[TYPO3-german] captcha unsicher?

[Christian Wolff]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Am 26.10.2010 17:16, schrieb Rainer Schleevoigt:
>  Hallo,
> 
> in einer Web-App sammeln wir mit dem formhandler Adressen, das Ganze ist
> mit Captcha gesichert. Angeblich sind dort (unter Umgehung des Captchas)
> 2000 eMails gelandet. Ist das nicht fast unmöglich?
> 
> Rainer
> 
Hallo Rainer,
mir sind auf anhieb zwei mögliche umgehungs methoden bekannt:

1. "high tech"hier wird versucht das captcha mittels OCR software zu
erkennen hier reicht es auch wenn das böse script nur in 20% der fälle
das richtige wort erkennt da so ein script ja problemlos tausende
anfragen ausführen kann.

2. "low tec" der "angreifer" nimmt einfach dein captcha bild und
veröffentlicht es auf irgend einser seite die z.b kostenlose sex
bildchen anbietet. und läst das captcha dann von den nutzer lösen und
verwendet diese lösung dafür deine sicherheits system zu umgehen. ohne
das der nutzer überhaupt weiss bei was er dort hilft.

ansonsten gab es hin und wieder auch ander schwächen in captcha
systemen. z.b das ein captcha nach nutzung nicht invalidiert wurde und
so der "angreifer" immer wieder mit dem gleichen session cookie und der
capture antwort durch kommen konnte.

generell erhöht ein captcha nur die hürde. es schließt spam halt nicht
völlig aus.

gruss chris


- -- 
Christian Wolff // Berlin
http://www.connye.com

some projects:
http://richtermediagroup.com | http://titanic.de | http://keyopinions.info
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.10 (MingW32)

iEYEARECAAYFAkzG+7cACgkQIcCaXPh/JHHCmwCfRSoXU0yFtMWYE4aT7kWFjqky
RH4AmQEqw1kVTBYZIXzj82RE3duio4L4
=NMik
-----END PGP SIGNATURE-----