Zitat Zitat
Beim Starten des Gaestebuches wird die die IP mittels md5() in ein Verstecktes Formular Feld eingetragen und beim Absenden mitgeschickt.
Bevor dann der Eintrag in die DB gemacht wird, wird eine neue IP Abfrage gestartet und ebenfalls mit md5() verschluesselt, dann werden beide mit einander Verglichen, wenn beide Uebereinstimmen wird der Eintrag gemacht, wenn nicht dann halt nicht.
Läßt sich in einer Minute umgehen. Der Angreifer muß sich ein mal den URI ansehen und das System ist geknackt. Abgesehen davon kann man es umgehen, indem man lediglich vor dem Posten die Übersichtsseite aufruft.

Zitat Zitat
Im Eingabe Formular steht ein Text mit dem Inhalt : "Bitte Schreibe die Zahl __'irgend eine zahl zwischen 0 und 9'__" aus.
Dann schreibt man halt z.B. den Text neun in das Eingabe Feld.
Läßt sich noch wesentlich einfacher umgehen als ein Captcha.

Zitat Zitat
Mindest Laufzeit beim Beitraege Schreiben, die Zeit wird gemessen ab dem Zeit Punkt wo man auf Beitrag Schreiben geht, sollte man beim Absenden unter z.B. 30sec sein wird der Eintrag nicht genommen und geloescht/verfaellt
sleep(60). Fertig.

Zitat Zitat
Eine IP Sperre die jeden User nur einmal in X min Posten laesst.
Wurde von dir bereits widerlegt.

Zitat Zitat
Man kann eine Art Link Sperre machen, wenn mehr als z.B. 3 Links im Eintrag vorhanden sind wird dieser geloescht oder verfaellt.
Sinnvoll, verhindert aber keine Spams mit weniger als N Links.

Zitat Zitat
Es werden Zufaellige <input> namen erzeugt in Sessions gespeichert, wie z.B. mail-87632, wobei mail- immer bleibt und sich nur die Zahl veraendert, die wiederum beim Eintragen in die DB verglichen wird.
Trivial. Man ruft die Postseite auf und filtert die Zahlen raus.

Zitat Zitat
Ein Verstecktes Input Feld mit einem Aussage Kraeftigen namen wie z.B. Email oder Name.
Nach dem Absenden wird ueberprueft ob in diesem Feld was eingegeben wurde oder nicht, sollte dies der Fall steht Fest das es ein Bot ist.
Sobald bekannt ist, welche Felder sinnvoll sind, ist der Schutz umgangen.


Captchas werden nicht deshalb geknackt, weil das Verfahren inhärent schwach ist, sondern weil ein Haufen schlauer Leute daran arbeiten, sie zu knacken. Das gilt auch für andere Schutzmechanismen - effektiv hast du für gewöhnlich nur security through obscurity, da du dem Besucher immer alle Informationen liefern mußt, die er zum Posten braucht.

Captchas basieren auf der Erkenntnis, daß Mustererkennung etwas ist, das Maschinen schlechter können als Menschen, ergo sind Maschinenzugriffe erschwert. Parsing und Berechnungen sind hingegen Felder, für die Computer speziell gebaut wurden. Kram wie versteckte Felder etc. ist einfach zu umgehen. Ein Mensch erkennt das Abwehrschema, die Maschine wird darauf programmiert und umgeht es.

Sein wir ehrlich - wir sind in der gleichen Situation wie Kopierschutz- oder DRM-Betreiber: Die anderen sind mehr und sie sind entschlossen. Es ist unmöglich, völlige Sicherheit zu haben.