Vielleicht gibt es hier jemanden mit mehr Erfahrung in dieser Sache. Ich habe eine kleine Internetpräsenz für unsere Musikgruppe eingerichtet und unter anderem ein Kontaktformular erstellt. Dieses wird mit einem Captcha gesichert, welches ich mit PHP erstellt habe. Es kommt jetzt in unregelmäßigem Abstand nur Schrott rein vom Impfschadensersatz zu SEO Experten, die toxic links bemängeln. Ist das Captcha zu einfach zu umgehen oder sitz da wirklich jemand und gibt den Schrot zu Fuß ein? Wie läßt sich evtl. das Captcha verbessern ohne es unlesbar zu machen? Hat hier jemend evtl. Tipps für mich? Ach ja, falls jemand schauen will: https://batacuda-trio.de/booking
Es gibt Farmen, in denen Leute den ganzen Tag Captchas lösen, gegen Geld. Die Spammer sammeln die Seiten ein und schicken das Captcha an die Farm, der Löser weiß gar nicht wozu das gehört, aber löst das Bild. Antwort kommt zurück und schon hat man eine automatische Spammöglichkeit. Und wenn man ChatGPT fragt, sagt es auch das es Captchas nicht lesen kann, meint aber dann doch, das dort sFjh6F3S steht. Deine einfachen 5 Ziffern sind vmtl. schon seit 10 Jahren computerlesbar. Viele Seiten machen kein Captcha sondern eine Formularzeile in die man etwas eintragen muss. Das ist dann so speziell, das es ein Bot nicht kann, ein Mensch kuckt aber deine Seite nicht an (zumindest nicht für Spam). Da stehen dann so Sachen wie "welcher Tag ist heute" und die Antwort ist entweder "30", "30.5." oder "Donnerstag". Oder "welches Tier ist Garfield" und "Katze". Das scheint zumindest bislang besser zu klappen, aber evtl. begreifen LLM auch das bald. Dann hilft nur "kein Formular".
Hallo Es gibt auch die Lösungen, dass die E-Mail-Adresse in einer recht seltsamen, aber für die Zielgruppe verständlicher Art angegeben wird. Als Text min komischer Schreibweise z.B. mikrocontrolller Nett äd Hennes Strohkopf pointus deähh oder auch teilweise in Bildern "codiert" angegeben wird. Wenn die Zielgruppe nicht verknöcherte, pfurztrockene Bürokraten sind und ein wenig Humor und Denkfähigkeit (eventuell auch Fachwissen - hier zu der Band) besitzt, geht das sehr gut, besonders wenn sie, die Zielgruppe, aus nur einem Sprachraum stammt- und z.B. mit Umlauten, typischen Sprichwörtern, Slang ausdrücken umgehen kann. Aber ganz wirst du, das leider auch dann nicht verhindern können - gerade sowas, was du genannt hast, stammt manchmal auch von seltsamen Zeitgenossen, die ihre Botschaften (...) ernst meinen und die Menschheit "aufklären" wollen.
:
Bearbeitet durch User
Darius schrieb: > Als Text min komischer Schreibweise z.B. mikrocontrolller Nett äd Hennes > Strohkopf pointus deähh oder auch teilweise in Bildern "codiert" > angegeben wird. Das kann und wird schon seit Jahren erkannt. Auch JS-Obfuscation und solche Tricks sind schon lange offen. Wenn Mensch es verstehen kann, kann Maschine es auch. Der Trick ist, das Maschine erkennen kann, das dort eine Mailadresse sein muss. Zum Beispiel am Prefix "schreib mir an", gefolgt von einem "horst minus schlemmer rundesding fernseher punkt de eh". Das kommt in einen Mustererkenner, der Leetspeak-ähnlich Texte umformen kann und der kennt "rundesding", "ät", "Klammeraffe" und so weiter, und tüdelt an den Versatzstücken so lange rum bis da etwas rauskommt, das einer Mailadresse ähnelt. Da Mail nix kostet wird dann einfach an alle zumindest technisch korrekten Mails was geschickt, evtl. hat man ja Glück. Ganz wichtig auch: das Formular darf keinen Fehler geben, wenn das Captcha falsch ist. Dann weiß Spammer nicht das Spam erkannt wurde.
Gerhard Z. schrieb: > SEO Experten, die toxic links bemängeln. Die SEO-Klitschen haben meistens genug unterbezahlte Mitarbeiter (Studenten, Praktikanten etc.) für niedere Tätigkeiten. Entweder schreiben die "Content" für sinnlose Linkfarmen, oder sie kümmern sich um das "Marketing". Gerhard Z. schrieb: > Ist das Captcha zu einfach zu umgehen oder sitz da wirklich jemand und > gibt den Schrot zu Fuß ein? Wenn irgendein Russe automatisiert SQL-Injection-Attacks durchprobiert und Du deshalb morgens 1000 oder gar 10000 Mails hast: Ersteres. Wenn es wirklich nur sporadisch mit jeweils einer oder wenigen Nachrichten auftritt: Eher letzteres. Jens M. schrieb: > Auch JS-Obfuscation und solche Tricks sind schon lange offen. Gegen die Spambots hilft das immer noch ganz gut, die haben meistens keinen Javascript-Interpreter. Ich erkenne das immer ganz gut an nackt aufgerufenen URLs, weil sich die einfach parsen lassen, während die notwendigen Parameter per Javascript drangehängt werden. Jens M. schrieb: > Ganz wichtig auch: das Formular darf keinen Fehler geben, wenn das > Captcha falsch ist. Das ist in der Praxis keine gute Idee.
Es gibt diverse Dienstleister, die Captchas anbieten, und die sind i.d.R. besser als "selbstgestrickte" Versuche. Um nur ein paar zu nennen: https://cloud.google.com/security/products/recaptcha https://www.hcaptcha.com/ https://european-alternatives.eu/de/kategorie/captcha-dienste
Ob die Übeltäter vor oder nach Deiner Abfrage angreifen? Gerhard Z. schrieb: > Ist das Captcha zu einfach Von der Sorte gibt es zu viele. Deswegen werden sie automatisiert vorgehen. Wahrscheinlich würde ich zusätzlich noch ein UND-Kriterium erfragen. z.B. Wie viele Musiker spielen in einem Trio?
Lu schrieb: > Wahrscheinlich würde ich zusätzlich noch ein UND-Kriterium > erfragen. z.B. Wie viele Musiker spielen in einem Trio? Oder: Wenn zehn Musiker fünf Minuten brauchen, um das Stück XY zu spielen, wie lange brauchen dann zwanzig Musiker?
Gerhard Z. schrieb: > Ist das Captcha zu einfach zu umgehen Bist Du Dir sicher, dass nicht einfach Deine E-Mail-Adresse verwendet wird, die im Klartext daneben steht?
Frank M. schrieb: > Bist Du Dir sicher, dass nicht einfach Deine E-Mail-Adresse verwendet > wird, die im Klartext daneben steht? Da bin ich eigentlich sicher, denn die Mail kommt genau in der Form, die die forms.php sendet.
Hallo Gerhard, das Captcha ist tatsächlich sehr einfach zu umgehen. Ich habe mich mit dem Hacking solcher Captchas eine Zeit lang beschäftigt. Die Probleme mit Ihrem Captcha sind folgende: - Buchstaben lassen sich vom Hintergrundgekritzel leicht trennen (unterschiedliche Farbe) - Buchstaben lassen sich leicht voneinander trennen (großzügige Abstände zwischen diesen) - Buchstaben sind lediglich gedreht (solch ein Buchstabe lässt sich ganz leicht "zurückdrehen" und dann wiedererkennen) Wenn Sie ein paar Jahre zurückgehen und sich an das damalige Google Captcha erinnern: Das war dermaßen verzerrt und unleserlich, dass Menschen es selbst nur noch schwer erkennen konnten. Wenn Sie diesen Weg einschlagen wird das Ihre Kunden frustrieren. Mein Tipp: Versuchen Sie es mit Recaptcha https://cloud.google.com/security/products/recaptcha Alternativ gibt es auch Captchas bei denen Sie eine kleine Logikaufgabe lösen müssen: https://www.cloudflare.com/de-de/learning/bots/how-captchas-work/
Ich hatte das mal so geloest, dass ein Betreff aus einer Liste ausgewaehlt werden musste. Das voreingestellte "nicht verwenden" hat dann den Spam einfach nicht abgeschickt.
Harald K. schrieb: > Wenn zehn Musiker fünf Minuten brauchen, um das Stück XY zu spielen, wie > lange brauchen dann zwanzig Musiker? Mit KI kein Problem. ChatGPT beantwortet diese Frage so: "Die Anzahl der Musiker beeinflusst nicht die Dauer des Spielens eines Stücks. Wenn zehn Musiker fünf Minuten brauchen, um das Stück XY zu spielen, werden auch zwanzig Musiker fünf Minuten brauchen, um dasselbe Stück zu spielen."
Steve van de Grens schrieb: > Harald K. schrieb: >> Wenn zehn Musiker fünf Minuten brauchen, um das Stück XY zu spielen, wie >> lange brauchen dann zwanzig Musiker? > > Mit KI kein Problem. ChatGPT beantwortet diese Frage so: > > "Die Anzahl der Musiker beeinflusst nicht die Dauer des Spielens eines > Stücks. Wenn zehn Musiker fünf Minuten brauchen, um das Stück XY zu > spielen, werden auch zwanzig Musiker fünf Minuten brauchen, um dasselbe > Stück zu spielen." Klingt wie die Antwort eines Politikers. Langes herumgerede. „5 Minuten“ wäre eine richtige und kurze Antwort auf die Frage. Walta
Walta S. schrieb: > Klingt wie die Antwort eines Politikers. Langes herumgerede Die Antwort war sogar noch länger, hatte das gezeigte allerdings nur mehrfach mit umgestelltem Satzbau wiederholt.
Steve van de Grens schrieb: > Mit KI kein Problem. Dann stell' die Frage mal vor einer Schulklasse, Sek I. Sofern die nicht sofort auf ihren Smartphones herumwischen, sondern tatsächlich selbst denken müssen, wird Dich das Ergebnis überraschen. War auch in den 80ern schon so, nicht daß da jemand denkt, hier würden alte Säcke sich über nachfolgende Generationen lustig machen.
Je nach (gefuehlten) Wichtigkeit der Seite, kann man das Loesen von Captchas auslagern. Einschlaegige Seiten lassen fuer den Zugang zu Content Captchas loesen. Nun koennen sie ja die Captchas von irgendwoe her ziehen, loesen lassen und am am Ursprungsort einloesen. Und schon hat man einen Dummen gefunden. Sowas muss aber bewirtschaftet werden, was sich eine Musikgruppe nicht leisten kann. Ich denke auch nicht, eine Musikgruppe ein lohnendes Ziel ist.
:
Bearbeitet durch User
Purzel H. schrieb: > Ich denke auch nicht, eine > Musikgruppe ein lohnendes Ziel ist. Als wenn den Scraper interessiert, was das für eine Seite ist. - Formular zum abschicken? Check - Captcha-System das ich lösen kann? Check - Raus mit der Post, hüh! "Lohnen" tut sich das, wenn ein Idiot kauft oder zahlt oder was immer die Spammer wollen. Und der eine bezahlt für 10000 die das nicht tun, bzw. die dazu nötigen Mails und Captchas, plus es bleibt was für den Spammer über.
Ich habe das mit einer Copy&Paste-Abfrage gelöst, seitdem kein einziger Bot mehr. Also ein "kopieren sie das da und fügen sie es hier ein, dann klicken sie hier auf senden".
probiers doch mal mit einem "inversen" timeout. also beim Aufruf einfach einen timestamp in ein hidden field, bei der Verarbeitung dann prüfen, ab seit dem Aufruf mindestens x Sekunden vergangen sind. Um keine Schnelltipper zu vergraulen kannst du für Mensche ja mit einem Timer den Submit Button erst nach dem Timeout auf enabled stellen.
Danke für all die Tipps. Hatte jetzt mit Hilfe eines anderen Forums noch einen Fehler in der PHP Datei gefunden. Weiterhin hab ich erst mal die Eingabe dahingehend geändert, dass nur noch eine (in deutsch beschriebene) Untermenge der angezeigten Ziffern einzugeben ist. Das sollte zumindest captcha-lösende Farmen verhindern, die der deutschen Sprache nicht mächtig sind. Zumindest ist ein einfaches automatisches Ausfüllen damit erschwert. Jetzt warte ich erst mal wieder ab, bis jetzt ist noch nichts wieder gekommen. Wenn doch kann ich die Aufgabe ja Schritt für Schritt erschweren. Ich werde definitiv keinen externen Dienst in Anspruch nehmen.
●DesIntegrator ●. schrieb: > Was sind Blumentopferde? Was sollen solche isolierten Beispiele aussagen? Schau dir mal an wie einfach man einen Menschen täuschen kann. Es gibt optische Täuschungen, es gibt mentale Täuschungen, es gibt logische Fallen usw. usw. Solche Dinge machen eine KI erst richtig menschlich. Einen Taschenrechner kann man nicht täuschen.
Leider kann man nicht viel dagegen machen, daß solche recht einfachen Captchas an echte Menschen weitergeleitet werden. Das geht recht einfach, indem man z.B. p0rn Inhalte anbietet und diese hinter einem Captcha versteckt. Diese Captchas sind weitergeleitet, sprich die User, die das tolle Video sehen wollen, lösen das Captcha und die Lösung wird dann vom Spam-Bot auf Deiner Seite verwendet. Jetzt kann man probieren, irgendwelche typisch menschlichen Eigenschaften beim Bedienen der Webseite festzustellen, wie beispielsweise Ungenauigkeiten beim Führen der Maus, aber ich bin recht zuversichtlich, daß KI in Zukunft auch solche Tests überwinden kann. Edit: Habe mir das Captcha mal im Quelltext angeschaut, scheint keine einfachen Rückschlüsse auf die Lösung im HTML-Text zu geben. Die Lösung steht wohl in der Session oder in einer Datenbank, das ist schon mal ganz gut. Allerdings sind mir die Ziffern zu leicht lesbar, die "störenden" Effekte im Hintergrund sind niemals in gleicher Farbe wie die Ziffern und damit für ein Programm mit einem einfachen Farbfilter praktisch nicht vorhanden. Anschließend setze ich den Hintergrund auf grau, alles was abweicht, sind die Ziffern - und das wird angesichts der guten Qualität kein Problem für 'ne einfache OCR-Software sein.
:
Bearbeitet durch User
Ben B. schrieb: > Leider kann man nicht viel dagegen machen, daß solche recht einfachen > Captchas an echte Menschen weitergeleitet werden. Das geht recht > einfach, indem man z.B. p0rn Inhalte anbietet und diese hinter einem > Captcha versteckt. Dann muss der Angreifer aber wissen, wie das Captcha funktioniert, welche Elemente dazugehoeren usw. Fuer eine einzelne Seite lohnt da der Aufwand nicht bzw. ist es einfacher, einfach das Captcha selbst zu loesen um einmal an die Emailadresse zu kommen. Anders ist es natuerlich bei eingebundenen Captchas, die auf mehreren Seiten verwendet werden, oder wenn auf der einen Seite das Captcha wiederholt oft verwendet werden kann (bspw. zur Account-Erstellung).
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.