[PHP mailform] Allemaal meuk

wat voor captcha is het?


lijkt alsof deze gekraakt is (omzeild) of rechtstreeks de info in de DB krijgt (de captacha beveiliging omzeilt)


zonder de code zelf kunnen we moeilijk zien hoe het komt dat het lukt.

mogelijkheid is vb
'a cow says: a) moo
b) miauw
c) waf'

principe
of 'een hond is een ... (dier)'

[ Voor 20% gewijzigd door Icekiller2k6 op 14-09-2008 21:55 ]

Kijk eens naar akismet, zeer goede antispam oplossing voor dit soort problemen.

Geen captcha's oid om mensen te storen

Dat is wel een beetje de meest standaard die je kunt vinden op het web, en is ook van de eerste resultaten in google als je op captcha tutorial of iets dergelijks zoekt. Dus de kans dat die gekraakt is, is behoorlijk groot.

Verwijderd schreef op zondag 14 september 2008 @ 22:00:
Dit is de code
[afbeelding]

Geen super ingewikkelde, maar wat zou het doel zijn van dit soort spam?
In ieder geval geen verkoop van Viagra steroiden of andere meuk.

Direct in de database lijkt me niet. Want de velden die het PHP script mee geeft zijn gewoon gevuld.

wat je kunt doen is

random getallen 'kleuren' en zeggen dat ze enkel de RODE Getallen vb moeten overtypen...

Icekiller2k6 schreef op zondag 14 september 2008 @ 21:54:
wat voor captcha is het?


lijkt alsof deze gekraakt is (omzeild) of rechtstreeks de info in de DB krijgt (de captacha beveiliging omzeilt)


zonder de code zelf kunnen we moeilijk zien hoe het komt dat het lukt.

mogelijkheid is vb
'a cow says: a) moo
b) miauw
c) waf'

principe
of 'een hond is een ... (dier)'

Als je captcha gekraakt is zou ik ook zoiets implementeren. Een bot die echt intelligentie vertoont is vrij schaars vermoed ik (in ieder geval onder spammers ).

[ Voor 3% gewijzigd door Verwijderd op 14-09-2008 22:28 ]

Spambots. Struinen sites af naar publieke versienummers en spammen de boel onder. Populair zijn PHPBB-forums, ook gastenboeken met brakke beveiliging. Maak er iets bij zoals Bent u een bot / ja / nee meerkeuze-vraag en je bent er vanaf.

Meestal is het doel hiervan het formulier te testen op zogenaamde injectie beveiligingslekken.

Door de juiste code te sturen naar jouw mailform is het mogelijk bij een slecht ontworpen mailform om spam te versturen via het formulier.

Zodra de spammers jouw formulier daarop getest hebben komt het resultaat in hun database te staan en indien het lek gevonden is wordt jouw formulier gebruikt om spam te versturen. Soms zelfs zonder dat je er iets van merkt.

Verwijderd schreef op zondag 14 september 2008 @ 22:32:

Wat is het doel van dit soort spam?

Geld verdienen.

Wat mij betreft is er maar 1 goede antispam oplossing: www.recaptcha.net

Gratis, je helpt mee met het digitaliseren van oude boeken, en als het gekraakt wordt, hoef jij er niets voor te doen, dat doet recaptcha.net

Je zou ook nog het aantal toegestane url's bijvoorbeeld kunnen limiteren tot 1 a 2. Dat houdt dan ook een boel weg.

Een meerkeuzevraag als beveiliging is trouwens niet erg slim als je meer dan xx% wilt tegenhouden

Ik vind reCaptcha ook erg tof.

Bozozo schreef op zondag 14 september 2008 @ 23:05:
Prachtig eigenlijk dat het zo moeilijk is om een goede anti-bot vraag te bedenken. Zegt heel veel over de mens

Het mooiste is eigenlijk dat de menselijke hersenen getraind zijn om bepaalde problemen op te lossen, en dat het voor mensen ofwel heel moeilijk is om bepaalde problemen (zoals patroonherkenning) om te zetten naar iets waarmee een logisch apparaat iets kan, ofwel het gewoon teveel rekenkracht vereist.

Bekijk de volgende paar zinnen:

• De olifant struikelde over een mier.
• De mier klom tegen de been van de olifant omhoog.

De mens heeft een soort ingeblouwd bullshitfilter. Zelfs als een zin helemaal klopt, klopt een zin niet altijd. Zolang je zelf niet kunt definiëren wat onzin is, en wat niet, kun je er geen goed algoritme voor bedenken. Mensen denken in abstractere zaken dan mieren en olifanten, ze vormen er direct een beeld bij, en snappen dat bijvoorbeeld de verhoudingen niet kunnen kloppen. Je zou natuurlijk voor een concreet voorbeeld een oplossing kunnen bedenken, maar vooralsnog zijn we nog lang niet ver genoeg om een menselijk brein na te bootsen, puur omdat we zelf niet goed begrijpen hoe dat werkt.

Tot die tijd zullen captcha's natuurlijk prima kunnen werken. Wat gaan we echter doen als dat niet meer zo is?

[ Voor 44% gewijzigd door Verwijderd op 14-09-2008 23:14 ]

Snake schreef op zondag 14 september 2008 @ 21:55:
Kijk eens naar akismet, zeer goede antispam oplossing voor dit soort problemen.

Ik heb Akismet in een hele diepe /dev/null put weggegooid toen ie spontaan begon met authorized comments van crew weg te gooien als spam, en ik bij nadere inspectie van wat ie tegenhield en doorliet echt niet anders kon concluderen dan dat het ding echt waardeloos is.

Lees curry684 in "Hoe test je een zelfgemaakte Captcha? *" overigens eens - ik exploiteer een paar sites die duizenden spam comments per dag krijgen waarvan veruit het grootste gedeelte al op de daar omschreven implementatie, die je gebruikers niet lastig valt (!!!), struikelt. Zetten we ook massaal in voor klanten en daar werkt het ook perfect.

[ Voor 28% gewijzigd door curry684 op 14-09-2008 23:56 ]

curry684 schreef op zondag 14 september 2008 @ 23:49:
[...]

Ik heb Akismet in een hele diepe /dev/null put weggegooid toen ie spontaan begon met authorized comments van crew weg te gooien als spam, en ik bij nadere inspectie van wat ie tegenhield en doorliet echt niet anders kon concluderen dan dat het ding echt waardeloos is.

[...]

Tjah, lastig te zeggen waarom dat gebeurt. Bij mij heeft Akismet tot nu toe 30.000 comments geblocked, hooguit 10 false positives en hooguit 30 spam's gemist. Ik vind dat een hele goede score, maar: "Your mileage may vary".

[ Voor 23% gewijzigd door tonyisgaaf op 15-09-2008 00:24 ]

Er zijn bedrijven in india die hun medewerkers 2 dollar per 1000 ingevulde captcha's beveiligde formulieren betalen. Ik denk niet dat captcha's nog erg lang effectief zullen blijven.

Verwijderd schreef op zondag 14 september 2008 @ 23:11:
[...]


Is een goeie inderdaad.

Ik zat ook te denken aan een maximum lengte van een string waar geen www of http:// voor staat opdat input zoals
[...]
ook niet meer zou kunnen.
+ daarbij een limiet verzenden per IP, en misschien nog wel meer.

Maar idd. goeie tips!

ik heb dat probleem ook gehad op een site die ik voor een kennis heb gemaakt, en heb het als volgt opgelost. vooralsnog heb ik geen problemen meer:
- de link naar het gastenboek was al een afbeelding, heb de afbeelding van "gastenboek" naar "notitie" hernoemd. de gebruiker blijft dus het woord gastenboek zien.
- zelfde gedaan met gastenboek.php die nu notitie.php heet
- als er een URL in de data voorkomt, wordt de posting niet meteen toegevoegd aan het gastenboek, maar moet hij worden goedgekeurd door de beheerder. Oftewel voor de bot lijkt het alsof de toevoeging geen resultaat heeft gehad, omdat zijn post niet meteen verschijnt.

sinds deze wijzigingen is het laastste punt niet eens meer nodig gebleken, want heb nog nooit een goedkeuring hoeven toepassen.
Ik weet dat het een hele simpele beveiliging is, maar zolang het werkt zadel ik de gebruikers van de site niet op met een extra captcha of ander vaag invoerveld.

Je kan ook simpelweg alles met UBB tags en / of HTTP links verwijderen. Ook die troep zoals Kijk snel op site . com (in google). Is gewoon een kwestie van bijhouden wat voor een links er gepost worden, en welke vormen van spam.

Wat je voor de zekerheid ook nog kan controleren (wat ik zelf een keer heb gehad) dat je niet nog een oude versie van de site ergens hebt staan waar die spam stiekem vandaan wordt gestuurd. Anders kun je op de definitieve versie nog zoveel beveiliging inbouwen, maar schiet je er niets mee op..

Neuh, gewoon zoals curry noemt een hidden input waar je de tijd uit kan afleiden in je form stoppen. En een oude versie heeft die waarde dan niet en wordt tegen gehouden.

Tenzij je echt een idioot grote en voor spambots interessante site hebt kom je echt al een heel eind met onzichtbare technieken. En captcha plaatjes zuigen kamelenballen, een beetje bot vult ze in, terwijl ik (maar ik ben vast geen gemiddelde user) lekker mijn nuttige input achterwege laat als er een lelijke captcha staat.

Mijn trucje werkt al jaren, gewoon met javascript een hidden form var zetten (die je bijv aan het onclick event hangt van een verplichte tekstbox), en daar op checken. Er is volgens mij nog geen spambot die (selectief) javascript uitvoert.
Het werkt als een spreekwoordelijke tiet, heb nooit meer spam gezien