Wäre es möglich ein einfaches Captcha ohne Cookies/Session umzusetzen?

Mal angenommen man würde sich ein geheimes langes Kennwort ausdenken dass nur im Quelltext der PHP-Datei steht.

Jetzt generiert man noch die Captcha-Aufgabe und verknüpft das Ergebnis mit seinem geheimen Kennwort.

Aus dem String der jetzt aus dem Ergebnis der aus dem Ergebnis der Captcha-Aufgabe und unserem geheimen Passwort bestheht, erzeugt man einen sha512-Hashwert.

Diesen Hash schreibt man in ein hiddenfeld das man zusammen mit Eingabefeld für das Captcha über trägt.

Da nur ich mein geheimes langes Kennwort kenne, sollte auch nur ich über prüfen können ob der übergebene Captcha-Wert plus mein geheimes langes Kennwort den selben Hashwert ergeben wie der in dem Hidden-Feld.

Würde das funktionieren oder befinde ich mich "auf einem Holzweg"?

4 Antworten

Vom Beitragsersteller als hilfreich ausgezeichnet

Kieselsaeure

Nutzer, der sehr aktiv auf gutefrage ist

im Thema PHP

05.11.2016, 10:24

Verstehe ich das so richtig?:

Zufallserzeugung von nem string (captcha), Verschlüsselung mit deinem passwort,hash des verschlüsseltem captcha strings, der verschlüsselte captcha string wird in ein hidden feld gepackt und der originale als image. Der Besucher gibt dann das was er sieht in eine textbox und der server verschlüsselt das mit dem statischen schlüssel und hasht das wieder und prüft dann das mit dem aus dem hidden feld gesendeten string?

Möglich aber die verschlüsselung kannst du dir sparen, der hash ist eh nen einmal Verfahren. Was aber bei deinem system fehlt ist die manipulationssicherheit. Einmal kurz ne anfrage von hand machen, die header "notieren" und dem bot sagen was er im hidden feld anstatt deinen gesetzten wert nehmen soll und was er in der "textbox" senden soll wo der captcha in plain rein soll. Kurz gesagt: der schlüssel würde sich unendlich mal benutzen lassen und dein schutz ist uneffektiv.. abhilfe zb mit der Kombination mit sql und der begrenzung des captchacodes auf einmalige verwendung

Kieselsaeure

05.11.2016, 17:41

gern. wenn sich tatsächlich einer so gedanken macht bin ich auch bereit etwas ausführlicher zu helfen. :D

Kieselsaeure

05.11.2016, 10:28

achja und wenn du sessions verwenden würdest könnte man übrigens das was aktuell im hidden feld steht nichtmehr effektiv verändern. man authentifiziert sich am server via cookie das dann die daten auf dem dateisystem des server liest und in den Daten stehen die "sessionwerte" vom jeweiligen client.

klugshicer

Beitragsersteller

05.11.2016, 17:27

@Kieselsaeure

Vielen Dank, soweit hatte ich noch gar nicht gedacht - damit hast Du mir die entscheidende Schwachstelle in meinem "Captcha-Konzept" aufgezeigt.

Krull77

04.01.2021, 15:24

Der Lösung von https://www.webappz.de/captcha verwendet ein Verfahren, was so ähnlich funktioniert wie ihr das oben beschrieben habt. Für nicht kommerizelle Webseiten ist das sogar kostenlos verfügbar.

Bluewater1403

05.11.2016, 08:38

Ich habe mir was ähnliches auch schon programmiert.

Das Skript erzeugt einen Hash, gibt ihn so wie Du es beschrieben hast in einem hidden field aus. Den Hash speichere ich gleichzeitig in einer $_SESSION Variable. Das Empfänger-Skript vergleicht die $_POST und die $_SESSION Variable. Wenn identisch dann gut :)

Das funktioniert aber unabhängig vom Captcha. Und meiner Meinung nach ist das ausreichend.

Ein Captcha ohne Cookie / Session halte ich für nicht realisierbar

kuechentiger

05.11.2016, 09:37

Ich hab sowas ähnliches mal gemacht, indem ich eine sich jedesmal ändernde Rechenaufgabe stellte, an das Ergebnis kam noch ein Wort, und das dann mit MD5 verschlüsselt. Das kam in ein hidden-Feld zum Vergleich mit der Nutzer-Eingabe. Die Aufgabe wurde jedesmal zur Anzeige/Lösung mit PHP in ein Bild umgewandelt und mit Timestamp gespeichert. Hat wunderbar funktioniert, kein Spam oder Angriffsversuche mehr im Gästebuch.

Ähnliche Beiträge

Wie kann ich in C++ abrunden ohne eine Funktion zu benutzen?

Hallo!

Ich bin neu im Informatikkurs und stehe grade ziemlich auf dem Schlauch:

Ein und Ausgabe sind mir prinzipiell klar aber folgende Aufgabe erfordert mehr:

Erstellen Sie ein Jupyter Notebook, bei dem eine positive Kommazahl und eine Stellenanzahl eingelesen werden

Die Kommazahl soll dann ohne Verwendung von fertigen Rundungsfunktionen auf die eingegebene Stellenanzahl

abgerundet werden. Im Anschluss soll das Ergebnis ausgegeben werden.

Beispiel:

Bitte die zu rundende Zahl, mit Punkt statt Komma: (Eingabefeld) 4.12345

Auf wie viele Stellen soll abgerundet werden? (Eingabefeld) 3

Abgerundet auf 3 Stellen lautet die Zahl: 4.123

Anforderungen:

Einlesen einer Kommazahl und einer Stellenzahl

Abrunden auf die Stellenzahl ohne Verwendung fertiger Rundungsfunktionen

Ausgabe des Ergebnisses

...zum Beitrag

Simpel ( Buch ) - Charakterisierung und Beschreibung (:

Hallöchen :DD

Ich wollte mal wissen , welche Eigenschaften und Merkmale Aria und Zahra aus dem Buch Simpel haben (:

Vielen Dank schon mal <33

...zum Beitrag

Was sind Wahrheitswerte & Wahrheitstabellen?

Guten Tag liebe Gutefrage.net User.

Ich habe folgendes Problem:

Und zwar schreiben wir Montag eine Informatikklausur(Klasse 10, Gymnasium), in welcher die Themen Wahrheitswerte und Wahrheitstabelle vorkommen. Könntet ihr mir da bitte weiterhelfen und mir im genauesten das Thema erklären?
Schonmal vielen Dank im Voraus und schönen Tag noch!

Wahrheitswerte als Teil von Algorithmen, also das Ergebnis von Abfragen, welche man in einer Tabelle notieren muss. Ausgehend von einem gestellten Quelltext in scratch bzw. Hamster

so lautet die Aufgabe

...zum Beitrag

Einfache Fragen für Anti-Spam-Verfahren

Fast jeder der sich etwas intensiver mit der Entwicklung von Webseiten beschäftigt oder schon eigene Online-Projekte auf die Beine gestellt hat wird sich sicherlich schonmal mit Captchas auseinander gesetzt haben (das sind diese kleinen Bildchen mit den schiefen und manchmal nahezu unlesbaren Buchstaben, die häufig bei einer Registrierung kommen). Allerdings wird auch jeder, der solche Dinger schonmal lösen musste selbige verfluchen. Daher habe ich mir überlegt für die Registrierung auf meiner späteren Internetseite diese Captchas komplett weg zu lassen und den Nutzer statt dessen eine (von vielen) simple Frage beantworten zu lassen. Beispiele dafür wären.:

Wie lauten die letzten drei Buchstaben des Wortes "Internet"?

oder

Wie nennt man gefrorenes Wasser?

Allerdings kommen beim weiteren darüber Nachdenken auch so Fragen zu stande wie z.B.:

"Welcher ist der höchste Berg der Erde!"

bei denen mir dann hinterher klar wird, dass diese Frage ehr weniger gut geeignet ist, weil:

Auch wenn die Antwort für die meisten Leute selbstverständlich ist, muss das nicht zwangsweise jeder wissen. und
man sich bei der Antwort "Mount Everest" auch mal leicht vertippen kann.

Daher wollte ich mal fragen ob vieleicht jemand ein paar Anreitze für mich hat, was man noch so für Fragen nutzen könnte.

...zum Beitrag

reCAPTCHA in WIX?

Wie kann ich ein Google reCAPTCHA in meiner Wix-Website einfügen? Geht das überhaupt? Wenn ja, bitte helft mir, kenne mich mit HTMLs nicht aus.

...zum Beitrag

simple, gute browser games?

...zum Beitrag

Herr Mayer hat ein Angebot für eine kleine Reparatur am Haus vorliegen. Bei dem Preis handelt es sich um einen Nettopreis ohne Mehrwertsteuer....?

Hallo, ich rechne hier schon seit längerer Zeit rum, bekomme aber nie das richtige Ergebnis raus - Geschweige denn den richtigen Rechnungsweg??? Meine Aufgabe ist folgende:

Herr Mayer hat ein Angebot zur Reparatur seines Hauses erhalten. Bei dem Preis handelt es sich um einen Nettopreis ohne Mehrwertsteuer. Arbeitszeit 4 Std = 24 Euro, Kosten für Anfahrt = 100 Euro, Materialkosten = 104 Euro. Wie hoch ist der Nettobertrag für das Angebot?

Antwortmöglichkeiten: 260,00 €270,00 €280,00 €300,00 €

Ich habe mir gedacht, dass ich eventuell die Mehrwertsteuer von 7% mit einbringen muss, also habe ich alles zusammengezählt und dann durch 100% geteilt um 1% herauszubekommen und dann mal 7% zu nehmen um die Mehrwertsteuer da irgendwie rauszubekommen und dazu zu zählen, aber das stimmt nicht mit den Antwortmöglichkeiten überein??? Ich habe auch versucht die Summe als 93% zu setzen und so dann die 1% rauszubekommen...Das Ergebnis stimmt dann aber auch nicht mit den Antwortmöglichkeiten überein.... Bin ich da total auf dem Holzweg? Ich weiß einfach gar nicht wie ich das rechnen soll, kann mir jemand einen Lösungsvorschlag oder Rechenweg geben??

Danke im Vorraus!

...zum Beitrag

Kennt ihr das Buch „Simple“?

...zum Beitrag

Warum schätzen viele junge Menschen keine einfachen autos ( Beispiel vw golf, renault twingo, vw polo usw) aber dicke autos die viel kosten?

Mir ist aufgefallen das viele dicke teure autos wollen und bei leuten die was einfaches fahren einen auslachen oder dumme Sprüche geben

Warum ist das so

Es tut mir im herzen weh das autos die viel getan haben für die Menschen nicht so geliebt werden wie die extrem viel saufenden, teuren, unzuverlässigen dickem autos

Warum ist das so?

Die älteren karren haben auch liebe verdient

...zum Beitrag

(Simpel) ist das eine gute Inhalstangabe?

In dem Roman „Simpel“ von Marie-Aude Murail geht es um, zwei brüder namens Colbert 17 Jahre alt und sein geistig behinderter bruder Barnabé 22 Jahre alt. Nach dem Tod seiner Mutter hat Colbert geschworen sich um Barnabé zu kümmern. Als der vater monsieur Maluri eine neue Partnerin gefunden hatte, hat er Barnabé in einem Heim untergebracht. Colbert zieht mit Barnabé(Simpel) nach Paris, wo er die Abschlussklasse eines Elitegymnasiums besuche und anschliesend besuchen will. Nach einem kurzen Aufenthalt bei einer alten Tante finden zu zwei Zimmer in einer Wohngemeinschaft, zu der bereits vier Studierende gehören: Aria,Emanuel,Enzo,Corentine. Mit dem Einzug von Simpel und Colbert wird das Leben für alle beteiligten unglaublich turbulent. Colbert, der inzwischen zwei Mädchen kennengelernt hat, verliebt sich in beide: Béatrice, eher oberflächlich und Zahra, eine gefühlvolle Muslimin mit drei Schwestern. Colberts Situation ist alles andere als simpel. In der Schule muss er sich anstrengen und sich Zuhause um seinen Bruder kümmern. Sein Vater möchte Colbert entlassten und veranlasst, dass Simpel zurück nach Malicroix gebracht wird. Jetz erst merken alle WG-Bewohner, wie sehr sie Simpel in ihr Herz geschlossen hatten und wollen ihn wieder zurück holen. Simpel der, sehr unter dem aufenthalt in Malicroix leidet, flieht aus der Einrichtung zurück nach Paris. Nach einer einsamen Nacht in diese großen Stadt, wird er von Colbert bei 2 Prostituierten abgeholt. Colbert kann das Jugendamt davon überzeugen, dass Simpel bei ihm und seinen Mitbewohnern gut aufgehoben ist. Als monsieur Hase Hase stirbt, muss Simpel lehrnen ohne seinen geliebten Stoffhasen zu leben.

...zum Beitrag

Notfall Geburtstagsgeschenk. Hat jemand Ideen?

Situation: Mein Stiefvater hat am Montag Geburtstag und reist an diesem Morgen von Zuhause ab, habe ich soeben erfahren. Übers Wochenende konnte ich nicht in die Stadt um etwas zu kaufen.

Frage: Soll ich eher einen Kuchen backen (wir haben noch keinen Geburtstagskuchen)? Oder hätte da jemand eine bessere Idee? Etwas kreatives? Danke vorraus.

...zum Beitrag

Suche Inhaltsangabe zu"Simpel"

Ich suche eine selbst geschriebene Inhalts Angabe zu dem Buch "Simpel"?

...zum Beitrag

Fragen und antworten im simple past?

Hallo community,

Schreiben heute in englisch ne arbeit und da geht es um fragen und antworten im simple past habt ihr vielleicht ein paar tipps?

...zum Beitrag

InDesign Datenzusammenführung – wie eine Visitenkarte für den XML-Import richtig aufbauen?

Hallo zusammen,
für die Berufsschule haben wir die Aufgabe bekommen, eine Visitenkarte in InDesign zu erstellen. Das Einfügen der Inhalte soll automatisiert werden, dafür haben wir schon eine XML-Datei geschrieben (siehe Quelltext).

In InDesign habe ich das Aussehen der Visitenkarte nun auf der Musterseite gestaltet. Folgende Absatzformate sind angelegt:
- Vorname
- Nachname
- Jobtitel
- Spitzname (im Bild "Nckname")
- Twitter
- Instagram

Eigentlich sollten nach Importieren der XML-Datei nun automatisch Seiten erstellt werden mit den angegebenen Inhalten (Angestellter 1 - 12), aber das funktioniert alles so überhaupt nicht, wie ich mir das vorgestellt habe...

Deshalb bitte ich, mir das noch einmal zu erklären (ein Link zu einem Tutorial oder einem Forum reicht auch, ich finde leider nichts Hilfreiches bzw. sind Videotutorials schon viel weiter und starten schon beim Importieren der Datei, nicht beim Aufbauen der Visitenkarte).

Wie baut man eine Visitenkarte richtig auf, sodass diese per XML-Import automatisiert werden kann?

Einige Tutorials zeigen die Vorgehensweise in Kombination mit Excel und ich werde es auch damit einmal versuchen, für die Schule sollen wir den Vorgang aber mit XML machen, deshalb wird das Ergebnis mit Excel wahrscheinlich nicht zählen.

Danke schon einmal für eure Hilfe! Ich freue mich auf eure Antworten :)

<visitenkarte>
<klasse>

  <angestellter id="1">
    <vorname>Maximilian</vorname>
    <nachname>Mustermann</nachname>
    <jobtitel>Geschäftsführer</jobtitel>
      <socialmedia>
        <spitzname>Max</spitzname>
        <twitter>@MaxMustermann</twitter>
        <instagram>maxmustermann</instagram>
      </socialmedia>
  </angestellter>

</klasse>
</visitenkarte>

...zum Beitrag

Was möchtest Du wissen?

Deine Frage stellen