[TYPO3-german] captcha unsicher?
Rainer Schleevoigt
rainer at webmasterei-hamburg.de
Tue Oct 26 18:54:15 CEST 2010
Am 10/26/10 6:03 PM, schrieb Christian Wolff:
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
es geht u ein simples Gewinnspiel und es fragt sich, was der Aufwand
soll. OCR halte ich für ausgeschlossen, weil es doch recht komplex ist.
Es ist dieser Font: http://www.dafont.com/dot-matrix.font
Rainer
> Am 26.10.2010 17:16, schrieb Rainer Schleevoigt:
>> Hallo,
>>
>> in einer Web-App sammeln wir mit dem formhandler Adressen, das Ganze ist
>> mit Captcha gesichert. Angeblich sind dort (unter Umgehung des Captchas)
>> 2000 eMails gelandet. Ist das nicht fast unmöglich?
>>
>> Rainer
>>
> Hallo Rainer,
> mir sind auf anhieb zwei mögliche umgehungs methoden bekannt:
>
> 1. "high tech"hier wird versucht das captcha mittels OCR software zu
> erkennen hier reicht es auch wenn das böse script nur in 20% der fälle
> das richtige wort erkennt da so ein script ja problemlos tausende
> anfragen ausführen kann.
>
> 2. "low tec" der "angreifer" nimmt einfach dein captcha bild und
> veröffentlicht es auf irgend einser seite die z.b kostenlose sex
> bildchen anbietet. und läst das captcha dann von den nutzer lösen und
> verwendet diese lösung dafür deine sicherheits system zu umgehen. ohne
> das der nutzer überhaupt weiss bei was er dort hilft.
>
> ansonsten gab es hin und wieder auch ander schwächen in captcha
> systemen. z.b das ein captcha nach nutzung nicht invalidiert wurde und
> so der "angreifer" immer wieder mit dem gleichen session cookie und der
> capture antwort durch kommen konnte.
>
> generell erhöht ein captcha nur die hürde. es schließt spam halt nicht
> völlig aus.
>
> gruss chris
>
>
> - --
> Christian Wolff // Berlin
> http://www.connye.com
>
> some projects:
> http://richtermediagroup.com | http://titanic.de | http://keyopinions.info
> -----BEGIN PGP SIGNATURE-----
> Version: GnuPG v1.4.10 (MingW32)
>
> iEYEARECAAYFAkzG+7cACgkQIcCaXPh/JHHCmwCfRSoXU0yFtMWYE4aT7kWFjqky
> RH4AmQEqw1kVTBYZIXzj82RE3duio4L4
> =NMik
> -----END PGP SIGNATURE-----
> _______________________________________________
> TYPO3-german mailing list
> TYPO3-german at lists.typo3.org
> http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
--
Webmasterei Hamburg
Dipl.-Ing. R. Schleevoigt / TYPO3 Certified Integrator
Ust-ID: DE239491976
mail:rainer at webmasterei-hamburg.de
http://webmasterei.com
22303 Hamburg | Novalisweg 10
+49 40 27806982 | skype:kontaktschmied
More information about the TYPO3-german
mailing list