Nachdem in letzter Zeit der TextCaptcha ein wenig häufiger aufgekommen ist, habe ich mich mal dran gesetzt und einen einfachen Text Captcha geschrieben... Und versucht dabei mich ein wenig weiter in OOP zu üben.

Nun bin ich kein Profi darin und habe auch keinerlei fachliche Ausbildung in diesem Bereich, deshalb bin ich nun offen für jedwede Verbesserung:

txtcaptcha.class.php

PHP-Code:

<?php  
/**
 * txtcaptcha.class.php, txtCaptcha
 * 
 * This file is used to read, show and validate the Questions
 * @author Felix Jacobi <root@flexmex.net>
 * @version 0.1
 * @copyright 2007
 *
 */
class txtCaptcha {
    
    protected $_config;
    protected $_questions;
    protected $_solutions;
    
    public $question;
    
    /**
     * Creates Database Connection
     *
     * @param array $config 
     */
    public function __construct($config) 
    {
        $this->_config = $config;
        
        if($this->_config['debug'] == "false") {
            error_reporting(0);
        } else error_reporting(E_ALL);
        
        $this->_conn = mysqli_connect($this->_config['db']['host'],
                                      $this->_config['db']['user'],
                                      $this->_config['db']['pass'],
                                      $this->_config['db']['dbname']);
            
    }
    
    /**
     * Reads all Questions into $this->_questions
     *
     */
    protected function _getQuestions() 
    {
        $sql = "SELECT `id`, `question`
                FROM `txtcaptcha`";
        $result = mysqli_query($this->_conn, $sql) or die(mysqli_error($this->_conn));
        while($row = mysqli_fetch_assoc($result)) 
        {
            $this->_questions[$row['id']] = $row['question'];
        }
    }
    
    /**
     * Returns a random Question out of the database
     *
     * @return array Random Question and ID
     */
    protected function _randQuestion() 
    {
        srand((float)microtime() * 1000000);
        $id = array_rand($this->_questions);
        $this->question['question'] = $this->_questions[$id];
        $this->question['id'] = md5($id);
        
    }
    
    /**
     * checks if the given Answer is correct
     *
     * @return bool
     */
    public function checkAnswer() 
    {
        if(get_magic_quotes_gpc() === true) {
            $post_id = mysqli_real_escape_string($this->_conn, stripslashes($_POST['txtcaptcha_id']));
        } else {
            $post_id = mysqli_real_escape_string($this->_conn, $_POST['txtcaptcha_id']);
        }
        $sql = "SELECT `id`
                FROM `txtcaptcha`
                WHERE MD5(`id`) = '".$post_id."'
                AND `answer` = '".(int)$_POST['txtcaptcha_answer']."'";
        $result = mysqli_query($this->_conn, $sql);
        $status = mysqli_num_rows($result);
        
        if($status == '0') {
            return false;
        } else return true;
    }
    
    /**
     * Returns the question to public
     *
     * @return array random Question
     */
    public function showQuestion() 
    {
        $this->_getQuestions();
        $this->_randQuestion();
        
        return $this->question;
    }

}

example.php

PHP-Code:

<pre>
<?php
include_once("txtcaptcha.class.php");

/* Config */
$config['db']['host'] = "localhost";
$config['db']['user'] = "root";
$config['db']['pass'] = "";
$config['db']['dbname'] = "test";

$config['debug'] = "true";

$txtCaptcha = new txtCaptcha($config);

$question = $txtCaptcha->showQuestion();

if(isset($_POST['submit'])) {
    if($txtCaptcha->checkAnswer() === true) echo "ja<br/>";
    else echo "nein<br/>";
}
?>
<form action="./example.php" method="post">
    <label for="txtcaptcha_answer"><?php echo $question['question']; ?></label>
    <input type="text" name="txtcaptcha_answer" />
    <input type="hidden" name="txtcaptcha_id" value="<?php echo $question['id']; ?>" />
    <input type="submit" name="submit" value="send" />
</form>
</pre>

Das ganze gibts hier auch nochmal als Source zu begutachten:

http://dev.flexmex.net/temp/txtcaptcha.class.phps
http://dev.flexmex.net/temp/example.phps

Die Kommentare sind mir leider nicht so gut gelungen (sollen möglichst phpDoc valide sein), da nehme ich auch gerne Ratschläge entgegen.

Die example.php ist auch nicht wirklich fertig. In der finalen Version soll man nur noch an der entscheidenden Stelle die captcha.php includen und die macht den Rest.

Du solltest unbedingt noch bei der Methode checkAnswer() die Funktion mysql_real_escape_string() benutzen, um die Sicherheit zu verbessern.

Ach, sorry, das ist mir jetzt gar nicht aufgefallen, weil es vorher mit PDO und Prepared Statements am Laufen war.

Ist geändert.

unter php4 lauffähig?

Ich will auch OOP lernen, hab mit n buch drüber gekauft, dummerweise behandelt des nur php5, deswegen frag ich Mir iss wichtig, dass diese Dinge immer unter PHP4 laufen, weil viele schlichtweg PHP4 aufm server laufen haben

Aber frage: Worin liegt der Sinn bei TextCaptcha? Ich mein, klar, jemand der die Frage beantworten kann wird kaum Probleme haben, aber da muss ja auch die schreibweise der Antwort gegeben sein, und die antwort selbst muss man ja auch wissen... Man kann ja nicht davon ausgehen, dass jedwede frage für jeden beantwortbar ist

Welches Jahr haben wir? 2007
Wieviele Augen hat der Mensch? 2
Wieviel ist 2+2? 4
Wieviele Beine hat der Mensch? 2
Wieviele Finger hat der Mensch? 10
Wieviele Stunden hat ein Tag? 24
Wieviele Monate hat ein Jahr? 12
Wieviele Minuten hat eine Stunde? 60
Wieviele Monde hat die Erde? 1
Wieviele Räder hat ein Automobil? 4

Ich denke diese Fragen sollten 99% aller Besucher beantworten können

Weitere Vorteile des TextCaptchas ist, dass ein Bot sie nicht beantworten kann. Dafür müsste er "denken" können. Er kann die Fragen nicht mit einer OCR Software erfassen und automatisch wiedergeben (wie es bei grafischen Captchas der Fall ist) sondern müsste auf verschiedene Wörter in der Frage reagieren.

Ein weiterer Vorteil ist, dass man Text vorlesen lassen kann und vergrößern kann, wie es einem beliebt, sprich einfacher für Menschen mit einer Behinderung o. ä.

Und nein, so wie die Klasse jetzt ist, ist sie nicht unter PHP4 lauffähig, allerdings sollten

mmmh, okay weiss nich, kennste die sendung "SAM" auf PRO7? Da machen die manchmal so "Fragestunden" bei Passanten, da schlägt man sich die Hand vorm Kopp, wenn man deren Antworten zu den Fragen hört deswegen mein ich, müsst man die Fragen derart einfach sein, dass die auch vom letzten Hinterwäldler beantwortbar iss

Naja, und es iss praktisch nur ne Frage der Zeit, bis die Bots auf diese Captchas umgehen können, denk ich mal, gerade bei Fragen wie "Wie viele Beine hat ein Mensch?" - brauchst praktisch nur das Dokument nach dem Begriff scannen, suchst das nächste Formular, trägst da 2 ein und fertig iss die Luzi - theoretisch nicht schwer sowas zu programmieren. Und wenn vieeeeele dieselben Fragen haben ist es unter Umständen nicht irrealistisch, dass es recht schnell gehen könnt

Naja, bin mal gespannt. Ich programmier ja auch immo n eigenes CMS, dass ich auch woanders einsetzen will, problem ist ja immer PHP aufm Server upzudaten, z.B. gerade dann wenn Plesk aufm Server läuft, oder gar der Serverhoster nicht auf Version 5 updaten will...

Hi, ich schon wieder...

Noch ein kleiner Nachtrag zu mysql_real_escape_string():

Du musst aufpassen, ob Magic Quotes GPC aktiviert ist, falls nicht, ist alles richtig so, andernfalls solltest du vorher noch stripslashes() benutzen, da es sonst zu Problemen kommen kann, da z.B. Anführungszeichen doppelt mit einem Backslash escaped werden.

PHP-Code:

if(get_magic_quotes_gpc())
  $_POST['txtcaptcha_id'] = stripslashes($_POST['txtcaptcha_id']);

...

mysql_real_escape_string($_POST['txtcaptcha_id']) 


Ja, allerdings sind sämtliche grafischen Captchas anfälliger als Text Captchas.

Für grafische Captchas gibt es vorgefertigte Bots en masse, die fast alle die selbe Engine verwenden (Pwntcha).

Bei Text Captchas müsste sich jemand hinsetzen und sämtliche Fragen eintragen oder Stichwörter, was eine ganz schöne Arbeit ist.

Und wenn man das merkt, kann man einfach die alten Fragen rauswerfen und neue reinsetzen.

Und was solche Umfragen im Fernsehen angeht...

Frage 1000 Leute und du wirst fast immer 5-6 haben die eine doofe Antwort geben.

Nachtrag zu EvilO

Ist geändert, danke.
Ist eine große Umstellung, wenn man plötzlich nicht mehr nur noch von der eigenen Konfiguration ausgehen muss, sondern von vielen


Kann es eigentlich sein, dass man sich im AZ mal gesehen hat?

hrr jo, aus den 5-6 von 1000 Leuten, die du fürs fernsehn befragst kannste sicherlichdas doppelte, dreifache machen wennde im Inet fragst laufen ja sehr viele "Kiddies" im inet rum

Aber iss auch egal, sicher sind Text-Captchas da nich sooooo Anfällig denk ich mal, BIS man sie eventuell automatisch auslesen kann, denn man muss eigentlich nur die Position des Sicherheitsfeldes wissen, ein stück zurück gehen, HTML-Code rausfiltern, das Fragezeichen suchen (man gehe jetzt mal davon aus, dass eine Sicherheits"frage" immer mit nem Fragezeichen endet), dann den letzten Punkt vor dem Fragezeichen, und das speichert man dann eben ab. Okay, einer muss dann immer noch die Antwort zur Frage geben aber wenn das jemand macht, haste sicherlich bald nen umfangreichen Fragekatalog, und der iss ja nicht vergänglich Und ich mein: Knackt des in der Tat jemand, und man hat auf der eigenen Seite einen Fragen/Antworten-Katalog auf der Website - man müsste den ganzen Katalog komplett austauschen, wenn man nicht die ID der Frage mit dem User--Eintrag abspeichert. Man kann sonst nicht nachvollziehen, zu welchem Spameintrag welche Frage gestellt wurde.

Ein weiteres Problem ist ja auch: Du brauchst hunderte von Fragen! wenn du wenige Sicherheitsfragen hast, wiederholen die sich zu schnell wieder. Ein Bot kann dann das <form>-Abschnitt aus dem HTML auslesen, abspeichern und miteinander vergleichen. Er nimmt dann nur den Text heraus, der sich ständig verändert und eventuellen weiteren Merkmalen entspricht. Dann haste ganz ganz fix einen riesigen (mehrsprachigen) Fragenkatalog zusammen, den eine Person auch recht schnell mit Antworten füllen kann. Mag zwar sein, dass das nervend ist, aber man kann denke ich ganz gezielt davon ausgehen, dass die Spamversender auch diese nervige Aufgabe meistern werden. Denn sie wollen ja Spam verbreiten Und die Mehrsprachigkeit mag kein Hindernis sein, denn man weiss nicht, wie die Spamtypen organisiert sind, ich denke auch hier gibts ein gewisses internationales "schwarzes" Netzwerk...

Deswegen auch mein bedenken, ob sich Textcaptchas durchsetzen, sie sind sicherlich ärgerlich für Spambots, aber sicher nicht unumgänglich. Schon gar nicht, wenn die Webseitenbetreiber schlicht aus Faulheit keine eigenen Fragen generieren, sondern einen eventuell schon vorgefertigten Katalog nutzen, der mit dem CMS mitgeliefert wird. Und - wer denkt sich schon 300 eigene Fragen aus, damit Textcaptchas einigermaßen Sinn machen

Captchas sind meiner Meinung nach zwar ein ganz nettes Mittel Bots dran zu behindern Spam zu verbreiten, aber wie du schon sagst: Bildcaptchas sind knackbar, was für mich schon eine krasse Leistung ist. Man könnt beinah sagen, die haben meinen Respekt. Aber gleichzeitig heisst das auch: Text ist genauso umgehbar (ich denk mal nicht umsonst wurden Bildcaptchas eingeführt ), wie z.B. auch Rechenaufgaben, die können von Bots auch schon umgangen werden, hab ich letztens erst gesehn


Ich denk mal, Spam kann man nur dann effektiv umgehen, wenn sich die Authorisierungstechniken grundlegend ändern, sprich es muss eine technik entwickelt werden, die einen Menschen von einem Bot unterscheiden können, aber des iss wohl noch ganz ganz weit wech

Selbst wenn sie sich wiederholen, es muss trotzdem jemand die Eingaben machen. Und die meisten werden sich davor sträuben.

Man siehe nur das phpBB. Ich habe zwei kleine Änderungen gemacht (eine Checkbox hinzugefügt, die eine Frage stellt und Ja/Nein zulässt) und eine minimale Passwörtstärke eingerichtet (min. 6 Chars und Alphanumerisch).

Seitdem gibt es bei mir keinen Spam mehr.

Die Frage ist natürlich, ob sich jemand dransetzt und es auf mein Forum anpasst, aber lohnt sich der Aufwand wirklich? Für eine kleine Community?
Nein, es bringt mehr den Bot 20 andere ungesicherte Seiten zuspammen zu lassen, als ihn für eine zu ändern.

Das würde sich natürlich ändern, wenn das System verbreiteter ist, allerdings selbst dann kann man es noch verschärfen, durch eine reine Audioausgabe, z. B.

Kampf gegen Spam ist mittlerweile genauso wie der Kampf gegen Sicherheitslücken. Er wird nie zu Ende sein

Naja felix, ich gehe immer vom ungünstigsten Fall aus, nicht von sagen wir mal "Spezialfällen" wie deine Modifikation von deinem phpBB. Da ist natürlich klar, dass es sich nicht lohnt, da einen Bot extra auf deine Seite anzupassen. Ich red da eher von Massenware, die weitestgehend unmodifiziert eingesetzt wird, beispielsweise das allerseits bekannte PHP-Kit.

Mal ein fiktives Beispiel:

- Ich programmier ein CMS, das ich auch anderen (frei oder kostenpflichtig) zur Verfügung stell
- Das CMS soll auch Gast-Beiträge zulassen
- Das CMS kommt sehr gut an, wird tausendfach genutzt
- Textcaptcha mit vorgefertigten Fragen als Schutz, weise drauf hin, dass UNBEDIGT individuelle Fragen eingetragen werden müssen, und zwar besser mehr als 100
- von 1000 Siteadmins richten sich nur 250 daran
- einer Person gefällt das CMS überhaupt nicht, ist sauer weil das CMS ein wenig verbuggt ist, oder zu kompliziert ist. Er will sich rächen. Oder er ist einer dieser Leute, die gern andere ärgern und kennt sich recht gut mit PHP, Delphi oder C++ aus, davon gibts sicher auch hunderte...
- er checkt das CMSystem ab, stellt fest, dass die Formulare einem Muster folgen (was sie für gewöhnlich machen)
- er checkt, wie er die Sicherheitsfrage am besten herausfiltern kann
- hat erfolgreich einen Script entwickelt, der in der Tat jedwede Frage rausfiltern kann
- er setzt die Entwicklung fort, bastelt sich einen Bot
- er schickt den Bot auf Suche nach seiten, die das CMS nutzen, fragt die Seite mehrmals hintereinander ab, checkt die Seite auf Formulare ab, checkt, ob sie seinem Suchmuster entsprechen und filtert die frage aus dem Quelltext heraus, speichert sie und die Seitenadresse ab, tut aber sonst noch nichs.
- der programmierer des bots checkt regelmäßig den adminbereich seines bots, in dem die fragen feinsäuberlichst grafisch aufgelistet werden, inkl. einem Antwort-Formularfeld.
- er braucht nur die tabtaste drücken, um ins nächste antwortformular zu kommen. Da die Fragen meist vollkommen simpel sind und per zahl beantwortet werden, kann er sicherlich in 5 minuten 150 Fragen abarbeiten. Auch wenns stupide ist, er will unbedingt andre ärgern. Er hat halt Ehrgeiz (was er zugegebenermaßen vollkommen ineffektiv nutzt ).
- in wenigen Tagen hat er 10000 Fragen gesammelt (was sowieso unwahrscheinlich ist, denn ich glaub eher weniger, dass man in der tat so viele fragen zusammenbekommt, die 99% aller inetuser beantworten können), programmiert eventuell noch eine "intelligente Vergleichsroutine", die nach bestimmten Wörtern in der Frage sucht (z.B. "Wieviele", "Beine", "Hund") und bildet daraus ein Ergebnis. um so nicht erst den eigenen Fragenkatalog durchgehen zu müssen. dann schickt er den bot auf jagd...

...und zack, darf man sich erstmal ein paar Tage ärgern. Es mag ein kurzweiliges Vergnügen sein, klar, aber auch das kann einen schon abnerven


Zugegeben, es mag für einen wie wir es sind vollkommen bekloppt vorkommen, dass da ein Kellerkind sitzt und stupide Fragen beantwortet, diese abspeichert und ein Programm erstellt, dass das Inet nach Formularen und einem bestimmten CMS absucht, um dessen Siteadmin zu ärgern. AAAABER: Wer hat denn bitteschön die Bild-Captchaknacker entwickelt? Ein Kellerkind

Ich habs mir jedenfalls angewöhnt eine Sache von möglichst allen Seiten zu betrachten, und den für mich ungünstigsten Fall herauszufinden. Und der ist bei Text-Captchas nunmal der, dass sich die "Sicherheitsfunktion" auf Text basiert. Und die Tatsache, dass es Programmierern in monatelanger (supider und sinnfreier) arbeit gelungen ist, Bild-Captchas zu "scannen", liegt für mich jedenfalls sehr nahe, dasses da draussen Freaks gibt, die auch Text-Captchas knacken wollen, auf jede Art und Weise und wahrscheinlich auch ohne Mühen zu scheuen.

Ich sach dabei nich, dass Text-Captchas keinen Sinn machen, oder überflüssig geschweige denn "leicht" zu knacken sind, aber auch hier ists nur ne Frage der Zeit, bis auch diese umgangen werden können...

Aber heisst auch nich, dass ich von deinem Text-Captcha nichs halte, aber mach den bitte auch PHP4-Tauglich maybe lern ich ja auch was von, und ich lern gern dazu


Aber btw... Es muss doch eigentlich eine Möglichkeit geben, alle Gast-Eingaben zu checken, ohne auf Captchas etc zurückgreifen zu müssen... Hmmm... Mh...

Da kommt mir grad was, wie wärs wenn man das mit Flash macht? Da arbeiteste ja mit Layern, Actionscript - da kannste doch teilweise Text verdecken, verunstalten ohne die Lesbarkeit einzuschränken, andre hintergründe, andre schriftarten usw... DAS müsste doch dann vollkommen unmöglich sein das zu umgehen, oder irr ich mich?

Mit Flash habe ich mich noch nie auseinandergesetzt (und werde es wahrscheinlich auch nicht) und ja, ich stimme zu, du hast Recht.

Aber das gilt eben auch für die meisten grafischen Captchas.

Und da ich eben auch gerne barrierefrei arbeite (vielleicht weil ich im realen Leben auch mit behinderten Menschen arbeite), bleibe ich lieber beim knackbaren Textcaptcha, als beim knackbaren grafischen Captcha

Und mach du ihn doch PHP4 tauglich

Das einzige was gemacht werden müsste:
- Die Variableneigenschaften ändern
- mysqli zu mysql ändern

Also keine wirklich großen Änderungen

hm, okay, da magste wirklich recht haben, was Barrierefreiheit angeht ist Flash nicht das Optimum, Blinde werden da dann ihre Müh haben denk ich mal. Manchmal suckt das Leben eines Programmierers bis zum Abwinken Denn, ich muss sagen, sicher ist mir die Barrierefreiheit nicht egal, gewiss nicht, bin ja kein Kommt aber auch aufs Thema einer website an, bisher bin ich fast nur im Clanbereich zu gange, oder auch im Bereich Motoren (und hier muss man zwangsweise sehen können, hier iss Barrierefreiheit nicht allzu Maßgeblich, denk ich mal...)...

was das Kompatibelmachen zu PHP4 angeht... jor, maybe eine Möglichkeit für mich da mehr drüber zu lernen. Werd ich morgen auf der Arbeit mal versuchen, bisher hab ich mich noch nich allzusehr mit OOP beschäftigt, find aber die Möglichkeiten den Code zu "vereinfachen" ziemlich interessant. Schaun mer mal

offtopic @Felix -->Klugscheiss

Die Frage mit den Fingern ist garnicht sooooo einfach, viele könnten denken, dass man nur 8 Finger hat und 2 Daumen obwohl es auch Finger sind
Sehr selten (aufgrund einer Mutation) haben manche Menschen auch elf Finger.

mfg

Zitat von Online-Skater

offtopic @Felix -->Klugscheiss

Die Frage mit den Fingern ist garnicht sooooo einfach, viele könnten denken, dass man nur 8 Finger hat und 2 Daumen obwohl es auch Finger sind
Sehr selten (aufgrund einer Mutation) haben manche Menschen auch elf Finger.

mfg

Ich gehe von einem gesunden Menschenverstand aus

Und ja, elf Finger sind gar nicht so selten, hatte ich in meiner bisherigen Berufslaufbahn bereits zwei Mal.

Wer aber so egozentrisch denkt bzw. nicht nachdenkt, sollte lieber den PC ausmachen als Kommentare o. ä. zu verfassen, wo ein solcher Captcha eingesetzt wird