-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Am 26.10.2010 17:16, schrieb Rainer Schleevoigt: > Hallo, > > in einer Web-App sammeln wir mit dem formhandler Adressen, das Ganze ist > mit Captcha gesichert. Angeblich sind dort (unter Umgehung des Captchas) > 2000 eMails gelandet. Ist das nicht fast unmöglich? > > Rainer > Hallo Rainer, mir sind auf anhieb zwei mögliche umgehungs methoden bekannt:
1. "high tech"hier wird versucht das captcha mittels OCR software zu erkennen hier reicht es auch wenn das böse script nur in 20% der fälle das richtige wort erkennt da so ein script ja problemlos tausende anfragen ausführen kann. 2. "low tec" der "angreifer" nimmt einfach dein captcha bild und veröffentlicht es auf irgend einser seite die z.b kostenlose sex bildchen anbietet. und läst das captcha dann von den nutzer lösen und verwendet diese lösung dafür deine sicherheits system zu umgehen. ohne das der nutzer überhaupt weiss bei was er dort hilft. ansonsten gab es hin und wieder auch ander schwächen in captcha systemen. z.b das ein captcha nach nutzung nicht invalidiert wurde und so der "angreifer" immer wieder mit dem gleichen session cookie und der capture antwort durch kommen konnte. generell erhöht ein captcha nur die hürde. es schließt spam halt nicht völlig aus. gruss chris - -- Christian Wolff // Berlin http://www.connye.com some projects: http://richtermediagroup.com | http://titanic.de | http://keyopinions.info -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.10 (MingW32) iEYEARECAAYFAkzG+7cACgkQIcCaXPh/JHHCmwCfRSoXU0yFtMWYE4aT7kWFjqky RH4AmQEqw1kVTBYZIXzj82RE3duio4L4 =NMik -----END PGP SIGNATURE----- _______________________________________________ TYPO3-german mailing list TYPO3-german@lists.typo3.org http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
