Darum geht es ja nicht. Ich weiß zwar nicht was du / ihr für ein Forum betreibt, aber ich gehe davon aus es ist nicht das einzigste Forum welches sich einem bestimmten Thema widmet. Und wenn meine E-Mail-Adresse bei der Registrierung abgelehnt wird, mache ich schleunigst einen Bogen um das Forum und suche mir ein Neues.

Aber letztendlich kann es ja jeder handhaben wie er will, ich wollte nur zum Ausdruck bringen das die komplette Sperrung von Mail-Ranges nicht immer unbedingt positiv ist.

Da gebe ich Dir Recht. Deshalb beobachte ich ja hier den Beitrag, vielleicht gibt es ja noch eine andere Idee wie meine oder das Capa-Dingsbums. Meine Lösung sollte ja auch erstmal eine tempräre sein.

Ich betreibe neben der DP noch ein kleines Forum für ein Online-Rollenspiel. Oder genau genommen habe es betrieben, ich bin derzeit dabei, es loszuwerden. Im Kern ist dieses Forum eine Kopie der DP, also auch auf phpBB basierend.

Meine dortige Erfahrung ist die Folgende;
Die Bots, die sich im Forum registrieren, sind stroh-doof. Wirklich. Die senden blind eine Handvoll HTTP-Requests ab und liefern so in einem Standard-phpBB alle nötigen Daten für eine Registrierung. Jede Abweichung von diesem phpBB-Standard bringt eine nennenswerte Sicherheit gegen diese Bots. In diesem Forum habe ich auf der Registrierungs-Seite ein weiteres Eingabefeld eingefügt und daneben im Klartext stehen, dass in dieses Feld eine bestimmte Ziffer rein soll: "Gebe in nebenstehendes Feld die Ziffer __sieben__ ein". Konstanter Text und auch immer die Sieben. Selbst junge Online-Rollenspieler, die in meiner Achtung in den Jahren drastisch gesunken sind, scheinen in der Lage, dies zu verstehen. Aber seit Mai diesen Jahres hatte ich keinen Bot mehr in dem Forum.

Nun mag man einwenden, dass irgendwer ja einen Bot schreiben könnte, der diese Anweisung ausliest und interpretiert. Ja, kann sein - geschenkt. Aber keiner tut es. In der Praxis funktioniert diese kleine - im Übrigen barrierefreie (!) - Änderung hervorragend.

Genau. So kann man die Anzeige der AGB auch so umaendern, dass das Akzeptieren nicht mehr ueber einen Link geht, sondern ueber ein Form. Die entsprechende Variable akzeptiert man dann nur noch aus post, weil viele Bots den Request direkt an profile.php?mode=register&agreed=true senden, was mit der Moeglichkeit auch schon fehlschlaegt

Greetz
alcaeus

Wie die Sperre technisch funktioniert weiß ich nicht. Die einfachste Möglichkeit wäre, dass die Aktivierungsmail nicht automatisch rausgeschickt wird.

Ob das zusätzliche Feld mit der Sieben erfolgversprechend wäre, ist in unserem Falle fraglich. Bei der Anmeldung muss eine Buchstaben/Ziffer-Kombination aus einem Bild übertragen werden. Das können Bots in der Regel nicht. Dann kommt es nur auf die Sprachkundigkeit des Benutzers an.

Ich befürchte, da irrst Du Dich. Im Moment versuche ich genau so eine Software zu testen, um herauszufinden, wie man dagegen vorgehen kann. Aber offensichtlich sind die meisten verwendeten Captchas bereits geknackt.

//EDIT: Habs eben mal ausprobiert. Captcha ist kein Problem für das Ding.

Captchas sind - prinzipiell - durchaus ein guter Schutz vor Bots. Allerdings sind die meisten einfach unzulänglich... speziell das Standard-phpBB-Captcha hält nicht lange stand. Siehe dazu auch http://sam.zoy.org/pwntcha/ . Diese Seite listet u.a. auch Captchas, bei denen Bots ziemlich alt aussehen Es kommt also nur auf die Wahl des richtigen Captchas an

Wenn das ganze dann allerdings Barrierefrei bleiben soll, führt an einem alternativen Audio-Captcha kein Weg vorbei, und das dürfte schon recht kompliziert zu implementieren sein!

Die Produktseite der Software listet sogar Captchas auf, die auf dieser Seite als 100% effizient gelten, z.B. vBulletin. Und andere, die dort gelistet werden, sind denen auf der Seite ziemlich ähnlich. Ich bezweifle also, dass diese Auflistung als Richtweiser für ein sicheres Captcha gelten kann. Ich habe es zwar mit vBulletin noch nicht probiert, aber ich denke, die Seite wird nicht mit etwas werben, dass die Software nicht halten kann, vor allem, weil das Produkt kommerziell ist.
Aber vll. schaff ich es heute noch das auf vBulletin loszulassen, dann werde ich hier das Ergebnis posten.

Die Beste Methode scheint zu sein, das Captcha selbst zu verschleiern, indem dem Eingabefeld dynamische Namen zugewiesen werden.

//EDIT : Hab die Tabelle falsch verstanden, das oben sind ja alle Captchas, die dekodiert werden können von diesem Beispiel

Hier mal die erste Version.

Kurz zu dem was es macht: die Registrierung ist unter register.php, und nicht mehr profile.php?mode=register zu erreichen. Dies schliesst vollautomatische Bots grossteils aus, allerdings nicht komplett. Bots, die auf die Seite gehn und sich den Registrierungslink raussuchen, werden damit nicht aufgehalten. Die bereits vorher angesprochenen menschlichen Spam-Anmeldungen werden ebenfalls nicht aufgehalten.

Die Verwendung des Codes erfolgt auf eigene Gefahr, keine Garantie auf Erfolg, usw., usw. Falls im File ein Fehler ist, dann sagt mir bitte Bescheid.

Greetz
alcaeus

Also irgendwie bringt es das auch nicht. Es haben sich heute schon wieder fünf Spam-Bots angemeldet.