mod 2.0 - Wo stellt man das Captcha ab?

[webald]

Kann man irgendwo das Captcha bei fehlerhaften Login-Versuchen abstellen?

Linkback: https://www.modified-shop.org/forum/index.php?topic=32927.0

[fishnet]

https://demo.modified-shop.org/tags/modified-2.00/admin/configuration.php?gID=25
What you see is what you get.

Ich denke nicht das eine Einstellung sinnvoll wäre wie "oh du bist ein Bot und kannst das nicht ausfüllen, warte ich schalt das mal schnell für dich ab, armer Kerl " 

[webald]

Ich bin über das Captcha gestsolpert, weil ich zu blöd war meine Tastatur richtig zu nutzen (CapsLock) und dann halt mehrfach falsch eingegeben habe. Ich denke nicht, dass Captcha wirklich ein wirksamer Schutz ist. Offensichtlich wird doch brav mitgezählt wie oft ein User versucht hat sich einzuloggen, dann wohl auch wan der letzte war. Ich würde halt einfach eine zeitliche Sperre einbauen bis zum nächsten Versuch.

[p3e]

Zeitliche Sperre? Für self-commerce gab es einen brute-force-login Schutz, der genau das macht.
Erst nach einer Anzahl von Login Fehlversuchen wird das Captcha dazu geschaltet.
Kann man im Admin einstellen.
Ich habe mal im self-commerce Forum geschaut und das nicht gefunden aber ich denke es ist dies hier:
www.(( Wir dulden keine kommerziellen Werbelinks - Bitte Forenregeln beachten! ))(( Wir dulden keine kommerziellen Werbelinks - Bitte Forenregeln beachten! ))/brute-force-sicherheitsabfrage-nach-3-fehlerhaften-logins.html

EDIT: Ist eigentlich kostenlos zum downloaden und nicht kommerziell. Vielleicht einfach googeln.

[burrito]

Hier im Forum gibt es doch einen Thread zum Thema Captcha im Kontaktformular, bei dem Matt (?) vorgeschlagen hat, ein verstecktes Input-Feld als Honeypot einzufügen. Wenn die restlichen Input-Felder nicht mit sprechenden Namen versehen sind, sondern nur der versteckte Honeypot den Namen E-Mail hat, dann füllt der Bot dieses Feld aus und wird erkannt.

Gegen Brute-Force oder menschliche Passwort-Rate-Versuche würde ich mich mit einer steigenden Zeitsperre wehren (z. B. Verdopplung der Sperrzeit pro Fehlversuch).

burrito

[awids]

Hier im Forum gibt es doch einen Thread zum Thema Captcha im Kontaktformular, bei dem Matt (?) vorgeschlagen hat, ein verstecktes Input-Feld als Honeypot einzufügen. Wenn die restlichen Input-Felder nicht mit sprechenden Namen versehen sind, sondern nur der versteckte Honeypot den Namen E-Mail hat, dann füllt der Bot dieses Feld aus und wird erkannt.

Sowas hatte GTB doch schon umgesetzt. Hab ich vor 2 Wochen erst bei einem Kunden verbaut, zusammen mit der Erweiterung "Frage zum Produkt" als product_info_tab.

[p3e]

Ja, die Lösung von GTB für das Kontakformular finde ich auch extrem gut und verstehe überhaupt nicht, wieso das nie in die offizielle Version eingeflossen ist (oder ist das in der 2.0 dann drin?). Das spart einem wirklich viel Spam ohne dass das auf Kosten des echten Kunden/Interessenten geht.

Webald geht es jedoch um den Login.