Laden...

[Aprilscherz] Forensuche captcha-geschützt, um Bots auszuschließen

Letzter Beitrag vor 16 Jahren 43 Posts 45.852 Views
[Aprilscherz] Forensuche captcha-geschützt, um Bots auszuschließen
**APRIL, APRIL 😉**
Hallo Community, wie ihr wisst, fällt myCSharp.de leider immer wieder mal wegen Überlastung des Servers aus. Wir haben erneut Ursachenforschung betrieben und jetzt festgestellt, dass sehr viel Last durch Bots erzeugt wird, insbesondere beim Zugriff auf die Forensuche. Leider lassen sich die Bots, die am häufigsten zugreifen, nicht durch die robots.txt beeindrucken, in der wir /wbb2/search.php schon länger ausgeschlossen haben. **Deshalb haben wir uns entschlossen, die Forensuche durch ein Captcha zu schützen.** Bei jeder Suche muss jetzt das Feld "Sicherheitscode" ausgefüllt werden. Dazu wird eine Grafik mit Buchstaben angezeigt. Diese Buchstaben müssen in die richtige Reihenfolge gebracht werden, so dass sie ein Wort ergeben und dieses Wort muss eingegeben werden. Wenn also zum Beispiel die Buchstaben "h c u s e" angezeigt werden, müsst ihr daraus das Wort "Suche" (Groß- und Kleinschreibung spielt keine Rolle) bilden und eingeben. Diese etwas aufwändigere Form des Captchas ist notwendig, weil Captchas, bei der die Buchstaben in der angegeben Reihenfolge eingegeben werden müssen, mittlerweile als unsicher gelten. Natürlich erwarten wir, dass ihr die Suche wie bisher benutzt. Es geht einzig und alleine darum, die Bots auszusperren. Siehe dazu auch [[Hinweis] Wie poste ich richtig?](http://www.mycsharp.de/wbb2/thread.php?threadid=26594) Punkt 1.1. Uns ist klar, dass der Aufwand bei euch dadurch steigt, und bitten deshalb auch um eurer Verständnis. Der Lohn ist gesenkte Serverlast und damit bessere Verfügbarkeit für alle. herbivore EDIT: Auflösung in [diesem Beitrag](http://www.mycsharp.de/wbb2/thread.php?postid=288721#post288721).

Hallo.
Hab fix ein kleines Plugin für den IE gebaut, welches die Buchstaben des captcha-Feldes ausliest und mit der Website Duden.de abgleicht und dann das gefundene Wort in die Zwischenablage kopiert. So braucht ihr es nur noch einfügen und könnt fleißig suchen😉
Die Datei stell ich in Kürze hoch.

Hallo,

ich kann herbivores Begründung nachvollziehen; denn die Ausfälle des Servers nerven doch sehr. Aber die captcha-Lösung finde ich nicht sehr angenehm.

Mir wurde beim ersten Versuch "zelrihcsarp" vorgesetzt. Daraus würde ich sofort "csharp" herausholen, finde aber kein Wort für "zelri". Nun gibt es natürlich Leute, die solche Buchstabenkombinationen im Schlaf erkennen, aber andere haben damit Probleme. (Ich kann z.B. auch mit solchen Rätsel-Varianten nichts anfangen, in denen Buchstabenfolgen versteckt sind.) Unter solchen Umständen werde ich zur Entlastung des Servers beitragen, weil ich häufig auf die Forumssuche verzichten muss; das hat den Nebeneffekt, dass ich Fragesteller ehrlicherweise nicht auf die Suche verweisen und damit auf viele Antworten verzichten kann.

Ersatzvorschlag (wie beim Entwickler-Forum): Wer die Suche ohne Anmeldung benutzt, muss die Zeichenfolge verifizieren; nach einer Anmeldung wird darauf verzichtet.

Gruß Jürgen

Meine Meinung: Total unkomfortabel (siehe Anhang).

Zudem: Wenn man so einfach ein Erkennungsskript basteln kann, dann ist es doch absolut nutzlos.

Wie wärs mit einer simplen Rechenaufgabe im Einmaleins? In der aktuellen iX ist ein Artikel, wie man bessere Methoden bastelt.

Ansonsten mal eine Analyse der Angriffe machen. Falls ein Großteil der Angriff via CSS ausgeblendete Formularfelder ausfüllt, kann man das leicht als Bot-Abwehr verwenden.

Hallo zusammen,

erstmal denke ich nicht, dass es so einfach ist, ein Script zu basteln. Ich denke, der Beitrag von Maddy war nicht ganz ernst gemeint.

Sicher kann man auch andere Methoden wählen, aber ihr könnte sicher sein, dass die gewählte Methode wirklich Sinn macht.

Dass die Benutzung der Suche dadurch etwas aufwändiger wird, ist klar. Das habe ich ja oben schon geschrieben. Aber ich würde nicht so weit gehen zu sagen, dass man nicht mehr darauf verweisen kann. Es gibt auch andere Foren, bei denen die Suche durch ein Captcha geschützt ist.

"csharp" kann man zwar aus einem Teil der Buchstaben bilden, aber es kommt in dem gesuchten Wort nicht vor. Bei dem Captcha kommt ein normales, deutsches Wort heraus, das jeder kennt.

herbivore

Hallo,

jup kennt wirklich jeder, sehr einfach...

Gruss
Friedel

Ohne Ziel ist auch der Weg egal.

Also ich muss sagen, ich finde die Lösung mit dem Captcha sehr gelungen 🙂

Wissensvermittler und Technologieberater
für .NET, Codequalität und agile Methoden

www.goloroden.de
www.des-eisbaeren-blog.de

Hallo zusammen,
für mich fällt die Forensuche mit der neuen "Captcha" Methode flach. Ich habe keine Lust und Zeit aus einem arg kryptischen Buchstaben-Sammelsurium ein deutsches Wort zu basteln. Gerade wenn ich im Büro bin und meine Konzentration nicht dafür nutze einwenig Wörterraten zu spielen.

Es gibt deutlich komportablere Lösungen als die zurzeit implementierte. (Rechenaufgaben, Suchbegriff rückwärts eintippen, Suche nur für registrierte Benutzer..)

Ich weiß, dass die Aussage sehr subjektiv ist. Objektiv betrachtet bringt die Captcha Suche viele o.g. Vorteile mitsich.

Viele Grüße,
moq

jup kennt wirklich jeder, sehr einfach...

Es geht doch nicht darum, ob man das Wort kennt, sondern ob man es aus einer Buchstabenfolge erkennt. Und ich habe für so etwas keinen Blick.

Aber ich würde nicht so weit gehen zu sagen, dass man nicht mehr darauf verweisen kann.

Natürlich nicht; aber wenn ich unter diesen Umständen die Suche nicht benutzen kann, kann ich nicht darauf verweisen.

Es gibt auch andere Foren, bei denen die Suche durch ein Captcha geschützt ist.

Natürlich, deshalb auch mein Ersatzvorschlag.

Aber wenn ich der einzige bin, der damit nicht klar kommt, dann bleibt es natürlich dabei. 🤔 Jürgen

Gerade wenn ich im Büro bin und meine Konzentration nicht dafür nutze einwenig Wörterraten zu spielen.

Find ich super! Ist mal ein bisschen Abwechslung und sicher effektiv gegen Bots also ich kann nichts negatives daran finden.

Hallo zusammen,

ich glaube es hilft, die Sache mit dem Captcha etwas lockerer zu sehen und - so wie jaensen es sagt - zu versuchen, der Sache was positives abzugewinnen. Wir wollen euch mit dem Captcha sicher nicht ärgern. Und mindestens das eine Captcha oben, das svenson gepostet hat, solltet ihr mal versuchen zu lösen.

herbivore

Hi also soll ich mal erlich sein, die neue funktion is absoluter müll, hab mir jetzt 15 min den kopf zerbrochen was das heisen kann (hab das gleiche bild wie oben), und habs immer noch net herrausgefunden, und erlich gesagt hab ich auch keine zeit dafür, wenn ich auf arbeit bin brauch ich meistens schnell hilfe, und will (&kann) nicht erst ne halbe stunde lang rumrätseln was das heißen kann, ne rechenaufgabe is viel siniger denn wenn ma nich rechenen kann dann hat ma immer noch ein taschenrechner, so versteht des max 15% wenn überhaupt wie soll ma den auf das wort kommen wenn ma des z.B. noch nie gehört hat, man muss ja nicht "5*2" schreiben ma kann ja auch "5 mAl ²" schreiben, also für mich fält damit du suche weg da ich ja nix suchen kann, und da werd ich net der einzige sein, folgerung daraus es gibt zwar nicht mehr so viele suchanfragen aber dafür werden die thread die aufgemacht werden um einiges steigen, oder man geht gleich wo anders hin und sucht da (wobei das denk ich keiner will da mycsharp, bis jetzt immer super war)

gruß pascal

:edit:
auserdem haut des noch net gescheid hin da wenn leer sucht er trotzdem (bin angemeldet)

Wer Rechtschreibfehler findet darf sie gern behalten 😄, bin froh wenn ich Sie loswerde 👅 😉

Ach mit der Umstellung kann man leben. Ich denke wenn MyCSharp eine Bank wäre und aufgrund von grossen Anfragen die Performance leidet, dann möchte sicherlich jeder dass die jeweiligen Gegenmassnahmen ergriffen werden. Nun ist MyCSharp ähnlich einer Bank, nur nicht monetär sondern mit Hilfe und dass finde ich ist auch ein Kapital, dass es zu schützen gilt (wenn der Server nicht verfügbar ist, dass ist auch das Kapital von MyCsharp nicth verfügbar). Hoffentlich ist der Kern der Aussage rübergekommen 😉

Grüsse
Daniel
Space Profile
Wer nicht fragt, der nicht gewinnt

das macht die suche wirklich zu einer denksportaufgabe... und viele werden damit nicht klarkommen. daher wird es entweder einen besucherrückgang oder viele neue (wiederholte) threads geben, was gerade die suche verhindern sollte!

ich hab ne weile gegrübelt, dann wars mir zu blöde. werd ich google nutzen müssen. meine prophezeiung: das ding ist spätestens morgen wieder weg!

:evil:

PS: warum gibts hier keine freiminuten um rechtschreibfehler oder satzstellungen auszubessern? is ja doof!

das ding ist spätestens morgen wieder weg!

Dessen bin ich mir 100%ig sicher 😁

ich kann die entscheidung des teams einen solchen schutz einzubauen, nachvollziehen. trotzdem ist das ganze wie schon gesagt recht unkomfortabel.
warum nehmen wir nicht einen "normalen" captcha schutz, also indem man einfach nur die buchstaben eintippen muss?
mich würde interessieren ob es wirklich so agressive bots gibt, die versuchen einen solchen schutz zu umgehen nur um auf mycharp.de die suchfunktion anzuwerfen.
das kann ich mir beim besten willen nicht vorstellen... =)

Hallo feadur,

du glaubst gar nicht, was für aggressive Bots es gibt. Ich kann jedenfalls sagen, dass der Sinn dieser Maßnahme sicher verloren gegangen wäre, wenn wir die Buchstaben des Captchas in der richtigen Reihenfolge angeordnet hätten.

herbivore

Also ich komme auch nicht drauf. Habe für sowas auch "keinen Blick", wie juetho es genannt hat...

Edit 1:
Aber Suchen kann ich trotzdem, sowohl über die Schnellsuche als auch über die Suchseite.

Edit 2:
Und auch, wenn ich nicht angemeldet bin (anderer Rechner).

MfG hulkstar

Hallo,

also ich kann das Captcha von svenson nicht entschlüsseln.

Vielleicht habe ich etwas überlesen, aber die Eingabe des Codes wird momentan nicht berücksichtigt?! Kann ohne Probleme suchen, egal was ich in das Codefeld reinschreibe.

Ein ganz anderer Vorschlag:
Da die Bots ein bestimmtes Verhalten haben, würde ich es besser finden, z.B. nur x Suchanfragen pro Sekunde/10 Sekunden/Minute pro IP zu erlauben. Damit wären die Bots doch eh gescheitert?!

Hallo,

ich habe auch das gleiche Bild und keine idee...aber ohne ausfüllen des captchas habe ich eine Ergebnissmenge bekommen?!?! Jetzt verstehe ich nichts mehr...

Gruß

dragi

Damit wären die Bots doch eh gescheitert?!

Nein, das sind meistens großflächig verteilte Botnetze mit einer irrsinnigen gesamtbandbreite und riesigem IP range (500 - 50000 infizierte PCs), jeder Bot attackiert einen Host nur ein mal das ist effizienter gegen blacklisting z.B.

Wann wird das "Rätsel" aufglöst? 🙂 😁

Es gibt 3 Arten von Menschen, die die bis 3 zählen können und die, die es nicht können...

So viele negative Meinungen - ich find das mal eine Klasse-Idee!

😁

Vielleicht habe ich etwas überlesen, aber die Eingabe des Codes wird momentan nicht berücksichtigt?! Kann ohne Probleme suchen, egal was ich in das Codefeld reinschreibe.

das habe ich auch bemerkt. zumal der server eben schon wieder überlastet war... scheint mir nur zum user-ärgern zu sein! bin total frustriert hier.

und ich bleibe dabei: spätestens morgen ist das ding wieder weg!! 😁

Das Captcha geht nur weg wenn man was für unsere Minicity tut 😉

Nein, das sind meistens großflächig verteilte Botnetze mit einer irrsinnigen gesamtbandbreite und riesigem IP range (500 - 50000 infizierte PCs), jeder Bot attackiert einen Host nur ein mal das ist effizienter gegen blacklisting z.B. Wenn es keine Möglichkeit gibt, dass diese verteilten Bots über einen einzigen myCSharp Account suchen können, dann wäre dann wohl das Klügste nur mit Login suchen zu dürfen.

Hallo JunkyXL

Wenn es keine Möglichkeit gibt, dass diese verteilten Bots über einen einzigen myCSharp Account suchen können, dann wäre dann wohl das Klügste nur mit Login suchen zu dürfen.

Was aber denn Sinn eines Forums ad absurdum führt...

Gruss Peter

--
Microsoft MVP - Visual Developer ASP / ASP.NET, Switzerland 2007 - 2011

Hallo zusammen,

Wann wird das "Rätsel" aufglöst?

jetzt 🙂

Ich vermute mal, die meisten haben es eh schon raus: Bei diesem Thread handelt es sich um unseren Aprilscherz. So wie es aussieht, hat er ganz gut funktioniert. 🙂 Wir hoffen natürlich, dass es allen Spaß gemacht hat, auch denen, die wir hereinlegen konnten.

Ersatzvorschlag [...]

Vielen Dank für all die kreativen Ideen, wie man das Problem mit den Bots besser lösen könnte. Leider liegt die Überlastung doch an dem unterdimensionierten Server (siehe Verfügbarkeit) und nicht an den dreisten Bots. Dass wir /wbb2/search.php schon länger in der robots.txt ausgeschlossen haben, ist jedoch richtig ... und die relevanten Bots halten sich natürlich auch daran.

Wir wollen euch mit dem Captcha sicher nicht ärgern. Und mindestens das eine Captcha oben, das sevenson gepostet hat, solltet ihr mal versuchen zu lösen.

Vielen Dank an alle, die den Scherz erkannt haben - z.B. indem sie aus dem Captcha durch Umsortieren der Buchstaben das Wort "Aprilscherz" herausgelesen haben - und es trotzdem nicht verraten haben. Die subtilen Hinweise waren natürlich klasse.

ich habe auch das gleiche Bild

Es gab natürlich auch nur das eine Captcha-Bild. 🙂

das ding ist spätestens morgen wieder weg!

Alle die, die das vermutet haben, lagen richtig. Das Captcha ist mitterweile entfernt. Das war natürlich von Anfang an so geplant. 🙂 Alle, die es verpasst haben, finden im Anhang einen Screenshot, wie die Suche mit Captcha ausgesehen hat.

Aber Suchen kann ich trotzdem, sowohl über die Schnellsuche als auch über die Suchseite.

Klar, wir wollten natürlich, dass ihr trotzdem suchen konntet.

herbivore

gute aktion! =)
und ich bin natürlich auch drauf reingefallen... 😁

und ich bin natürlich auch drauf reingefallen...

Dito. So einfach kann man Leute/mich hereinlegen... 😁 Jürgen

ach verdammt! mir is eben gerade, als ich was ganz anderes gemacht habe, die lösung eingefallen aber es ist schon zu spät. ich geh mich jetzt mal ein bisschen schämen... X(

MfG hulkstar

War wirklich gut gelungen 👍 Hab auch erstmal blöd geguckt und dachte "Sowas krankes hab ich noch nirgends gesehen, jetzt drehen sie durch😉"

der scherz ist wirklich gelungen! 😁

auffällig wurde es mir, als nach mehrmaligem reload noch immer das gleiche captcha zu sehen war.
das wort zu "sehen" finde ich sehr schwer, habe einige minuten gerätselt und bin zu keinem ergebnis gekommen. naja, diese seite hat mir dann nur einen treffer ausgespuckt. von da an wars klar... :evil:

Hallo jaensen,

Sowas krankes hab ich noch nirgends gesehen, jetzt drehen sie durch😉

Captchas für die Suche gibt es aber wirklich, z.B. bei http://entwickler-forum.de/search.php. Dadurch sind wir erst auf die Idee gekommen.

herbivore

Das schon, allerdings gibt man die Zeichen dort in der Reihenfolge ein wie man sie vorfindet 😉
Ganz ehrlich (ohne jemandem zu nahe treten zu wollen), das hat mich ein wenig an 9Live errinert 😁

Hallo Persuader


>
hat mir dann nur einen treffer ausgespuckt. von da an wars klar... :evil:

Hey cool, nette Dienstleistung, kannte ich noch nicht 🙂

Gruss Peter

--
Microsoft MVP - Visual Developer ASP / ASP.NET, Switzerland 2007 - 2011

Hab mich ja oben scho ausgelassen, und muss jetzt sagen das hätte ich echt net erwartet respeckt ^^, jetzt stehen wir, die gemault haben ganz schön doof da G, aber man kann ja auch das positive dran sehen (für mich zumindest) viele sind drauf reingefallen also bin ich net der einzige dumme im land ^^ 😁 , aber jetzt habt ihr auf jeden fall viele mögliche Captcha lösungen

schöne grüße aus dem sonnigen franken, pascal

:edit:
@herbivore, hast dich bestimmt gekugel vor lachen also ich hät des wenn die mir so aufn leim gegangen währen ^^

Wer Rechtschreibfehler findet darf sie gern behalten 😄, bin froh wenn ich Sie loswerde 👅 😉

Hey cool, nette Dienstleistung, kannte ich noch nicht 🙂

kannst auch mal nach Anagramm Generator suchen, das ganze funktioniert logischerweise auch Rückwärts😉

Es gibt 3 Arten von Menschen, die die bis 3 zählen können und die, die es nicht können...

Hallo techno_prog,

hast dich bestimmt gekugel vor lachen also ich hät des wenn die mir so aufn leim gegangen währen

nein, das nicht und sicher auch kein anderer aus dem Team. Wir haben uns nur aufrichtig gefreut, dass es so gut funktioniert hat. Und so richtig nachhaltig ist diese Freude auch nur dann, wenn am Ende alle schmunzeln können, auch die, die hereingefallen sind.

herbivore

Oh man, dank des Forums wurde ich heute schon zweimal in den April geschickt...ich sollte wirklich misstrauischer an diesem Tag werden 🙂

Geh mich jetzt schämen...

dragi

Man, man, man, der war wirklich gut (Das widerspricht der These dass herbivore selber ein Bot ist 😉, zumal Bots ja keinen Sinn für Humor hätten). 👅

Grüsse
Daniel
Space Profile
Wer nicht fragt, der nicht gewinnt

Oh man, ich hab auch alles geglaubt was in diesem Thread steht.

X( X( X(

Grüße Bernd

Workshop : Datenbanken mit ADO.NET
Xamarin Mobile App : Finderwille Einsatz App
Unternehmenssoftware : Quasar-3

Genial, herbivore.

Ich war zwar gestern nicht online, da musste ich heute beim Nachlesen schon schmunzeln. 🙂

mfg
webstarg