php-resource



Zurück   PHP-Scripte PHP-Tutorials PHP-Jobs und vieles mehr > Entwicklung > HTML, JavaScript, AJAX, jQuery, CSS, Bootstrap, LESS
 

Login

 
eingeloggt bleiben
star Jetzt registrieren   star Passwort vergessen
 

 

 


HTML, JavaScript, AJAX, jQuery, CSS, Bootstrap, LESS Probleme mit HTML5, Bootstrap oder jQuery ?

Antwort
 
LinkBack Themen-Optionen Thema bewerten
  #1 (permalink)  
Alt 04-09-2009, 07:44
E.T.
 Registrierter Benutzer
Links : Onlinestatus : E.T. ist offline
Registriert seit: Nov 2003
Beiträge: 240
E.T. ist zur Zeit noch ein unbeschriebenes Blatt
E.T. eine Nachricht über ICQ schicken
Standard Captcha mit JS

Also ich kenne mich mit Spambots nicht genau aus, aber würde es nicht reichen, wenn man den Inhalt des Formulars erst onload der Webseite über AJAX nachlädt? Oder alternativ könnte man auch die Felder und die ganze Form mit den DOM-Funktionen von JS dynamisch generieren.

Wäre das ein sicheres Captcha oder können die Spambots auch so weit JS mit DOM und ggf. auch AJAX, so dass meine Idee keine Sicherheit bieten würde?
__________________
Download ET-Chat v3.x.x
Mit Zitat antworten
  #2 (permalink)  
Alt 04-09-2009, 07:55
E.T.
 Registrierter Benutzer
Links : Onlinestatus : E.T. ist offline
Registriert seit: Nov 2003
Beiträge: 240
E.T. ist zur Zeit noch ein unbeschriebenes Blatt
E.T. eine Nachricht über ICQ schicken
Standard Idee 2 - Captcha mit PHP und Sessions

Andere idee ist es die Felderbezeichnung in der Form selbst sollte nicht fest, sondern dynamisch sein. D.h. die felder heissen immer anders und zwar mit einer Zufallszahl. Welche Zahl für welches Feld steht, sollte man in die Sassionvariable ablegen. Hier ein BSP:

Form.php
PHP-Code:
$_SESSION['username'] = rand(09999999999);

echo 
'<input type="text" name="'.$_SESSION['username'].'" />'
Send.php
PHP-Code:
echo 'Benutzername: '.$_REQUEST[$_SESSION['username']]; 
So sind die Felder immer anders benannt und es ist aus der Benennung nicht ersichtlich um welchen Parameter es in diesem Feld gehen soll.


Ist diese Idee sinnvoll?

Man könnte auch die Beiden Ideen kombinieren um die Sache für Spambots zu verkomplizieren.
__________________
Download ET-Chat v3.x.x
Mit Zitat antworten
  #3 (permalink)  
Alt 04-09-2009, 10:34
Benutzerbild von onemorenerd onemorenerd
  Moderator
Links : Onlinestatus : onemorenerd ist offline
Registriert seit: Mar 2005
Ort: Berlin
Beiträge: 9.471
onemorenerd wird schon bald berühmt werdenonemorenerd wird schon bald berühmt werden
Standard

Mit der ersten Idee schließt du alle Non-JS-User von vornherein aus, bei der zweiten können auch Browser die Felder nicht mehr (wieder-)erkennen und kein Autofill machen.
Mit Zitat antworten
  #4 (permalink)  
Alt 04-09-2009, 15:24
wahsaga
  Moderator
Links : Onlinestatus : wahsaga ist offline
Registriert seit: Sep 2001
Beiträge: 25.236
wahsaga befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Zitat von E.T. Beitrag anzeigen
würde es nicht reichen, wenn man den Inhalt des Formulars erst onload der Webseite über AJAX nachlädt? Oder alternativ könnte man auch die Felder und die ganze Form mit den DOM-Funktionen von JS dynamisch generieren.
Abgesehen vom Einwand, dass das dann auch für echte Nutzer ohne JS nicht benutzbar ist - Spambots lesen nicht nur automatisiert Formulare aus, sondern manchmal wird auch menschliche Arbeitskraft eingesetzt, um Formulare zu analysieren. Und wenn sich jemand anschaut, wie den Formular per JS aufgebaut wird, kann man das auch einem Bot einpflanzen, der dann wiederum ganz automatisiert seine Anfragen sendet, ohne dass du das serverseitig unterscheiden könntest. (Zugegeben, für ein popeliges Gästebuch wird der Aufwand vermutlich nicht betrieben - aber auf interessanteren Seiten durchaus ein plausibles Szenario.)

Zitat:
Andere idee ist es die Felderbezeichnung in der Form selbst sollte nicht fest, sondern dynamisch sein.
Die Struktur des HTML-Dokumentes dadurch versauen? Das kommt in meinen Augen einer Kapitulation vor Spammern gleich.
Dann doch lieber Lösungen wie Akismet.
__________________
I don't believe in rebirth. Actually, I never did in my whole lives.
Mit Zitat antworten
  #5 (permalink)  
Alt 07-09-2009, 08:00
E.T.
 Registrierter Benutzer
Links : Onlinestatus : E.T. ist offline
Registriert seit: Nov 2003
Beiträge: 240
E.T. ist zur Zeit noch ein unbeschriebenes Blatt
E.T. eine Nachricht über ICQ schicken
Standard

Zitat:
Zitat von onemorenerd Beitrag anzeigen
Mit der ersten Idee schließt du alle Non-JS-User von vornherein aus, bei der zweiten können auch Browser die Felder nicht mehr (wieder-)erkennen und kein Autofill machen.
Das alles stimmt, diese Nachteile sind mir schon klar und ich sehe diese auch ein.
Jedoch surfen inzwischen so gut wie alle Internetbenutzer mit JS-fähigen Browsern und Autofill ist bei den mit einer Captcha zu schützenden Formularen ehe uninteressant. Dagegen sind sehr viele, vor allem ältere Internetbenutzer, von visuellen Captchas überfordert. Ich selbst habe oft sogar Probleme zu erkennen was genau da stehen soll... eher bin ich also bereit auf Autofill zu verzichten. Barrierefrei sind eigegentlich beide Varianten kaum.
__________________
Download ET-Chat v3.x.x
Mit Zitat antworten
  #6 (permalink)  
Alt 07-09-2009, 08:04
E.T.
 Registrierter Benutzer
Links : Onlinestatus : E.T. ist offline
Registriert seit: Nov 2003
Beiträge: 240
E.T. ist zur Zeit noch ein unbeschriebenes Blatt
E.T. eine Nachricht über ICQ schicken
Standard

Zitat:
Zitat von wahsaga Beitrag anzeigen
Die Struktur des HTML-Dokumentes dadurch versauen? Das kommt in meinen Augen einer Kapitulation vor Spammern gleich.
Dann doch lieber Lösungen wie Akismet.
Also man "versaut" nur die Namenattribute der Inputtags. Das ist zwar nicht schön aber am sonsten sehe ich da keine gravierenden Auswirkungen (nur Autofill geht nicht mehr), die mit einer Kapitulation vergleichbar wären.
__________________
Download ET-Chat v3.x.x
Mit Zitat antworten
  #7 (permalink)  
Alt 07-09-2009, 10:28
PHP-Desaster
 PHP Expert
Links : Onlinestatus : PHP-Desaster ist offline
Registriert seit: Mar 2006
Beiträge: 3.105
PHP-Desaster befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Zitat von E.T. Beitrag anzeigen
Also man "versaut" nur die Namenattribute der Inputtags. Das ist zwar nicht schön aber am sonsten sehe ich da keine gravierenden Auswirkungen (nur Autofill geht nicht mehr), die mit einer Kapitulation vergleichbar wären.
Aber wer behauptet dass der Spambot nicht einfach blind alle Input-Felder irgendwie ausfüllt und abschickt? Oder eine Nicht-Maschine die Felder ausfüllt? Dann hast du den Mist trotzdem in der Datenbank. Ich würde die Daten erst nach Absenden validieren, alles andere ist auf Dauer nichts.
Mit Zitat antworten
Antwort

Lesezeichen


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 

Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
JS Captcha wizzardxx HTML, JavaScript, AJAX, jQuery, CSS, Bootstrap, LESS 17 12-02-2009 14:44
captcha problem subabrain PHP Developer Forum 3 28-02-2007 19:09
Robots und Captcha blumi PHP Developer Forum 9 28-02-2007 16:16
Möchtegern CAPTCHA Diggicell PHP Developer Forum 6 14-02-2007 11:49
Captcha Charly Projekthilfe 3 27-11-2006 16:58

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an


PHP News

ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlicht
ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlichtDie bekannte Marktplatzsoftware ebiz-trader ist in der Version 7.5.0 veröffentlicht worden.

28.05.2018 | Berni

Wissensbestand in Unternehmen
Wissensbestand in UnternehmenLebenslanges Lernen und Weiterbilden sichert Wissensbestand in Unternehmen

25.05.2018 | Berni


 

Aktuelle PHP Scripte

PHP Server Monitor

PHP Server Monitor ist ein Skript, das prüft, ob Ihre Websites und Server betriebsbereit sind.

11.09.2018 Berni | Kategorie: PHP/ Security
PHP WEB STATISTIK ansehen PHP WEB STATISTIK

Die PHP Web Statistik bietet Ihnen ein einfach zu konfigurierendes Script zur Aufzeichnung und grafischen und textuellen Auswertung der Besuchern Ihrer Webseite. Folgende zeitlichen Module sind verfügbar: Jahr, Monat, Tag, Wochentag, Stunde Folgende son

28.08.2018 phpwebstat | Kategorie: PHP/ Counter
Affilinator - Affilinet XML Produktlisten Skript

Die Affilinator Affilinet XML Edition ist ein vollautomatisches Skript zum einlesen und darstellen der Affili.net (Partnerprogramm Netzwerk) Produktlisten und Produktdaten. Im Grunde gibt der Webmaster seine Affilinet PartnerID ein und hat dann unmittelb

27.08.2018 freefrank@ | Kategorie: PHP/ Partnerprogramme
 Alle PHP Scripte anzeigen

Alle Zeitangaben in WEZ +2. Es ist jetzt 20:49 Uhr.