Hallo, Gast! (Registrieren)

Letzte Ankündigung: MyBB 1.8.38 veröffentlicht (30.04.24)


Benutzer, die gerade dieses Thema anschauen: 2 Gast/Gäste
[geteilt] Registration Security Question
#21
Ja, man kann die Frage immer noch wählen, indem man sich über eine Schaltfläche eine neue Frage anzeigen lässt. Dann wird eine Zufallsfrage gestellt und das kann man so lange machen, bis die gewünsche Frage kommt.
Der Punkt ist aber: Der Bot beantwortet die Frage ja nicht! Das ergibt sich sowohl aus dem Logfile, das dein Plugin erstellt, als auch aus den Statistiken unter "Security Questions" im ACP. Dennoch schafft der Bot es, einen Account zu erstellen.
#22
Das wird wohl eine längere Diskussion, daher habe ich das geteilt.
(24.01.2012, 13:49)frostschutz schrieb: Beim Frage-Plugin kann ich im Moment nicht wirklich mitreden, da ich noch ne alte Version benutze und minimal angepasst hab... das muss dann halt mal ausgetestet werden ob das Plugin was durchläßt was nicht durch sollte.
Daß die Frage immer gleich ist ist ansonsten nicht verwunderlich (aber ein Hinweis darauf daß es ein Bot ist), zumindest wenn es immer noch so ist, daß man nicht zwingend die gestellte Frage beantworten muss sondern eine beliebige wählen darf. Da nutzen dann auch 1000 Fragen nichts wenn der Bot eine kennt...
Du kannst ja mal die Frage 8 löschen und neu anlegen (damit die Frage eine neue Nummer bekommt) und schauen was passiert ...
Edit:
Ich weiß nicht ob es Browser gibt die unausgefüllte Felder einfach ganz aus dem Post-Request weglassen. Wenn nicht, könnte man fehlende Felder auch einfach als Ausschlusskriterium hernehmen...
Das mit dem fehlenden Feld nutze ich hier aus um die Spam-Bots zu loggen und deren IPs zu sperren. Allerdings wechseln hier die Fragen, manche beantworten die Bots sogar korrekt(!). Die Fragen in Neons Forum sind dagegen wohl zu exotisch, dann lassen die Bots das Feld weg.
(24.01.2012, 13:52)Neon schrieb: Der Punkt ist aber: Der Bot beantwortet die Frage ja nicht!
Sehr merkwürdig, viele Bots scheint es ja trotzdem abzuhalten... Denn sonst wären es wesentlich mehr Registrierungen.

Das unsichtbare Captcha solltest du trotzdem probieren, das ist wirklich sehr effektiv zur Zeit.
[Bild: banner.png]

Bitte die Foren-Regeln beachten und im Profil die verwendete MyBB-Version angeben.
#23
Frage 8 habe ich gelöscht und neu angelegt. Mal sehen, was passiert.

Das unsichtbare Captcha habe ich aktiviert. Das ist mein Feld "coverinfo1007". Das taucht aber nur in Logfiles manueller Registrierungen auf, bei den Bots nicht.

Das StopForumSpam-Plugin funktioniert bei mir nicht, was wohl daran liegt, dass auf meinem Server noch PHP 5.1.2 läuft. Ich ziehe aber eh in 2 Monaten auf einen neuen Server um, der wird dann eine höhere PHP-Version haben. Dann kann ich das Plugin testen. Ich halte StopForumSpam für vielversprechend, denn die E-Mail-Adressen und/oder IP-Adressen "meiner" Bots sind dort bekannt.
#24
(24.01.2012, 16:20)Neon schrieb: Das ist mein Feld "coverinfo1007". Das taucht aber nur in Logfiles manueller Registrierungen auf, bei den Bots nicht.
Dann probiere mal das standardmäßige "email3".
[Bild: banner.png]

Bitte die Foren-Regeln beachten und im Profil die verwendete MyBB-Version angeben.
#25
Hab bei mir mal das hier in die member.php eingebaut. Wenn ein paar ausgewählte Felder fehlen kann man sich nicht registrieren... (klappt nur wenn das hidden captcha auch aktiv ist da es hier auch verlangt wird). Dachte eig. ich hätte das vorhin schon gepostet aber das war vielleicht der Fieberwahn ich sehs jedenfalls nimmer.

Ein richtiger Test ob das Formular vollständig ist, ist das deswegen noch nicht, da hatte ich dann wieder kei Lust zu...

Wirklich helfen wird das auf Dauer auch net, wenn der Spammer lernfähig ist schickt er einfach ein komplettes Formular und fertig.

Was du noch machen kannst ist die Schriftarten ersetzen, mit denen das MyBB Captcha arbeitet. Ich habe da bei mir ein paar Spaßschriften installiert die Umrandungen von Buchstaben statt ausgefüllte und sonstwie verzierte zeigen. Leserlich muss es halt noch sein für Menschen. Aber für OCR-Bots machts das auch wieder etwas schwieriger

PHP-Code:
if($mybb->input['action'] == "do_register" && $mybb->request_method == "post")
{
        
$plugins->run_hooks("member_do_register_start");
/* + PL:patches + */ if(!isset($mybb->input[$mybb->settings['hiddencaptchaimagefield']])
/* + PL:patches + */ || !isset($mybb->input['regcheck1'])
/* + PL:patches + */ || !isset($mybb->input['regcheck2'])
/* + PL:patches + */ || !isset($mybb->input['regsecureans'])
/* + PL:patches + */ || !isset($mybb->input['language']))
/* + PL:patches + */ {
/* + PL:patches + */     error("Internal error.");
/* + PL:patches + */ }
        
// If we have hidden CATPCHA enabled and it's filled, deny registration 
#26
Die Rückumbenennung des Feldes in "email3" könnte helfen. Bin jetzt schon ein paar Stunden botfrei.
Warten wir mal ab, ob das so bleibt.

Soll "email3" dem Bot suggiereren, er müsse hier zum dritten Mal seine Mailadresse angeben? Und wenn ich das Feld anders nenne, geht dieser Effekt verloren?
#27
(24.01.2012, 20:08)Neon schrieb: Soll "email3" dem Bot suggiereren, er müsse hier zum dritten Mal seine Mailadresse angeben?
Zumindest machen das die Bots. Welche anderen Feldnamen funktionieren, habe ich bisher nicht probiert.
[Bild: banner.png]

Bitte die Foren-Regeln beachten und im Profil die verwendete MyBB-Version angeben.
#28
Ich habe den Fehler im Registration Security Question gemeldet.
[Bild: banner.png]

Bitte die Foren-Regeln beachten und im Profil die verwendete MyBB-Version angeben.
#29
Das unsichtbare Captcha hat mit "email3" als Feldname bis heute funktioniert - aber jetzt sind die Bots leider wieder zurück. Es scheint, als hätten die ersten den Dreh heraus mit "email3".

Das war aber zu erwarten, da MyBB ja recht verbreitet ist. Da werden die Botprogrammierer recht schnell auf MyBB-Softwareänderungen eingehen.
#30
Hast du den Code von frostschutz probiert?
[Bild: banner.png]

Bitte die Foren-Regeln beachten und im Profil die verwendete MyBB-Version angeben.