[captcha] is dit een veilig alternatief?

vrijdag 5 maart 2010 11:05

Acties:

0 Henk 'm!

Topicstarter

Hallo,

Om mijn formulieren een beetje beter te beveiligen tegen spam-bots en andere ongewenste input, heb ik een eigen captcha-methode gemaakt.

Deze wordt als een soort van fruit-machine getoond op de pagina en laat eerst een x-aantal random-woorden zien, voordat het echte woord naar boven komt drijven;

Afbeeldingslocatie: http://img218.imageshack.us/img218/3812/captchaaaaah.jpg

Afbeeldingslocatie: http://img218.imageshack.us/img218/3812/captchaaaaah.jpg

Voor deze methode kan / wil ik geen gebruik maken van de standaard GD Graphics Library, omdat mijn sites in een soort van eco-systeem draaien dat zo min mogelijk resources vereist [dus geen database nodig, geen afwijkende php-modules, geen externe libraries, - ze moeten out of the box meteen werken...].

Ik kan dus niet 'gewoon' een random image laten genereren op server-niveau die men vervolgens moet lezen en moet na-tikken, en heb dus maar heb iets anders bedacht;

Er is sprake van één afbeelding met een x-aantal woorden daarin.
Dit plaatje wordt als background geladen in een css-division.
Op server-niveau wordt een random nummer gegenereerd.
Dit nummer wordt als soort van captcha-id gekoppeld aan het in te tikken woord, in het captcha-plaatje.
Het formulier wordt pas verzonden als het woord en het gekoppelde ID overeenkomen met elkaar.
Verificatie van het ingetikte woord en het gekoppelde ID vinden op server-niveau plaats.

In principe werkt dit goed en volgens mij is er standaard al sprake van vier vereisten om het juiste woord in te kunnen tikken;

De cliënt moet style-sheets kunnen lezen.
De cliënt moet javascript kunnen uitvoeren.
De cliënt moet (achtergronds)-afbeeldingen kunnen zien.
De cliënt moet überhaupt (letters...) kunnen lezen.

Volgens mij voldoen spam-bots niet aan deze vier eisen, en natuurlijk is een random-captcha veiliger [want meer captcha's], maar voor een extra basis-beveiliging zou mijn methode toch ook moeten werken.

Natuurlijk kan je een braat-o-lizer script over het formulier gooien en met een brute-force-attack 25.000 Engelse woorden proberen door te sturen, maar dat vang je eenvoudig op door bijvoorbeeld na 5 mislukte pogingen de toegang tot het formulier te weigeren.

Mijn vraag is dus of deze 'alternatieve' captcha-methode afdoende is voor een extra, basis-beveiliging. Het gaat niet om bedrijfs-kritische formulieren, maar meer om een stukje service naar de opdrachtgever toen, zodat hij zonder speciale server toch een vorm van captcha's kan draaien.

Een proefopstelling van het systeem kan hier worden bekeken...

[ Voor 0% gewijzigd door b2vjfvj75gjx7 op 05-03-2010 11:07 . Reden: linkje bold gemaakt... ]

vrijdag 5 maart 2010 11:23

Acties:

0 Henk 'm!

Ram0n

Bierbrouwende nerd

Weet je wel 100% zeker dat alle bezoekers javascript aan hebben staan?

Eigenaar/brouwer Milky Road Brewery

vrijdag 5 maart 2010 11:26

Acties:

0 Henk 'm!

crisp

Devver

Pixelated

Uit punt 1, 2 en 3 volgt automatisch een accessibility issue. Als dat acceptabel is dan kan je dat natuurlijk gebruiken, maar dat is een vraag die je jezelf zou moeten stellen.

Intentionally left blank

vrijdag 5 maart 2010 11:31

Acties:

0 Henk 'm!

MsG

Forumzwerver

Hij ziet er leuk uit maar vind hem nog niet super handig. Enkel met formulieren waar je langer bezig bent. Ik heb nu de neiging om het woord LOAD in te typen en weet niet dat ik moet wachten.

Denk om uw spatiegebruik. Dit scheelt Tweakers.net kostbare databaseruimte! | Groninger en geïnteresseerd in Domotica? Kom naar DomoticaGrunn

vrijdag 5 maart 2010 11:32

Acties:

0 Henk 'm!

DanielG

i = 0x5f3759df - (i>>1); ☠₧ℳ🀪❣

Is het niet beter om een bekend goed captcha systeem te includen zoals reCAPTCHA?

http://xyproblem.info/

vrijdag 5 maart 2010 11:34

Acties:

0 Henk 'm!

Daros

MsG schreef op vrijdag 05 maart 2010 @ 11:31:
Hij ziet er leuk uit maar vind hem nog niet super handig. Enkel met formulieren waar je langer bezig bent. Ik heb nu de neiging om het woord LOAD in te typen en weet niet dat ik moet wachten.

Hier hetzelfde.

Moet zeggen dat hij wel goed leesbaar is! Dat is zeker een +

vrijdag 5 maart 2010 11:35

Acties:

0 Henk 'm!

MsG

Forumzwerver

Vind hem niet echt veilig. Als je van 1 combinatie het ID + woord weet kan je daarna de pagina zo aanpassen met firebug in dat ID en het bijbehorende woord invullen. Je moet het met deze captcha denk ik meer hebben van het feit dat spambotbouwers geen zin hebben voor elke eigen klusser een andere spambot te maken dan van de sublieme veiligheid oid.

Denk om uw spatiegebruik. Dit scheelt Tweakers.net kostbare databaseruimte! | Groninger en geïnteresseerd in Domotica? Kom naar DomoticaGrunn

vrijdag 5 maart 2010 11:40

Acties:

0 Henk 'm!

b2vjfvj75gjx7

Topicstarter

Hi,

Ik maak nooit gebruik van standaard / bestaande methodes

Gewoon, omdat ik het leuk vind alles zelf te ontwikkelen [niet dat het dan beter wordt, maar het is wel 100% "eigen" en dat vind ik gewoon... leuker om te doen - niet heel zakelijk zo'n argument, maar wel goed voor mijn plezier in het werk],

Een bestaande methode gebruiken, is dus geen optie [nog los van het feit dat het syteem moet werken op alle servers, ook als een cliënt geen schrijfrechten heeft, bijvoorbeeld...]

Zonder javascript kom je inderdaad niet door het systeem, maar dat is niet zo'n issue voor mij omdat ik er van uit ga dat 98,5% van de mensen javascript wel hebben... Wellicht bouw ik nog iets in, dat als je geen javascript hebt, dat je gewoon een standaard mailtje kan sturen - in plaats van via zo'n formulier.

"LOAD" aan het begin kan inderdaad verwarrend overkomen, wellicht maak ik er "? ? ? ?" van, of iets van "... ... ... ...", zodat je in ieder geval weet / ziet dat er nog iets moet worden ingeladen [of vier x een zandlopertje, maar dat wordt ook weer zo druk].

O ja - iemand zei dat het goed leesbaar was, maar dat is juist niet de bedoeling van een captcha

vrijdag 5 maart 2010 11:40

Acties:

0 Henk 'm!

DanielG

i = 0x5f3759df - (i>>1); ☠₧ℳ🀪❣

MsG schreef op vrijdag 05 maart 2010 @ 11:35:
Vind hem niet echt veilig. Als je van 1 combinatie het ID + woord weet kan je daarna de pagina zo aanpassen met firebug in dat ID en het bijbehorende woord invullen. Je moet het met deze captcha denk ik meer hebben van het feit dat spambotbouwers geen zin hebben voor elke eigen klusser een andere spambot te maken dan van de sublieme veiligheid oid.

Mee eens, als ik een post doe met CaptchaID=6 en CaptchaValue=okay dan kom ik er altijd doorheen, ongeacht wat het plaatje op het scherm laat zien.

b2vjfvj75gjx7 schreef op vrijdag 05 maart 2010 @ 11:40:
O ja - iemand zei dat het goed leesbaar was, maar dat is juist niet de bedoeling van een captcha

Ik denk dat hij bedoelde goed leesbaar voor mensen, dit hoeft niet perse te betekenen dat een computer het goed kan lezen.

//edit

Als je je captcha plaatjes wil testen dan staat er op http://www.owasp.org/inde...WASP-AT-008%29#References een paar opensource programma's die de tekst zullen proberen te lezen.

[ Voor 31% gewijzigd door DanielG op 05-03-2010 11:45 ]

http://xyproblem.info/

vrijdag 5 maart 2010 11:42

Acties:

0 Henk 'm!

KabouterSuper

Als je spammer eerst even de moeite neemt om je formulier te bekijken, dan ga je al snel nat. http://dmotion.com/tmp/_captcha/_data/captchas.jpg geeft je alle woorden, waarna het feest begint voor de spammer.

Random captcha's zijn toch echt te prefereren.

When life gives you lemons, start a battery factory

vrijdag 5 maart 2010 11:47

Acties:

0 Henk 'm!

b2vjfvj75gjx7

Topicstarter

Het is inderdaad niet het uitgangspunt om te voorkomen dat mensen handmatig de boel gaan 'saboteren' [al is het wel interessant als men dit doet!].

Ik richt me echt op standaard spambots die gewoon op zoek gaan naar open formulieren en niet direct naar mensen die de code bekijken, een extensie aan hun browser koppelen en dan kijken of ze er 'door heen' kunnen komen [al is dit wel de vraag in deze post].

Het systeem gaat sowieso alleen voor low-profile sites gebruikt worden, dus die zijn per definitie [?] al minder interessant voor grootschalige spam-bots. Aan de andere kant; als je zo simpel al de boel kan tricken, klopt er ook niets niet.

Overigens wordt in de definitieve versie alle afwijkende html / php / etc... input wel weggefilterd, dus ik maak wat keywords die 'forbidden' zijn, waardoor je de boel niet kan injecteren met codes...

Maar ja, dat zie ik de gemiddelde Russische spamboer nog niet doen (al komen de meeste spambots bij mij uit Albanië, vreemd genoeg...).

vrijdag 5 maart 2010 11:50

Acties:

0 Henk 'm!

DanielG

i = 0x5f3759df - (i>>1); ☠₧ℳ🀪❣

Ik kan me wel voorstellen dat er standaard spambots zijn die 1 keer een human nodig hebben om velden in te vullen en daarna steeds de zelfde POST velden gebruiken.

Maar het is beter dan niks (en beschermt dus wel tegen spambots die dus totaal niets tegen captcha doen).

Nog even een bugje gevonden trouwens, als ik een CaptchaID meegeef van -1 dan voldoet een leeg veld, waarschijnlijk ergens een vergelijking die niet controleert of de CaptchaID wel bestaat

.

[ Voor 26% gewijzigd door DanielG op 05-03-2010 11:53 ]

http://xyproblem.info/

vrijdag 5 maart 2010 11:54

Acties:

0 Henk 'm!

Sorcerer8472

Mens sana?

Nog een alternatief is het gebruik van flash, waarbij je een captcha genereert via input met een public key in de flash-app en een private key op de server.

Dat kan in principe bijna even veilig als captcha, zeker als je de keys zo nu en dan uitwisselt, of telkens een andere public key gebruikt.

Heb even geen zin om het helemaal uit te denken en tekenen, maar misschien is dat wel een alternatief; kun je het nog leuk animeren ook. Accessibility is wel minder, maar daar kan een audio-ding voor worden verzonnen.

Reality is merely an illusion, albeit a very persistent one.

vrijdag 5 maart 2010 12:01

Acties:

0 Henk 'm!

Ook al Bezet

Sorcerer8472 schreef op vrijdag 05 maart 2010 @ 11:54:
Nog een alternatief is het gebruik van flash, waarbij je een captcha genereert via input met een public key in de flash-app en een private key op de server.

Alleen zit je dan wel weer met het toegankelijkheidsprobleem, nog meer dan als je javascript gebruikt. Bezoekers met een iphone zullen je alvast niet dankbaar zijn.

vrijdag 5 maart 2010 12:02

Acties:

0 Henk 'm!

significant

Lay-out technisch:
het plaatje verspringt tijdens het draaien in FF.

Verder, in plaats van dat figuur met alle combinaties zou je alle letters apart als plaatje kunnen opslaan. Daar gooi je Cesar-code overheen (letter A krijgt dus 04.jpg bv).

Verder leuke gedachtegang, maar ik sluit me wel aan bij de opmerkingen hierboven: het is nog niet 100% safe...

vrijdag 5 maart 2010 12:07

Acties:

0 Henk 'm!

Gerco

Professional Newbie

Ook al Bezet schreef op vrijdag 05 maart 2010 @ 12:01:
Alleen zit je dan wel weer met het toegankelijkheidsprobleem, nog meer dan als je javascript gebruikt. Bezoekers met een iphone zullen je alvast niet dankbaar zijn.

Hoe bedoel je? Net getest op iPhone en het lijkt prima te werken. Woorden wisselen elkaar af, het formulier accepteert de code ook gewoon en weigert verkeerde.

Dacht je dat Safari Mobile geen javascript support had misschien?

[ Voor 12% gewijzigd door Gerco op 05-03-2010 12:07 ]

- "Als ik zou willen dat je het begreep, legde ik het wel beter uit!" | All number systems are base 10!

vrijdag 5 maart 2010 12:09

Acties:

0 Henk 'm!

DanielG

i = 0x5f3759df - (i>>1); ☠₧ℳ🀪❣

significant schreef op vrijdag 05 maart 2010 @ 12:02:
Lay-out technisch:
het plaatje verspringt tijdens het draaien in FF.

Verder, in plaats van dat figuur met alle combinaties zou je alle letters apart als plaatje kunnen opslaan. Daar gooi je Cesar-code overheen (letter A krijgt dus 04.jpg bv).

Verder leuke gedachtegang, maar ik sluit me wel aan bij de opmerkingen hierboven: het is nog niet 100% safe...

"het plaatje verspringt tijdens het draaien in FF." dat hoort, er zit speciaal een 'quake' gedeelte in de javascript die dat doet

een Cesar-code (Caesar cipher) verplaats een letter een x aantal plaatsen (a word c, b wordt d, etc) dat is niet hetzelfde als een nummer associëren aan een letter.

Gerco schreef op vrijdag 05 maart 2010 @ 12:07:
[...]

Hoe bedoel je? Net getest op iPhone en het lijkt prima te werken. Woorden wisselen elkaar af, het formulier accepteert de code ook gewoon en weigert verkeerde.

Dacht je dat Safari Mobile geen javascript support had misschien?

Hij heeft het over als je flash zou gebruiken.

[ Voor 20% gewijzigd door DanielG op 05-03-2010 12:10 ]

http://xyproblem.info/

vrijdag 5 maart 2010 12:13

Acties:

0 Henk 'm!

Ook al Bezet

Gerco schreef op vrijdag 05 maart 2010 @ 12:07:
[...]

Hoe bedoel je? Net getest op iPhone en het lijkt prima te werken. Woorden wisselen elkaar af, het formulier accepteert de code ook gewoon en weigert verkeerde.

Dacht je dat Safari Mobile geen javascript support had misschien?

huh? Ik reageerde op Sorcerer8472, die voorstelde flash te gebruiken. Voor zover ik weet heeft de iphone dat nog altijd niet.

vrijdag 5 maart 2010 12:35

Acties:

0 Henk 'm!

Sorcerer8472

Mens sana?

iPhone-gebruikers kun je standaard captcha voorschotelen ipv flash, hadden ze maar geen iPhone moeten kopen

[ Voor 4% gewijzigd door Sorcerer8472 op 05-03-2010 12:35 ]

Reality is merely an illusion, albeit a very persistent one.

vrijdag 5 maart 2010 12:41

Acties:

0 Henk 'm!

Ook al Bezet

Sorcerer8472 schreef op vrijdag 05 maart 2010 @ 12:35:
iPhone-gebruikers kun je standaard captcha voorschotelen ipv flash, hadden ze maar geen iPhone moeten kopen

iphone was maar een voorbeeld, er zijn mer mensen die geen flash hebben of het uit hebben staan.

vrijdag 5 maart 2010 12:52

Acties:

0 Henk 'm!

Gerco

Professional Newbie

Ook al Bezet schreef op vrijdag 05 maart 2010 @ 12:13:
huh? Ik reageerde op Sorcerer8472, die voorstelde flash te gebruiken. Voor zover ik weet heeft de iphone dat nog altijd niet.

Begrijpend lezen is ook een vak, ik had je verkeerd begrepen. Mijn excuses.

- "Als ik zou willen dat je het begreep, legde ik het wel beter uit!" | All number systems are base 10!

vrijdag 5 maart 2010 14:13

Acties:

0 Henk 'm!

Cartman!

Volgens mij doet je gewoon teveel clientside, de bedoeling van captcha is dat de client gewoon niks weet over wat er in je image zit. Op het moment dat je met javascript controleert of je invoer wel juist is dan ben je al verkeerd bezig, je server moet nooit aan de client laten weten wat wel of niet een goed antwoord is.

Ik begrijp de insteek dat je alles zelf wilt maken maar deze implementatie is naar mijn idee redelijk waardeloos in de praktijk (leuk bedacht hoor, dat wel!). Daarnaast vind ik GDlib helemaal geen afwijkende extensie in php, elke normale host heeft dat gewoon (iig alle partijen die wij gebruiken).

vrijdag 5 maart 2010 14:39

Acties:

0 Henk 'm!

b2vjfvj75gjx7

Topicstarter

Tja, flash is [voor mij] geen optie, omdat ik liever geen plug-ins gebruik.

Deels om de iPhone's niet uit te sluiten, deels omdat ik zelf gewoon geen fan van flash ben... Ik gebruik het soms wel [om fonts te renderen, ofzo] maar zorg altijd voor een backup-methode waar je dan op terug kan vallen als iemand geen flash wil / kan draaien.

Ik ga in het captcha-deel in ieder geval wat code-ruis gooien;

Het veld met de naam "CaptchaID" verraadt te veel over de achterliggende techiek / logica.
Dit veld ga ik gewoon een generieke naam geven... "TimeStamp" of "ThisIsYourIQ"
De hele ID zelf is nu een getal [bv. 18] en daar gooi ik random-nummers omheen.
De ID wordt dan iets van "45.33.2.18.76.3" - hierdoor is al lastiger te achterhalen hoe-en-wat

En het klopt dat het veel op client-niveau leunt, maar dat is omdat ik geen beroep wil / kan doen op al te veel server-niveau's...

Veel sites ontwikkel ik mbv. een lokale webserver [die vanaf een memory-stick draait, zodat ik overal kan inpluggen en werken waar ik wil]. En die webserver heeft geen GDlib, helaas... (als iemand nog een portable webserver kent die dit wel ondersteunt... graag!).

En het is een experimentje; het is ook niet bedoeld als 100% veilige oplossing, maar meer "beter dan niets".

Overigens valt de captcha-code eenvoudig te skinnen en het hele animatie-deel valt ook simpel aan-uit te zetten, want niet elke site zal zo'n draai-ding willen hebben (maar de mijne toevallig wel...).

Dus het wordt een captcha-methode die niet server-afhankelijk is, en eenvoudig in de huisstijl van de actieve site gezet kan worden (wat wellicht een raar uitgangspunt is voor een technisch ding als een captcha).

Dus dat tril-effect zit er wel bewust in; de divisie verspringt gewoon 1 / -1px af en toe, om het wat luchtiger te maken, want veel van de huidige captcha's vind ik nogal saai

Thx!

[ Voor 13% gewijzigd door b2vjfvj75gjx7 op 05-03-2010 14:43 ]

vrijdag 5 maart 2010 14:46

Acties:

0 Henk 'm!

ZpAz

ipv vaste woorden, maak je een plaatje met de letters 'a-z' onder elkaar, in de stijl die je nu hebt, een groter semitransparant plaatje met vier van die glaasjes, en je plakt er dus dan rondom 4 van die letters achter.

Daarnaast ziet hij er wel leuk uit.

[ Voor 8% gewijzigd door ZpAz op 05-03-2010 14:46 ]

Tweakers Time Machine Browser Extension | Chrome : Firefox

vrijdag 5 maart 2010 14:50

Acties:

0 Henk 'm!

NMe

Quia Ego Sic Dico.

b2vjfvj75gjx7 schreef op vrijdag 05 maart 2010 @ 14:39:
Veel sites ontwikkel ik mbv. een lokale webserver [die vanaf een memory-stick draait, zodat ik overal kan inpluggen en werken waar ik wil]. En die webserver heeft geen GDlib, helaas... (als iemand nog een portable webserver kent die dit wel ondersteunt... graag!).

Dus in plaats van je tools te kiezen op basis van je eisen pas je je eisen aan op basis van je tools? Leuke mentaliteit.

'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.

vrijdag 5 maart 2010 14:54

Acties:

0 Henk 'm!

Boudewijn

omdat het kan

NMe schreef op vrijdag 05 maart 2010 @ 14:50:
[...]

Dus in plaats van je tools te kiezen op basis van je eisen pas je je eisen aan op basis van je tools? Leuke mentaliteit.

Ja terwijl als je een laptop hebt je die ook kunt meenemen en hetzelfde hebt, of een Linux distro op een USB stick....

i3 + moederbord + geheugen kopen?

vrijdag 5 maart 2010 14:54

Acties:

0 Henk 'm!

DanielG

i = 0x5f3759df - (i>>1); ☠₧ℳ🀪❣

b2vjfvj75gjx7 schreef op vrijdag 05 maart 2010 @ 14:39:
Ik ga in het captcha-deel in ieder geval wat code-ruis gooien;
Het veld met de naam "CaptchaID" verraadt te veel over de achterliggende techiek / logica.
Dit veld ga ik gewoon een generieke naam geven... "TimeStamp" of "ThisIsYourIQ"
De hele ID zelf is nu een getal [bv. 18] en daar gooi ik random-nummers omheen.
De ID wordt dan iets van "45.33.2.18.76.3" - hierdoor is al lastiger te achterhalen hoe-en-wat
En het is een experimentje; het is ook niet bedoeld als 100% veilige oplossing, maar meer "beter dan niets".

Je 4 punten ruis is gewoon security through obscurity wat het in dit geval niet veel veiliger maakt aangezien het 'het kopieeren van een werkende POST' niet moeilijker maakt.
Ik zou als ik jou was het gewoon houden zoals het is, is makkelijker voor onderhoud en het voegt geen echte drempel tegen iemand die echt jou sites wil spammen. Dit werkt al goed genoeg voor "beter dan niets".

Ik meldde al eerder dat er een bugje in zit als je een niet bestaande id (lager dan 0, hoger dan de maximale aantal woorden of een niet integer) met een lege validatie string meegeeft, dit evalueert altijd naar "correct". Een extra controlle om te kijken of de string niet leeg is zal dit oplossen.

http://xyproblem.info/

vrijdag 5 maart 2010 15:05

Acties:

0 Henk 'm!

rapture

Zelfs daar netwerken?

Stel dat je zo goed beveiligt dat je met een webcam voor een scherm de captcha kan zien. Als de gebruiker na een aantal random woorden het werkelijke woord ziet, dan valt dit te automatiseren. Dan gooi ik wat multimediabewerkingen in Matlab (of vertaalt naar Java) en het voorbeeld captcha kan in plaintext omgezet worden. Dan laat ik een macrotool (nu eventjes niet in games automagisch laten grinden) in je formulier invullen en de bots gaan weer verder.

DanielG schreef op vrijdag 05 maart 2010 @ 11:32:
Is het niet beter om een bekend goed captcha systeem te includen zoals reCAPTCHA?

Meuk uitkiezen dat moeilijk naar plaintext om te zetten is, maakt het uitdagend voor de bots en is dus beter.

[ Voor 19% gewijzigd door rapture op 05-03-2010 15:09 ]

vrijdag 5 maart 2010 15:16

Acties:

0 Henk 'm!

MBV

b2vjfvj75gjx7 schreef op vrijdag 05 maart 2010 @ 14:39:
Ik ga in het captcha-deel in ieder geval wat code-ruis gooien;

Dat lost helemaal niks op: 1x invullen en het werkt voor de rest. De simpelste oplossing voor bots die dit soort dingen al niet snappen: de gebruiker een vraag laten invullen. "Wat is het antwoord van vier plus twee?" "Wat zijn de eerste twee letters van het woord blauw?" Daarmee sluit je al 90% van de bots uit, zolang je niet populair bent.

Veel sites ontwikkel ik mbv. een lokale webserver [die vanaf een memory-stick draait, zodat ik overal kan inpluggen en werken waar ik wil]. En die webserver heeft geen GDlib, helaas... (als iemand nog een portable webserver kent die dit wel ondersteunt... graag!).

Beter zoeken dus! http://www.server2go-web.de/ Complete Apache+PHP op een USB-stick, standaard GDLib.

En het is een experimentje; het is ook niet bedoeld als 100% veilige oplossing, maar meer "beter dan niets".

Tja, de simpele vraag met simpel antwoord is dan ook genoeg. Wat je minstens zou kunnen doen: 1 plaatje met letters in pseudo-random volgorde, die 4x naast elkaar zetten en verschillende kanten op laten draaien. Net zoals een echte gokkast. Dan kan je in principe oneindig veel mogelijkheden combineren, op basis van een versleutelde ID die je meestuurt. Maak het helemaal fancy door een salt mee te sturen met de pagina, en een hash van de oplossing plus salt terug te sturen, en de bots moeten echt javascript leren.

[ Voor 0% gewijzigd door MueR op 05-03-2010 15:24 . Reden: Lief doen ]

vrijdag 5 maart 2010 15:21

Acties:

0 Henk 'm!

? ?

Voor op je eigen website zie ik.

Zet er gewoon:

"In welk land leven we:"
(nederland hé)

Meer dan effectief genoeg. Dat gmail betere captchas gebruikt okay, maar de enige bots die naar jouw site komen zijn volautomatische bots die een postje doen en misschien een afbeelding die "catpcha" heet probeert te downloaden.

In belgie werkt: "hoeveel bollen heeft het Atomium" prima. Iedere Belg weet dat. Er zijn vast genoeg zaken voor Nederlanders

vrijdag 5 maart 2010 15:27

Acties:

0 Henk 'm!

DexterDee

I doubt, therefore I might be

b2vjfvj75gjx7 schreef op vrijdag 05 maart 2010 @ 14:39:
Tja, flash is [voor mij] geen optie, omdat ik liever geen plug-ins gebruik.
Ik gebruik het soms wel [om fonts te renderen, ofzo] maar zorg altijd voor een backup-methode waar je dan op terug kan vallen als iemand geen flash wil / kan draaien.

Het zal je verbazen wat je tegenwoordig al niet in javascript kan doen

GD kun je trouwens ook dynamisch laden. Er vanuit gaande dat je Windows gebruikt en je webserver op een stick hebt staan, kun je een werkende versie van gd.dll opzoeken voor de geïnstalleerde versie van PHP en deze in je project ergens onderbrengen. Met de functie dl() kun je vervolgens de GD extensie on-the-fly laden. Erg vriendelijk qua upgrades is het niet, je hebt een nieuwe DLL nodig voor elke versie van PHP.

Als je net iets meer moeite doet, kun je je eigen portable versie van Apache en PHP maken waar wél de nodig extensies inzitten. Je kunt dan evengoed ook MySQL erbij zetten

Klik hier om mij een DM te sturen • 3245 WP op ZW

vrijdag 5 maart 2010 15:29

Acties:

0 Henk 'm!

Cartman!

Ik mis inderdaad ook een beetje de insteek voor de praktijk. Het is gewoon niet veilig en door 'ruis' toe te voegen maak je het systeem zelf niet veiliger. Als hobbyprojectje is het natuurlijk leuk om zulke dingen te verzinnen, ik moedig het ook aan om gewoon lekker bezig te zijn met zulke dingen want je leert er altijd wel van. Maar praktisch nut in 'the real world' gaat het niet echt hebben. Over smaak valt ook te twisten, ik vind het losstaand erg leuk verzonnen maar ik zou zo'n draak niet op m'n eigen site kunnen verwerken.

vrijdag 5 maart 2010 18:02

Acties:

0 Henk 'm!

b2vjfvj75gjx7

Topicstarter

Dus in plaats van je tools te kiezen op basis van je eisen pas je je eisen aan op basis van je tools? Leuke mentaliteit.

Off-topic : Ik woon / werk afwisselend in Nederland en het oerwoud van Zuid-Amerika en heb daar a) geen internet en b) meestal geen electra tot mijn beschikking (in het Amazone-woud - wel in Nederland...). Zie artikeltje dat ik via mijn telefoon had geschreven en met de befaamde boom naar de redactie in de stad had overgeseind...

Afbeeldingslocatie: http://img148.imageshack.us/img148/7627/scan050108.jpg

Afbeeldingslocatie: http://img148.imageshack.us/img148/7627/scan050108.jpg

Ik kan dus niet anders werken dan op deze manier. Sites uploaden kan alleen als ik [letterlijk] in een boom klim en via mijn telefoon contact probeer te zoeken met een overvliegende satelliet die toegang biedt tot het netwerk dat naar de dichts bijzijnde stad leidt [600 km verder op in het oerwoud].

Het is dus niet zo zwart/wit als hier wordt gesteld, dat ik de verkeerde volgorde van eisen <--> tools volg; ik heb te dealen met de realiteit van elke dag...

...ik moedig het ook aan om gewoon lekker bezig te zijn met zulke dingen want je leert er altijd wel van.

Dat is ook mijn insteek; alles zelf doen, niets na-apen of voorgekauwd gebruiken... Ik leer meer van alles dat fout gaat, dan van alles dat goed gaat...

...maar ik zou zo'n draak niet op m'n eigen site kunnen verwerken.

Maar het valt ook eenvoudig te skinnen, en met parameters via een bijgeleverd CMS te customizen... Maar het is idd. een uitgesproken ding - en dat ga je al snel liefhebben, of haten.. net een lijsttrekker.

[ Voor 37% gewijzigd door b2vjfvj75gjx7 op 05-03-2010 18:18 ]

vrijdag 5 maart 2010 22:20

Acties:

0 Henk 'm!

Cartman!

Vergeet alleen niet dat veel van je voorgangers er beter over na hebben gedacht dan jij ooit zult kunnen. Het is dus echt geen schande om iets te gebruiken van een ander. Ik werk ook met Zend Framework omdat ik zelf echt niet een beter systeem in elkaar ga zetten bijvoorbeeld.

vrijdag 5 maart 2010 22:36

Acties:

0 Henk 'm!

MBV

In het geval van Joomla zou ik daar nog wel een uitzondering voor willen maken

@2.4Ghz: waarom heb je dan uberhaupt een captcha nodig, als het toch op je USB-stick draait? Ik ben je even kwijt. Volgens mij is in zo'n situatie 2 dingen nodig:
- een beveiligde server die een website draait, waar jij alleen dingen aan kan aanpassen, en waar anderen kunnen reageren
- en laptop met een applicatie die je informatie online zet

Ik snap niet waar de eis vandaan komt dat je een ultra-lichte PHP-installatie op een USB-stick neer moet zetten. Nogmaals: waarom voldoet deze niet? http://www.server2go-web.de/

vrijdag 5 maart 2010 23:40

Acties:

0 Henk 'm!

NMe

Quia Ego Sic Dico.

b2vjfvj75gjx7 schreef op vrijdag 05 maart 2010 @ 18:02:
[...]

Off-topic : Ik woon / werk afwisselend in Nederland en het oerwoud van Zuid-Amerika en heb daar a) geen internet en b) meestal geen electra tot mijn beschikking (in het Amazone-woud - wel in Nederland...). Zie artikeltje dat ik via mijn telefoon had geschreven en met de befaamde boom naar de redactie in de stad had overgeseind...

Je hebt blijkbaar een laptop, daar kun je toch gewoon ook een Apache-server met PHP en MySQL op installeren? Waarom lastig doen met een USB-stick?

'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.

zaterdag 6 maart 2010 00:19

Acties:

0 Henk 'm!

b2vjfvj75gjx7

Topicstarter

Je hebt blijkbaar een laptop, daar kun je toch gewoon ook een Apache-server met PHP en MySQL op installeren? Waarom lastig doen met een USB-stick?

Ik heb geen laptop hier... Ik zit - as i write - in een houten hutje op een onbewoond eiland, midden in de Boven-Suriname rivier. Momenteel heb ik een computer tot mijn beschikking die niet [letterlijk] door de bugs is overwelmd --> waarbij ik een "bug" definieer als een vervelend klein beestje dat in de computer kruipt en daar eitjes gaat leggen, net als onlangs in mijn onderbeen is gebeurd...

Vandaag heb ik een computer tot mijn beschikking, morgen hoop ik een korjaal te treffen die mij 25 km stroomafwaarts weet te brengen en wat ik daar voor "ict infrastructuur" aantref, weet op dit moment niemand...

Het enige waar ik op kan rekenen, is mijn usb-stickje die dus de enige "zekerheid" is op dit moment - de rest is variabel.

Server2Go ken ik wel, maar werkt niet goed onder W2K, terwijl veel systemen die ik hier aantref onder Win '98 SP2 of W2K draaien...

Ik begrijp dat in Nederland de ICT andere vormen heeft dan hier, maar voor hier moet ik het doen met de riemen die ik heb [en een korjaal heeft niet eens riemen, maar een pagaai-man die met een stok de bodem afzoekt naar hoger gelegen rotsen]

Kortom; ik geloof dat ik niet in het walhalla woon...

zaterdag 6 maart 2010 00:49

Acties:

0 Henk 'm!

DNA_Saint

Go Go Gadget Ondertitel!

Nog steeds snap ik niet waarom mensen van die ingewikkelde captcha's maken.
Ik heb op mijn website gewoon simpele vragen.
Hoeveel is twee maal zes?
Hoe heet onze koningin?
Wat voor kleur heeft een sinaasappel?
etc...

werkt perfect. Is simpel te maken en volgens mij kan een bot dit never nooit "kraken", in tegen stelling tot een captcha dat een bot in principe kan proberen uit te lezen.

Huub Huub Barbatruc!

zaterdag 6 maart 2010 01:22

Acties:

0 Henk 'm!

Soultaker

Cartman! schreef op vrijdag 05 maart 2010 @ 22:20:
Vergeet alleen niet dat veel van je voorgangers er beter over na hebben gedacht dan jij ooit zult kunnen. Het is dus echt geen schande om iets te gebruiken van een ander. Ik werk ook met Zend Framework omdat ik zelf echt niet een beter systeem in elkaar ga zetten bijvoorbeeld.

Op zich een goed uitgangspunt, maar CAPTCHA's zijn misschien een uitzondering op de regel. Als je geen superpopulaire site hebt, gaan spammers geen moeite doen om jouw custom CAPTCHA te kraken, dus een simpele vraag, toegespitst op het publiek van je site, werkt meestal al afdoende.

zaterdag 6 maart 2010 11:22

Acties:

0 Henk 'm!

MBV

Kan je dan niet de GD2-dll aan jouw huidige PHP-installatie toevoegen? En wat is het bezwaar tegen de simpele captcha van DNA_Saint? Op www.blikopdebeurs.com hebben ze ook de vraag 'Wat zijn de eerste 2 letters van blikopdebeurs' als captcha, en ik heb er nog nooit spam gezien. Dat terwijl die site toch een best hoog bezoekersaantal had, en vroeger gelinkt werd vanaf o.a. nu.nl.

zaterdag 6 maart 2010 16:12

Acties:

0 Henk 'm!

Cartman!

Soultaker schreef op zaterdag 06 maart 2010 @ 01:22:
[...]

Op zich een goed uitgangspunt, maar CAPTCHA's zijn misschien een uitzondering op de regel. Als je geen superpopulaire site hebt, gaan spammers geen moeite doen om jouw custom CAPTCHA te kraken, dus een simpele vraag, toegespitst op het publiek van je site, werkt meestal al afdoende.

True, ik bedoelde ook een beetje dat de standaard manieren van CAPTCHA's prima zijn en daarmee ook de simpele vragen zoals worden aangegeven en het een beetje zonde is om een heel ingewikkeld systeem te gaan verzinnen wat misschien wel leuk is om te maken maar wat voor je gebruiker vrij onhandig is.

Onderwerpen