Beiträge: 6
Themen: 3
Registriert seit: 04 / 2007
Hallo,
wegen zunehmendem Spam mussten wir die Möglichkeit für Neuanmeldungen einschränken: eine Neuanmeldung ist zwar weiterhin möglich, diese muß aber durch mich freigeschaltet werden, bevor Mitteilungen geschrieben werden können.
Hierzu bitte ich, nach der Neuanmeldung eine E-Mail an admin@bahnforum-s.de zu schicken und den Nutzernamen zu nennen.
Sobald der Spam wieder zurückgeht hoffe ich, auf diese Maßnahme wieder verzichten zu können.
Martin
Beiträge: 358
Themen: 7
Registriert seit: 01 / 2009
Habt ihr denn schon über Captchas nachgedacht, zB reCAPTCHA?
Beiträge: 896
Themen: 37
Registriert seit: 06 / 2008
Ich habe gestern unter Registrierung nachgeschaut, und festgestellt, daß nicht nur Captcha, sondern auch zusätzlich eine Fragestellung, die beantwortet werden muß, exisitert. Trotzdem kann ich das nicht verstehen, wie der Spam trotz Sicherheitsmaßnahmen bei der Registrierung zustande kommen kann?
Beiträge: 358
Themen: 7
Registriert seit: 01 / 2009
Es gibt Algorithmen die Captchas mehr oder weniger problemlos lesen können, bis auf wenige Ausnahmen. So weit ich weiß sind reCAPTCHA deutlich schwieriger zu knacken als andere. Die Spammer fahren meistens größere Geschütze auf, also fahren viele "Angriffe". Bei der Masse ist es nicht ungewöhnlich, dass manche Angriffe erfolgreich verlaufen.
Beiträge: 5.360
Themen: 104
Registriert seit: 04 / 2007
(10. 12. 2012, 09:16)Jack Lanthyer schrieb: Ich habe gestern unter Registrierung nachgeschaut, und festgestellt, daß nicht nur Captcha, sondern auch zusätzlich eine Fragestellung, die beantwortet werden muß, exisitert. Trotzdem kann ich das nicht verstehen, wie der Spam trotz Sicherheitsmaßnahmen bei der Registrierung zustande kommen kann?
Ich momentan auch nicht - da brauchen wir wohl weitere Sicherheitsfragen, damit der Fragenpool größer wird. Aber eine Dauerlösung ist das auch nicht.
Auch wenn im Fragenpool derzeit nicht viele Fragen sind finde ich es faszinierend, daß die Spammer es schaffen, zumindest eine Frage richtig zu benatworten. Denn immerhin muß man diese dazu zumindest einmal verstehen.
Beiträge: 358
Themen: 7
Registriert seit: 01 / 2009
10. 12. 2012, 12:14
(Dieser Beitrag wurde zuletzt bearbeitet: 10. 12. 2012, 12:17 von noname.)
So besonders ist das gar nicht in der heutigen Zeit
Ganz im Gegenteil: Das zu knacken ist ein Kinderspiel. Ich habe eben mal die Registrierungsseite aufgerufen, die Frage lautete "Welche Stadt ist die Bundeshauptstadt der Bundesrepublik Deutschland?". Man nehme diesen Satz und stecke ihn in den Google Translator, dann kommt dabei heraus "Which city is the capital of Germany?". In dem Fall eine perfekte Übersetzung, doch die ist oft gar nicht nötig. Jetzt brauchen wir nur noch eine schlaue Suchmaschine, die in der Lage ist, auf Fragen eine Antwort zu geben. Google ist das in dem Fall nicht, denn hier bekommen wir eine große Anzahl an Ergebnissen, aber keine exakte und eindeutige Antwort, die ein Programm interpretieren könnte. Für solche Fälle gibt es z.B. Wolfram Alpha. Dort einfach die komplette Frage (in englischer Sprache) reinkopieren: http://www.wolframalpha.com/input/?i=Whi...Germany%3F
Die Antwort ist eindeutig
Sowas lässt sich natürlich problemlos automatisieren und klappt mit vielen anderen Fragestellungen auch problemlos.
Um das ganze hier sicher zu machen, sind entweder gescheite Captchas nötig (die in diesem Forum genutzten Captchas sind nämlich genauso leicht zu knacken wie die Fragestellungen auch ) oder eine andere Sorte von Fragestellungen, evtl. mit lokalem Bezug, wobei die Frage auch für Außenstehende einfach zu beantworten sein muss. Ich plädiere daher immer noch für reCAPTCHA, die sind deutlich schwerer zu knacken, aber auch für den Menschen schwieriger zu lesen - stellen aber eine geringere Hürde dar als der Aufwand der jetzt für Registrierungen getrieben werden muss. Ihr müsst auch bedenken, dass hier vielleicht paar mal im Monat Spam-Bots auftauchen. Das ist nicht viel und die sind meistens auch schnell wieder gelöscht. Ganz unterbinden lässt sich das nicht, man kann auch damit leben und die Einträge einfach löschen.
Beiträge: 5.360
Themen: 104
Registriert seit: 04 / 2007
(10. 12. 2012, 12:14)noname schrieb: Ganz im Gegenteil: Das zu knacken ist ein Kinderspiel. Ich habe eben mal die Registrierungsseite aufgerufen, die Frage lautete "Welche Stadt ist die Bundeshauptstadt der Bundesrepublik Deutschland?". Man nehme diesen Satz und stecke ihn in den Google Translator, dann kommt dabei heraus "Which city is the capital of Germany?". In dem Fall eine perfekte Übersetzung, doch die ist oft gar nicht nötig. Jetzt brauchen wir nur noch eine schlaue Suchmaschine, die in der Lage ist, auf Fragen eine Antwort zu geben. Google ist das in dem Fall nicht, denn hier bekommen wir eine große Anzahl an Ergebnissen, aber keine exakte und eindeutige Antwort, die ein Programm interpretieren könnte. Für solche Fälle gibt es z.B. Wolfram Alpha. Dort einfach die komplette Frage (in englischer Sprache) reinkopieren: http://www.wolframalpha.com/input/?i=Whi...Germany%3F
Die Antwort ist eindeutig
Schon klar; das ist aber nicht die einzige Frage, aber wahrscheinlich die einfachste - und deshalb auch mein Hinweis, daß ich die Fragen überarbeiten sollte.
(10. 12. 2012, 12:14)noname schrieb: Ich plädiere daher immer noch für reCAPTCHA, die sind deutlich schwerer zu knacken, aber auch für den Menschen schwieriger zu lesen - stellen aber eine geringere Hürde dar als der Aufwand der jetzt für Registrierungen getrieben werden muss.
Ich bin nicht der Meinung, daß reCAPTCHA sicherer ist, da nur eines der Worte richtig erkannt werden muß. reCAPTCHA mit je einem Fehler in jedem der beiden Worte ging auch durch (ich weiß, daß zur Auswertung nur eines genutzt wird - um es aber zu testen, muß ich ja in beiden einen Fehler machen).
(10. 12. 2012, 12:14)noname schrieb: Ihr müsst auch bedenken, dass hier vielleicht paar mal im Monat Spam-Bots auftauchen. Das ist nicht viel und die sind meistens auch schnell wieder gelöscht. Ganz unterbinden lässt sich das nicht, man kann auch damit leben und die Einträge einfach löschen.
Nein, Spamanmeldeversuche kommen viel öfter. Aber da greifen vorher andere Mechanismen. Wer hier spammt, der hat schon mehrere Mechanismen "überlebt" und dann auch noch gepostet. Nicht jede Spamanmeldung schreibt nämlich einen Spampost. Das macht geschätzt nur jede dritte bis vierte erfolgreiche Anmeldung.
Sorgen machte mir nur die Anzahl erfolgreicher Anmeldungen in letzter Zeit.
Würde ich beispielsweise aol.com-E-Mail-Adressen komplett sperren, dann wäre der Spam der letzten Wochen um die Hälte reduziert. Leider haben wir aber auch reguläre User mit aol.com-Adressen.
Aber bevor ich da Änderungen umsetze kommt zuerst ein Serverumzug und anschließend ein Update der Forensoftware. Dann sehe ich mal weiter.
Beiträge: 358
Themen: 7
Registriert seit: 01 / 2009
10. 12. 2012, 15:29
(Dieser Beitrag wurde zuletzt bearbeitet: 10. 12. 2012, 15:32 von noname.)
Zitat:Schon klar; das ist aber nicht die einzige Frage, aber wahrscheinlich die einfachste - und deshalb auch mein Hinweis, daß ich die Fragen überarbeiten sollte.
Dann könnte es evtl. schon reichen, diese eine Frage rauszunehmen. Aber es ist wie bei Softwarepiraterie auch: Alles nur ein Katz- und Mausspiel. Den 100%igen Schutz gibt es einfach nicht. Dass es viele Spamversuche gibt ist mir klar, dass nur so wenige durchkommen zeigt doch, dass es ganz in Ordnung ist. Die paar die durchkommen können dann manuell gesperrt werden. Mit jedem weiterem Spamschutz sinkt die Benutzerfreundlichkeit, daher gibt es eigentlich nur Kompromisse bei sowas. Ich habe auf einem größeren Blog den ich betreibe ebenfalls ein massives Spam-Problem (ca. 500 Spamversuche täglich) und habe aus Gründen der Benutzerfreundlichkeit auf Captchas komplett verzichtet obwohl meine Erfahrung gezeigt hat, dass ausgerechnet reCAPTCHA den besten und effektivsten Schutz bieten. Bei meiner aktuellen Konfiguration, von der der User so gut wie nichts merkt, kommt durchschnittlich ein mal die Woche ein Spam-Kommentar durch, den ich dann innerhalb weniger Stunden manuell wieder lösche.
|