Captcha Idee

Re: Captcha Idee

Warum?
Ich kann in deinem Vorschlag absolut keinen Vorteil entdecken.

das Problem war nie der Vergleich, wenn du Daten im Session speicherst, liegen sie auch serverseitig und nicht beim Client (mir scheint's, dass du Session falsch verstanden hast). Das Problem ist das Bild, was du dem User anbietest, man braucht nur die Information im Bild zu entlocken, dann ist es Sche*ß egal wasfür komplexe Formel du im Backend hältst, oder ob du die Formel zur Berechnung dauernd änderst, du musst eh die Usereingabe mit dem auf dem Server vergleichen, et voilà, au revoir captcha

wenn dir ein normales Captcha nicht sicher genug ist, dann gibt es noch eine mögliche Variante:

Der Code wird ebenfalls in einer SESSION gespeichert, aber es wird nicht einfach ein Bild überspielt, sondern viele Bilder. Z.B. 4 Pixel pro Bild, welche dann so angeordnet werden, dass ein Benutzer den Code erkennen kann.

Dies ist aber normalerweise eine etwas übertriebene Vorsichtsmassnahme und ein gutes normales Captcha reicht im Normalfall, ausser es gibt jemanden der dich wirklich nicht mag...

Ich glaub wenn ich davor angst habe sollte ich besser aus diesem Forum verschwinden

Also ich benutze so eine ähnliche Methode. Ist eine Kombination aus der MD5-Variante und deiner Idee. Wenn jemand ein Formular mit CAPTCHA aufruft, wird ein Code erzeugt, auf ein Bild geschrieben und als Datei mit dem Namen md5($geheimer_salt . $code) gespeichert. $geheimer_salt ist dabei etwas, was zwar immer gleich ist, aber nur dem Server bekannt ist. Der MD5-Wert wird dann in einem hidden input Feld mit dem Formular mitgeschickt. Der Server wendet dann nach dem gleichen Verfahren md5($geheimer_salt . $code_vom_benutzer) an. Wenn das nicht gleich dem im hidden input gesendeten Code ist, gilt der Test als fehlgeschlagen. Wenn beide gleich sind, wird noch überprüft, ob es ein Bild mit dem Dateinamen gibt, denn sonnst könnte man immer wieder die gleiche Kombination aus Hash und Code abschicken und würde immer durchkommen. Wenn es das Bild gibt gilt der Test als bestanden und das Bild wird gelöscht damit der Code wieder ungültig wird.
Die TANs sind quasi die Dateinamen der Bilder, allerdings gibt es davon nicht 100 auf Vorrat sondern die werden halt dann erzeugt wenn sie gebraucht werden.

Und wo soll dabei jetzt der Vorteil gegenüber einer Ablage des Captcha-Wertes in der Session liegen?

also Leute, irgendwie habe ich das Gefühl, dass ihr Captcha-Crack falsch verstanden habt; anstatt die Information im Bild sicher zu machen, kümmert ihr euch um den Vergleich

Der Vorteil gegenüber der Speicherung in der Session liegt darin, dass man keine Session mehr braucht. Und das war eine der Anforderungen, die ich an mich selbst gestellt habe, als ich mir das ausgedacht habe.

Den Code im Bild zu "verstecken" ist natürlich mindestens genauso wichtig und dabei muss man auch einigen Aufwand betreiben, aber das ist eine völlig andere Diskussion.

... und stattdessen Bildobjekte, die nur ein einziges Mal an einen einzigen Client ausgeliefert werden, im Dateisystem ablegt.
Nee, is' klar.

Wenn das Captcha zwar gelöst, ein anderer Teil des Formulars jedoch fehlerhaft ausgefüllt wurde, wird das Bild auch nochmal angezeigt.

Und was ist schlimm daran, Bilder im Dateisystem zu speichern, selbst wenn sie meistens nur einmal an einen einzigen Client gesendet werden?

irgendwann läuft die Festplatte voll, meinst du nicht ... oder bist du der Ansicht, dass deine HD gross genug ist und es ist dir daher ziemlich egal, dass sie zugemüllt wird

Nö.

Denn die Bilder werden gelöscht wenn
a) das Captcha gelöst und das Formular korrekt ausgefüllt wurde,
b) das Captcha falsch gelöst wurde und
c) wenn sie ein vordefiniertes Alter überschritten haben.

Ich hab in dem Text da oben halt ein paar Details ausgespart über die man sich natürlich Gedanken machen muss, wenn man das tatsächlich umsetzt, die aber zum Verständnis des Prinzips nicht wirklich etwas beitragen.

ich hab mich jetzt für eine mischung aus dem normalen und hopkas entschieden. solltenormalerweise reichen.
als weitere sicherheitsfrage: nach wieviel minuten sollte bei einem cms am besten der admin nach inaktivität wieder ausgeloggt werden?