Captchas, Sessions und Firefox

[miloy]

Hallo,

zu diesem Thema gab es in der Vergangenheit schon einige Threads und Klagen, für die aus meiner Sicht leider immer noch keine Lösung gefunden wurde: Die Captchas für vergessene Passwörter, Newsletter und Kontaktformular funktionieren nicht zuverlässig.

Das Problem scheint zu sein, dass dies Browserabhängig ist: Im IE 8 gibt es keinerlei Problem, im Firefox (3.6.10) wird das Speichern des Zufallscodes in der Session offenbar durch die dynamische Erzeugung der Grafik gestört oder gar verhindert.

Der in Zeile 16 von display_vvcodes.php für $_SESSION['vvcode'] gesetzte Wert ist zum Beispiel nach Übergabe des Formularinhaltes an password_double_opt.php meist nicht vorhanden oder ein dort gespeicherter Wert wird nicht verändert. Und dieses "meist" ist auch eines der großen Rätsel vor dem ich stehe: Manchmal klappt es doch. Dann wieder zehnmal hintereinander nicht.

Ich habe testweise die Scripte so umgeschrieben, dass der Zufallscode nicht als Grafik, sondern als normaler Text angezeigt wird. Und siehe da, es funktioniert. Damit ist für mich das Problem bei der dynamischen Erzeugung des Captchas lokalisiert. Kann es vielleicht sein, dass der Firefox keine Sessions aus dynamisch erzeugten Grafiken akzeptiert, weil das php-Script ja mit <img src=".....display_vvcodes.php" eingebunden wird?

In anderen Threads als Ursache diskutierte fehlende CSS-Dateien kann ich bei mir nicht entdecken.

Viele Grüße

Michael



Linkback: https://www.modified-shop.org/forum/index.php?topic=8353.0

[franky_n]

Hallo miloy,

entweder Du probierst es mit dem Rechen Captcha von Viol: MODUL: Rechen-Captcha im Kontaktformular

oder mit meiner Version die das Captcha als Bild ablegt: Kontaktformular mit Captcha funktioniert nicht

Bei meiner Version müsste es allerdings noch getestet werden ob's klappt.

PS: Könnte nämlich sein das der Schritt mit der _.htaccess nicht funktioniert, den ansonsten raus lassen. Alles andere ist getestet.

Viele Grüße

Franky

[miloy]

Hallo,

Danke Franky für die Links. Ich habe schon mit einer eigenen Lösung im Sinne von Viol geliebäugelt.

Ich möchte allerdings Eingriffe in den Quellcode außerhalb der Templates weitestgehend vermeiden.

Ist es denkbar, dass eine der hier vorgestellten Varianten in eine künftige Version eingeht ?

Viele Grüße

Michael

[Tomcraft]

Bisher waren eigentlich alle Probleme auf fehlende Bilder zurück zu führen, wir testen aber weiter und entscheiden dann, ob Handlungsbedarf besteht.

Grüße

Torsten

[miloy]

Hallo Torsten,

ich habe mir die Errorlogs des Apache-Webserver angeschaut. Dort gibt es nicht einen Hinweis auf eine fehlende Grafik oder CSS-Datei.

Ich habe zusätzlich zu meinen gestrigen Tests unter WinXP heute das gleiche unter Linux getestet. Auch dort klappt das Schreiben des Session-Wertes mit dem Firefox (Vers. 3.0.5) nicht. Mit dem Konquerer gibt es dagegen keine Probleme.  

Viele Grüße

Michael

[Viol]

Hallo,
wie ich ja schon bei obigem Modul geschrieben habe, finde ich die Nutzerfreundlichkeit von Captchas eher bescheiden und die Rechenaufgabe passt m.E. auch optisch besser zu jedem Template.
Der "Nachteil" von Rechenaufgaben ist, dass sie gelöst werden müssen, wobei man vermutlich auf die Kunden, die diese nicht lösen können, auch besser verzichtet..

[franky_n]

Hallo Viol,

ich verstehe ja, dass Du für Dein Modul werben möchtest, aber eine Rechenaufgabe ist definitiv von Bots ohne Probleme auszulesen und zu lösen.
Ein ausreichender Schutz wird es nicht sein, da mittlerweile selbst die andere Variante mit den grafischen Zahlen & Buchstaben die verzerrt sind oftmals schon ausgelesen werden können.

Der primäre Zweck eines Captchas ist ja nunmal die Bots aus zu sperren, für die User brauch ich sowas nicht zu machen...

Viele Grüße

Franky

[Viol]

Hallo Franky,
Werbung machen wollte ich hier nicht, das hast Du ja schon getan. Außerdem, ich habe nun wirklich nichts davon, wenn einer das Modul nutzt...
Ich denke, dass die Rechenaufgabe, die ja als Bild generiert wird, nicht wesentlich einfacher auszulesen ist als ein Bildcaptcha, ich denke die Hürde ist sogar durch das Lösen der Aufgabe eher höher..
Für mich ist der Effekt jedenfalls ausreichend. Absolute Sicherheit gibt es ja eh nicht. Und warum sollte man nicht auch das Kontaktformular optisch an den Rest des Shops anpassen. Und dies gelingt mir mit dem Rechencaptcha besser.
Außerdem sollte die Hürde für den User auch nicht zu hoch sein, insoweit sollte die Sicherheisthürde mit normalen Mitteln überwunden werden können
Grüße
Viol

P.S.: ich brauche nochmal einen Kenner wie Dich, der mir einen Tipp gibt, wie die Warnmeldung bei nicht gelöster Rechenaufgabe ausgegeben wird...

[franky_n]

Hallo Viol,

meinste das was Du noch in Deiner Anleitung ergänzen wolltest?

Suche (ca.Zeile 21)

Code: PHP  [Auswählen]

((strtoupper($_POST['vvcode']) != $_SESSION['vvcode']) || $_SESSION['vvcode']=='') $err_msg .= ERROR_VVCODE;
 

und ersetze diese durch:

Code: PHP  [Auswählen]

((strtoupper($_POST['sicherheitscode']) != $_SESSION['rechen_captcha_spam']) || $_SESSION['rechen_captcha_spam']=='') $err_msg .= ERROR_VVCODE;
 

PS: Übrigens hat Dein Rechencpatcha den gleichen Bug wie der VVCODE. Mach mal in der application_top.php nach dem letzen ?> eine HTML Ausgabe, beispielsweise ein zusätzliches "f" rein. Dann wirst Du sehen das die Grafik auch nicht mehr funktioniert. Hier gibt es leider mehrer Variationen warum die Grafik nicht geht...

Das liegt immer noch hier dran:

Code: PHP  [Auswählen]

header('Content-Type: image/jpeg');
 

Vor diesem Befehl darf keine HTML Ausgabe generiert werden! Weder in der application_top.php noch in den include Dateien... Sonst geht es nicht!

Viele Grüße

Franky

[Viol]

Hallo und danke!

Das hatte ich auch schon mal probiert, aber vielleicht hing der Cache wieder dazwischen. Werde ich testen und berichten..
Grüße
Viol

P.S.: ich hatte bei meinem xt:Commerce 3.04 das Problem mit dem Captcha-Bild, daher war ich auf das RechenCaptcha umgestiegen, hatte aber sonst nichts an Dateien verändert, aber man lernt immer was dazu..

[Viol]

Hallo Viol,

meinste das was Du noch in Deiner Anleitung ergänzen wolltest?

Suche (ca.Zeile 21)

Code: PHP  [Auswählen]

((strtoupper($_POST['vvcode']) != $_SESSION['vvcode']) || $_SESSION['vvcode']=='') $err_msg .= ERROR_VVCODE;
 

und ersetze diese durch:

Code: PHP  [Auswählen]

((strtoupper($_POST['sicherheitscode']) != $_SESSION['rechen_captcha_spam']) || $_SESSION['rechen_captcha_spam']=='') $err_msg .= ERROR_VVCODE;
 

Viele Grüße

Franky

Hallo Franky,

ich wusste doch, dass ich das schon probiert hatte, leider kommt dabei immer eine Fehlermeldung, auch wenn das Ergebnis stimmt.

Danke und Grüße
Viol

[franky_n]

Hallo Viol,

probier mal folgendes:

Code: PHP  [Auswählen]

(($sicherheits_eingabe != $_SESSION['rechen_captcha_spam']) || $_SESSION['rechen_captcha_spam']=='') $err_msg .= ERROR_VVCODE;
 

ansonsten hast Du aus irgendwelchen Gründen das:

Code: PHP  [Auswählen]

$smarty->assign('error_message', ERROR_MAIL . $err_msg);

in der contact_us.php
oder das:

Code: PHP  [Auswählen]

{if $error_message!=''}
<div class="errormessage">{$error_message}</div>
{/if}
 

in der contact.html auskommentiert.

Viele Grüße

Franky

[Viol]

Hallo Franky,

funktioniert leider nicht, kommt keine Fehlermeldung, Formular wird bei falscher Lösung einfach nochmals aufgerufen.

Habe beide Bereiche weder in der contact_us.php noch in der *.html auskommentiert.

Danke und Grüße
Viol