Hallo, Gast! (Registrieren)

Letzte Ankündigung: MyBB 1.8.22 veröffentlicht (31.12.19)


Benutzer, die gerade dieses Thema anschauen: 1 Gast/Gäste
Umfrage Script Validierungen
#11
(09.01.2020, 12:12)StefanT schrieb: Letztlich musst du halt entscheiden, wie viel Aufwand du treiben willst. Bei simplen Umfragen würde ich nur ein Captcha und Cookies (oder HTML5 Web Storage) einsetzen. Das hält automatische Bots ab und hält "normale" User von mehrfachen Votes ab. Mehr Manipulationssicherheit bieten Benutzeraccount bzw. E-Mail-Verifizierung. SMS-Verifizierung und ähnliche Verfahren ist dann schon deutlich aufwendiger.

Ob sich EverCookies oder Canvas fingerprinting eignen und Datenschutzrechtlich unproblematisch sind, kann ich leider nicht sagen.

Danke für dein Feedback. An sich sind SMS nicht so kompliziert. Ich habe mir mal einige Gateways angesehen und man müsste die API einfach nur durch curl ansprechen. Kostet aber Geld und man stelle sich vor Bots schaffen es automatisiert die Formulare auszufüllen - dann wird es etwas teuer.

Mit HTML5 WebStorage habe ich mich noch nicht beschäftigt. Wird wohl Zeit. Big Grin
My  PHP-Version: 7.3.1 | MySQL-Version: 5.7.21
My  Plugins: See all
------
Kein Support für Foren mit entferntem Copyright und/oder unbekannter URL.
Zitieren
#12
(09.01.2020, 13:07)itsmeJAY schrieb: und man stelle sich vor Bots schaffen es automatisiert die Formulare auszufüllen - dann wird es etwas teuer.

Dafür wird`s wohl auch nie eine 100%-ige Sicherheit geben.
Was denkst Du über:
- per CSS versteckte Formularfelder (mit etwas Kreativität, evtl. mehrere)?
- Timestamp

Ja ich weiß, das alles wird Dich nie 100% sicher machen.
Zitieren
#13
(09.01.2020, 13:56)Schnapsnase schrieb:
(09.01.2020, 13:07)itsmeJAY schrieb: und man stelle sich vor Bots schaffen es automatisiert die Formulare auszufüllen - dann wird es etwas teuer.

Dafür wird`s wohl auch nie eine 100%-ige Sicherheit geben.
Was denkst Du über:
- per CSS versteckte Formularfelder (mit etwas Kreativität, evtl. mehrere)?
- Timestamp

Ja ich weiß, das alles wird Dich nie 100% sicher machen.

Hi,

meinst du bezüglich Spam?

Es gibt mittlerweile auch Möglichkeiten für Bots versteckte Felder zu umgehen. Wie genau hast du dir das mit dem Timestamp vorgestellt?
My  PHP-Version: 7.3.1 | MySQL-Version: 5.7.21
My  Plugins: See all
------
Kein Support für Foren mit entferntem Copyright und/oder unbekannter URL.
Zitieren
#14
(09.01.2020, 16:54)itsmeJAY schrieb: ...meinst du bezüglich Spam?

Es gibt mittlerweile auch Möglichkeiten für Bots versteckte Felder zu umgehen. Wie genau hast du dir das mit dem Timestamp vorgestellt?

Ja, natürlich meine ich automatisierte Bots. Genau darum ginge es ja auch bei Deinen Bedenken bezüglich des Ausfüllens von Formularen.
In der Regel ignorieren Bots CSS-Anweisungen und versuchen Felder auszufüllen.
Es erscheint nicht sehr innovativ, aber ein Bot wird ein mit "Email-Adresse*", Name*, Vorname* deklariertes Feld mit hoher Wahrscheinlichkeit ausfüllen wollen. Wenn es viele derartige Felder gibt und diese auch noch im "Fluss" der Seite und nicht separiert sind, ist die Chance eines Treffers für Dich schon mal gegeben.

Beim Timestamp muss man mal schauen....Ein Mensch wird für das Füllen Deines Formulars def. mehr Zeit brauchen, als eine Maschine. Dem solltest Du Rechnung tragen.
In Summe sind es dann mehrere Maßnahmen, die Dich einigermaßen sicher machen - aber auch nur einigermaßen. Wink

Du hast in Deinem Thread nach Meinungen gefragt. Diese hast Du u.a. auch von mir bekommen.
Das heißt aber nicht, dass ich/wir dies auch selbst programmieren können. Big Grin
Dafür bist Du zuständig, denn da bist Du einigen weit überlegen.

Grüße
Zitieren
#15
Danke für die Blumen und nicht falsch verstehen! Ich bin dir absolut dankbar für dein Feedback und weiß jedes Feedback zu schätzen und nimm mir das zu Herzen  Toungue Toungue

Bezüglich der "unsichtbaren" bzw Hidden Felder und des Timestamps, solltest du dir mal reCaptcha v3 von Google anschauen. Das reCaptcha läuft komplett im Hintergrund und ich glaube so gut wie Google mistet keiner Bots aus  Big Grin Das ist um einiges sicherer, als manuell irgendwelche Felder hinzuzufügen.. 

https://developers.google.com/recaptcha/docs/v3

reCaptcha 3 läuft im Grunde so und erkennt ob du ein Bot bist oder nicht:
https://recaptcha-demo.appspot.com/recap...scores.php

Ich denke mit reCaptcha 3 würde ich gut fahren, aber ob SMS wirklich so sinnvoll ist? Vorallem, geben Besucher wirklich lieber ihre Nummern statt der E-Mail ein? Und Kohle kostet es auch..  Big Grin 

Das Projekt steht sowieso noch in den Startlöchern und ist für 2020 als Projekt geplant auf PHP Framework Symfony (benutzt u.a die gleiche Template Engine wie MyBB 1.9 verwenden wird). 

Vielleicht hat ja noch jemand etwas anzumerken...  Toungue

Grüße,
JAY
My  PHP-Version: 7.3.1 | MySQL-Version: 5.7.21
My  Plugins: See all
------
Kein Support für Foren mit entferntem Copyright und/oder unbekannter URL.
Zitieren
#16
(09.01.2020, 13:56)Schnapsnase schrieb: Dafür wird`s wohl auch nie eine 100%-ige Sicherheit geben.
Was denkst Du über:
- per CSS versteckte Formularfelder (mit etwas Kreativität, evtl. mehrere)?
- Timestamp
Das halte ich in diesem Fall für überflüssig. Wenn keine Standardsoftware eingesetzt wird, werden die meisten Formulare von Bots auch ohne diese Tricks nicht korrekt erkannt. Und wer die Umfragen manipulieren will, kann beides sehr leicht umgehen.
[Bild: banner.png]

Bitte die Foren-Regeln beachten und im Profil die verwendete MyBB-Version angeben.
Zitieren
#17
(09.01.2020, 18:36)itsmeJAY schrieb: Bezüglich der "unsichtbaren" bzw Hidden Felder und des Timestamps, solltest du dir mal reCaptcha v3 von Google anschauen. Das reCaptcha läuft komplett im Hintergrund und ich glaube so gut wie Google mistet keiner Bots aus  Big Grin Das ist um einiges sicherer, als manuell irgendwelche Felder hinzuzufügen..
(09.01.2020, 21:17)StefanT schrieb: Das halte ich in diesem Fall für überflüssig. Wenn keine Standardsoftware eingesetzt wird, werden die meisten Formulare von Bots auch ohne diese Tricks nicht korrekt erkannt......

Na dann los!
Wer nichts testet, wird weder Pro noch Kontra ernten können....
@Jay
Ich wünsch` Dir viel Erfolg bei Deinem Projekt!

Grüße
Zitieren
#18
Danke Wink

Ich denke ich werde es über E-Mal-Verifizierung machen. Das grenzt das Ergebnis doch schon etwas ein.
My  PHP-Version: 7.3.1 | MySQL-Version: 5.7.21
My  Plugins: See all
------
Kein Support für Foren mit entferntem Copyright und/oder unbekannter URL.
Zitieren