Spamschutz geknackt?



  • Ist der Spamschutz geknackt? Oder wie kommt ein post mit ca. 200 Links durch?

    http://www.c-plusplus.net/forum/viewtopic-var-t-is-227402.html



  • außerdemkommen viele "comment6, " posts durch



  • eeeeeeeeeeee schrieb:

    außerdemkommen viele "comment6, " posts durch

    Was wollen die mit diesen eigentliche bzeweicken? Die Link-Spammer kann ich ja noch nachvollziehen.



  • Dieser Thread wurde von Moderator/in rüdiger aus dem Forum Themen rund um den PC in das Forum Forentechnik verschoben.

    Im Zweifelsfall bitte auch folgende Hinweise beachten:
    C/C++ Forum :: FAQ - Sonstiges :: Wohin mit meiner Frage?

    Dieses Posting wurde automatisch erzeugt.



  • Ich habe mich auch über die merkwürding Spam-threads und Spam-Antworten gewundert und dann gerade einmal selbst einen sinnlosen Post abgeschickt: Und was muss ich feststellen? Es kommt noch nicht mal die Aufforderung, eine Rechenaufgabe zu lösen oder Text aus einem Bild abzuschreiben.

    Nach ein Bisschen googlen habe ich aber gelernt, dass diese "Captchas" ja offensichtlich mittlerweile immer besser auch von Bots erkannt werden können. Hier gibt es beispielsweise eine Bibliothek: http://caca.zoy.org/wiki/PWNtcha

    Dort gibt es aber auch gleich den Hinweis auf eine mögliche und auch nicht schwer zu implementierende Lösung, die für die bisherige Erkennungssoftware sicher noch eine große Hürde ist: Wie wäre es, wenn einem unregistrierten Benutzer ein Bild mit einem Tier oder Gegenstand angezeigt wird, zusammen mit der Frage: "was ist das?". Die Bilder könnte man sich problemlos aus einer der freien Bilddatenbanken besorgen und mit Imagemagick verkleinern. Das wäre natürlich für online-banking ein bisschen unsicher aber für das Forum reicht doch ein Vorrat von 100-200 Bildchen locker aus, oder?

    Zudem hätte man dann eine non-standard-Lösung: Es lohnt sich doch weniger für ein einzelnes Forum einen Bot zu schreiben, als wenn man es für eine ganze Forensoftware wie PHPbb tut.



  • Oder wie wäre es mit einfachen Wissensfragen aus Mathematik, Physik, Geschichte, Politik, ...? Die kann man ggf mit google leicht beantworten, aber ein Bot hat damit Probleme.



  • Coole Idee keine Frage. Geburtsdatum von Konrad Adenauer? In welchem Jahr waren die Anschläge des 11. September? ...
    Der einzige Haken daran ist der Implementierungsaufwand: Da ist ganz schön Recherche nötig. Aber witzig ist es. Ich beteilige mich gerne an der Fragensuche 🙂

    Was Barrierefreiheit angeht: Es kann sich ja jeder Anmelden, der auf Screenreader angewiesen ist. Dann haben sich die Captchas eh erledigt.



  • Die Fragen kannst du knicken. Du wirst nie ausreichen viele haben. Der Spamer wird einfach eine Datenbank mit allen Antworten anlegen und schon sitzt du blöd da.



  • Aber dann müsste sich einer hinsetzen und die Datenbank erstellen. Sind nicht die meisten Bots generisch für viele Foren geschrieben? Macht sich einer die Mühe eigens für das c++Forum einen Spambot zu schreiben?



  • Letztere Frage kann ich eindeutig mit einem "ja" beantworten... das hatten wir in der Vergangenheit tatsächlich schon.



  • Ok, dann keine Fragen. Aber was ist mit den Bildern? Wenn die Bilder nur über ein script via "http://www.c-plusplus.net/get_bild.php?session_id=xyz" erreicht werden kann man schonmal nicht mehr von bild-url auf bildinhalt schließen. Ein bot müsste also für jeden Versuch das Bild runterladen, hashen und mit dem hash aus der Datenbank vergleichen. Wenn die Anzahl der Versuche begrenzt ist und die Zahl der Bilder groß genug, dann dürfte das Verfahren nervig genug sein, um einen Großteil der Bots abzuschrecken.



  • Wirdbald schrieb:

    Ok, dann keine Fragen. Aber was ist mit den Bildern? Wenn die Bilder nur über ein script via "http://www.c-plusplus.net/get_bild.php?session_id=xyz" erreicht werden kann man schonmal nicht mehr von bild-url auf bildinhalt schließen. Ein bot müsste also für jeden Versuch das Bild runterladen, hashen und mit dem hash aus der Datenbank vergleichen. Wenn die Anzahl der Versuche begrenzt ist und die Zahl der Bilder groß genug, dann dürfte das Verfahren nervig genug sein, um einen Großteil der Bots abzuschrecken.

    Da würde ich mich nicht von abschrecken lassen. Das Programm lädt einfach das Bild runter und guckt, ob es dafür schon eine Lösung gibt, wenn nicht wird es eben an den Anwender abgegeben. Und wenn es schon vorhanden ist, dann kann das Programm es selber lösen. Am Anfang wird das Programm noch sehr viel Hilfe benötigen, aber mit jedem neuen Bild wird es besser und schlussendlich alle Bilder lösen können... Und das Lösen einer Rechenaufgabe... Bei "5 + 11" würde selbst ein Programmieranfänger ein Programm dafür entwickeln können...

    Diesen Kampf kann man wahrscheinlich nicht gewinnen und bei vielen modernen Captchas hat selbst der Mensch extreme Schwierigkeiten... Im Endeffekt hat der Anwender dadurch mehr Nachteile.



  • Dummie schrieb:

    Diesen Kampf kann man wahrscheinlich nicht gewinnen und bei vielen modernen Captchas hat selbst der Mensch extreme Schwierigkeiten... Im Endeffekt hat der Anwender dadurch mehr Nachteile.

    Gibt da durchaus sehr schöne Arten, brauchbare Captcha-Systeme zu implementieren:

    http://spamfizzle.com/CAPTCHA.aspx
    http://hci.stanford.edu/~winograd/shrdlu/
    http://ieeexplore.ieee.org/xpl/freeabs_all.jsp?tp=&arnumber=1629343&isnumber=34182

    Das lässt sich wohl alles wunderbar verwenden. Ist alles nur eine Frage des Kosten-Nutzenverhältnisses…



  • Diesen Kampf kann man wahrscheinlich nicht gewinnen und bei vielen modernen Captchas hat selbst der Mensch extreme Schwierigkeiten... Im Endeffekt hat der Anwender dadurch mehr Nachteile.

    Dann lasst es von mir aus bleiben. Natürlich gibt es keine Captchas, die nicht von Menschen "geknackt" werden können - das liegt in der Natur der Sache, da können wir uns noch lange unterhalten. Wenn sich jemand hinsetzt und hunderte Captchas löst, dann kann der sicherlich Spammen. Es geht ja darum vollautomatische Bots abzuwehren. Gegen manuellen Spam gibt es kaum eine andere Möglichkeit als manuell aussortieren und löschen.


Log in to reply