens bietet, für deine Seite zu "unsauber" ist und du lieber ein eigenes Captcha verwenden willst, dass sich in der Praxis erst noch bewähren musst, nur zu.
    Fragt sich nur, welches denn nun unsauber ist

    ich habe nirgends geschrieben dass mir das zu unsauber ist, du hast recht vermutlich ist es sogar deutliche sauberer und toller vom funktionsumfang und haste nicht gesehen. nur möchte ich es einfach nicht das fremde sourcen in meiner website verwendung finden. auch möchte ich dort kein logo von irgendwem anders haben fertig.
    abgesehen davon is das argumentativ höchst unsinnig von dir hier zu versuchen mich zu überreden etwas zu gebrauchen was ich bereits dankbar abgelehnt habe. wieso sollte ich hier auf deine persönliche meinung etwas geben wenn ich dich überhaupt nicht kenne und du mich einfach nur darstellst als sei ich ein trottel nur wenn ich nicht auf dich höre?

    zwutz schrieb:

    Wenn etwas als verwundbar gilt, ist es nicht sicher, da deine Seite jederzeit Ziel einer Attacke werden kann. Da kann man das Captcha gleich ganz rauslassen und sich eine vernünftige Lösung überlegen.

    Wie sieht die denn aus? Und das Captchas nicht das nonplusultra sind ist mir schon klar. sie geben mir aber ausreichend sicherheit als dass ich das ganze als für mich verwendbar betrachte. nimm das doch einfach hin und gib tipps bzgl meiner ausgangsfrage und gut is. immer diese antworten auf nicht gestellt fragen, und dann auch noch beleidigend werden (s.o.) wenn man den vorschlag ablehnt.

    zwutz schrieb:

    Du musst garnichts machen, außer standardkonforme Seiten zu entwerfen, um deine Seite ausreichend barrierefrei zu machen. Den Rest erledigen Screenreader. Nur brauchen die eine klar strukturierte Seite (und können mit Bildern in der Regel nichts anfangen)
    http://www.pcwelt.de/start/sicherheit/archiv/42310/index.html

    der artikel und auch dieser weiterführende artikel http://www.w3.org/TR/turingtest/ haben meiner meinung nach das problem dass sie (noch) nicht wirklich praxisnah, zumindest für mich, sind. ich kann und werde mich nicht mit akustischen sicherheitskonzepten beschäftigen, und wie in deinem artikel auch geschrieben, captcha erfüllen in der praxis ihren, in diesem fall meinen, zweck. man sollte auch immer bedenken wer hier die zielgruppe ist, und bei meiner zielgruppe ist es mir relativ wurscht was sie über catpchas denken, da ein großteil dieser gruppe sich nie mit web-sicherheitskonzepten beschöftigt hat noch wird und daher meiner meinung nach an gewissen stellen ein captcha aushalten wird. solltest du also nochmal antworten so nimm doch bitte die verwendung von captchas als gegeben hin.

    0
  • ?

    php-hackl0rd schrieb:

    abgesehen davon is das argumentativ höchst unsinnig von dir hier zu versuchen mich zu überreden etwas zu gebrauchen was ich bereits dankbar abgelehnt habe. wieso sollte ich hier auf deine persönliche meinung etwas geben wenn ich dich überhaupt nicht kenne und du mich einfach nur darstellst als sei ich ein trottel nur wenn ich nicht auf dich höre?

    mal sehen. du kommst her und willst auskunft über dinge, von denen du selbst nichts verstehst. leute mit mehr plan erklären dir dann, wie du dein vorhaben am besten umsetzen kannst. das geht dir aber gegen den strich, weil du dir nicht vorschreiben willst was du zu tun und zu lassen lasst.

    warum machst du es also nicht einfach gleich so, wie es dir in den kram passt? dann verschwendest du auch nicht die zeit dritter.

    0
  • Z

    php-hackl0rd schrieb:

    solltest du also nochmal antworten so nimm doch bitte die verwendung von captchas als gegeben hin.

    hab ich von anfang an und dir daher recaptcha empfohlen. Wenn captchas, dann diese.
    Sieh dir die Seite einfach nochmal an. Auch die FAQ und die API-Doku. Selbst das Logo kann ausgeblendet werden (siehe http://recaptcha.net/fastcgi/demo/customtheme).
    Du kannst sebstverständlich weiter darauf bestehen, dein eigenes Captcha zu entwerfen, aber wunder dich nicht, wenn dir der Aufwand dadurch gelöhnt wird, dass sich die User beschweren (wenn zu sicher) oder ein Spambot ne Möglichkeit findet, es zu umgehen (wenn zu benutzerfreundlich). (und ja, beides kommt durchaus vor).
    Dazu kommt die Serverlast durch die Generierung der Bilder.

    Und ja, es gibt vernünftigere Lösungen als ein Captcha. Die erfordern aber in der Regel ein wenig mehr Aufwand.

    btw: ich wurde nicht beleidigend, nur direkt. Immerhin hat es aber zum gewünschten Effekt geführt

    personenkult schrieb:

    Du hast die Ironie nicht verstanden und der PCWelt-Link als Quelle hat dich disqualifiziert.

    ja ne, is klar. Der PCWelt-Artikel fasst relativ gut den Inhalt der W3C-Aussage zusammen und spiegelt auch meine Erfahrung wieder. Er reicht als Überblick aus, und der W3C-Artikel war ebenfalls verlinkt. Also wo ist dein Problem? Oder sollte das ein Versuch sein, meine Glaubwürdigkeit zu untergraben?

    0
  • P

    ja

    0
  • P

    attorney at law schrieb:

    php-hackl0rd schrieb:

    abgesehen davon is das argumentativ höchst unsinnig von dir hier zu versuchen mich zu überreden etwas zu gebrauchen was ich bereits dankbar abgelehnt habe. wieso sollte ich hier auf deine persönliche meinung etwas geben wenn ich dich überhaupt nicht kenne und du mich einfach nur darstellst als sei ich ein trottel nur wenn ich nicht auf dich höre?

    mal sehen. du kommst her und willst auskunft über dinge, von denen du selbst nichts verstehst. leute mit mehr plan erklären dir dann, wie du dein vorhaben am besten umsetzen kannst. das geht dir aber gegen den strich, weil du dir nicht vorschreiben willst was du zu tun und zu lassen lasst.

    warum machst du es also nicht einfach gleich so, wie es dir in den kram passt? dann verschwendest du auch nicht die zeit dritter.

    Hey, ich mische mich auch gerade sinnlos in eine Diskussion ein. Wie gehts dir dabei so?

    0
  • ?

    attorney at law schrieb:

    mal sehen. du kommst her und willst auskunft über dinge, von denen du selbst nichts verstehst. leute mit mehr plan erklären dir dann, wie du dein vorhaben am besten umsetzen kannst. das geht dir aber gegen den strich, weil du dir nicht vorschreiben willst was du zu tun und zu lassen lasst.
    warum machst du es also nicht einfach gleich so, wie es dir in den kram passt? dann verschwendest du auch nicht die zeit dritter.

    so wie du das darstellt ist es doch gerade nicht. wer weiß denn heute nicht das captchas zahlreiche probleme mit sich bringen bzw. könnten. wer meint auf sowas ein wissensmonopol zu haben versteht nichts von der materie.
    ich habe auch nicht danach gefragt wie man ein catpcha am besten umsetzt, sondern wie man eigene, selbstgemacht captchas noch optimieren kann. meinst du ich hacke mir hier nen captcha zurecht ohne zu wissen dass es zahlreiche sehr gute, freie und vermutlich auch weitaus bessere lösungen gibt? natürlich nicht. nur habe ich da nach nicht gefragt. ich habe bereits zu verstehen gegeben dass die lösungen meistens professioneller und toller und so sind, ich möchte sie aber nicht verwenden, basta. meine motive dafür sind doch erstmal völlig irrelevant, wenn du mir weiter helfen kannst dann tu es aber nicht mit etwas was ich bereits abgelehnt habe. und wenn du meine ablehnende haltung gegenüber freien catpchas bescheuert findest dann sag doch einfach nichts da zu, so verschwendest du nämlich zeit - durch unnötiges ungefragtes blabla was keiner hören will und wonach niemand gefragt hat.

    zwutz schrieb:

    hab ich von anfang an und dir daher recaptcha empfohlen. Wenn captchas, dann diese.
    Sieh dir die Seite einfach nochmal an. Auch die FAQ und die API-Doku. Selbst das Logo kann ausgeblendet werden (siehe http://recaptcha.net/fastcgi/demo/customtheme).
    Du kannst sebstverständlich weiter darauf bestehen, dein eigenes Captcha zu entwerfen, aber wunder dich nicht, wenn dir der Aufwand dadurch gelöhnt wird, dass sich die User beschweren (wenn zu sicher) oder ein Spambot ne Möglichkeit findet, es zu umgehen (wenn zu benutzerfreundlich). (und ja, beides kommt durchaus vor).
    Dazu kommt die Serverlast durch die Generierung der Bilder.

    Und ja, es gibt vernünftigere Lösungen als ein Captcha. Die erfordern aber in der Regel ein wenig mehr Aufwand.

    btw: ich wurde nicht beleidigend, nur direkt. Immerhin hat es aber zum gewünschten Effekt geführt

    nein hast du nicht. ich möchte eigene captchas optimieren und nicht fremd entwickelte benutzen. habe ich etwa nach captchas dritter gefragt? nein, ich habe es sogar bereits mehrmals abgelehnt. ist mir aber auch zu müßig mit dir darüber zu sprechen, denn wenn jemand schreibt ich sei ein merkbefreiter ist das eine beleidigung und nichts anderes. dass du etwas direkt sagst schließt nicht aus dass es nicht beleidigend ist. und was soll der gewünschte effekt sein? dass du dich als andere beleidigender user outest? glückwunsch.

    0
  • Z

    so... langsam wirds lustig ^^

    und was soll der gewünschte effekt sein?

    dass du mit der ekelhaften Scheinhöflichkeit aus den ersten Posts aufhörst. So wurde die Diskussion wenigstens lebhafter

    und du willst tatsächlich ein kommerzielles Projekt als "Spielwiese" für deine Captcha-Versuche verwenden? Nimm für sowas deine private Homepage oder localhost, aber auf ner kommerziellen Seite solltest du etwas verwenden, dass sich in der Praxis bereits mehrfach bewährt hat.

    Und dir kann niemand sagen, was man optimieren kann, weil es kein "nonplus-ultra"-Captcha gibt. Ein Captcha muss ständig verändert werden, die Wortliste muss ständig ausgewechselt werden und bei einem Spam-Durchbruch muss der Algorithmus geändert werden, ohne dass es für die User zu schwer wird. Und nach jeder Änderung muss sich das Captcha erneut bewähren, da es womöglich dadurch sogar noch angreifbarer wurde.
    Ein selbst-erstelltes Captcha für Seiten zu verwenden, die über die private Homepage hinausgehen sollte nur dann gemacht werden, wenn man sich wirklich sicher ist, was man macht. Alles andere ist, ich wiederhole, sinnlos, da du deine ganze Aufmerksamkeit in ein kleines Bild stecken musst, dass die meisten User eh nur als störend empfinden, nur um die Spammer abzuwehren, anstatt dich sinnvolleren Sicherheitsmaßnahmen zu widmen, die dir kein Captcha abnehmen kann

    btw: ich ersetze "merkbefreit" durch "nicht lernfähig", "stur" und "kritikunfähig". Im Grunde das selbe, aber ein wenig indirekter

    0
Anmelden zum Antworten