Am 10/26/10 6:03 PM, schrieb Christian Wolff:
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
es geht u ein simples Gewinnspiel und es fragt sich, was der Aufwand soll. OCR halte ich für ausgeschlossen, weil es doch recht komplex ist. Es ist dieser Font: http://www.dafont.com/dot-matrix.font

Rainer
Am 26.10.2010 17:16, schrieb Rainer Schleevoigt:
  Hallo,

in einer Web-App sammeln wir mit dem formhandler Adressen, das Ganze ist
mit Captcha gesichert. Angeblich sind dort (unter Umgehung des Captchas)
2000 eMails gelandet. Ist das nicht fast unmöglich?

Rainer

Hallo Rainer,
mir sind auf anhieb zwei mögliche umgehungs methoden bekannt:

1. "high tech"hier wird versucht das captcha mittels OCR software zu
erkennen hier reicht es auch wenn das böse script nur in 20% der fälle
das richtige wort erkennt da so ein script ja problemlos tausende
anfragen ausführen kann.

2. "low tec" der "angreifer" nimmt einfach dein captcha bild und
veröffentlicht es auf irgend einser seite die z.b kostenlose sex
bildchen anbietet. und läst das captcha dann von den nutzer lösen und
verwendet diese lösung dafür deine sicherheits system zu umgehen. ohne
das der nutzer überhaupt weiss bei was er dort hilft.

ansonsten gab es hin und wieder auch ander schwächen in captcha
systemen. z.b das ein captcha nach nutzung nicht invalidiert wurde und
so der "angreifer" immer wieder mit dem gleichen session cookie und der
capture antwort durch kommen konnte.

generell erhöht ein captcha nur die hürde. es schließt spam halt nicht
völlig aus.

gruss chris


- -- Christian Wolff // Berlin
http://www.connye.com

some projects:
http://richtermediagroup.com | http://titanic.de | http://keyopinions.info
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.10 (MingW32)

iEYEARECAAYFAkzG+7cACgkQIcCaXPh/JHHCmwCfRSoXU0yFtMWYE4aT7kWFjqky
RH4AmQEqw1kVTBYZIXzj82RE3duio4L4
=NMik
-----END PGP SIGNATURE-----
_______________________________________________
TYPO3-german mailing list
TYPO3-german@lists.typo3.org
http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german


--
Webmasterei Hamburg
Dipl.-Ing. R. Schleevoigt / TYPO3 Certified Integrator
Ust-ID:  DE239491976
mail:rai...@webmasterei-hamburg.de
http://webmasterei.com
22303 Hamburg | Novalisweg 10
+49 40 27806982 | skype:kontaktschmied

_______________________________________________
TYPO3-german mailing list
TYPO3-german@lists.typo3.org
http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german

Antwort per Email an