Janosch1: Eigenes, einfaches Captcha selbst programmieren

0 88

Eigenes, einfaches Captcha selbst programmieren

Janosch1
  • software
  • sonstiges
  1. 0
    Auge
  2. 0
    TS
    • sicherheit
    • software
    • sonstiges
  3. 4
    Martl
  4. 0
    pl
    1. 0

      Eigenes, einfaches Captcha Demo

      pl
      1. -2
        Gunnar Bittersmann
        1. 0
          Rolf B
          1. 0
            pl
            1. 0
              Rolf B
              1. 0
                pl
                1. 0
                  beatovich
                  1. 0
                    Rolf B
                    1. 0
                      beatovich
                      1. 0
                        Rolf B
                        1. 0
                          beatovich
                          1. 0
                            Rolf B
                            1. 1
                              beatovich
                              1. 0
                                Rolf B
              2. 0
                pl
                1. 0
                  Rolf B
                  1. 0
                    pl
                    1. 0
                      Matthias Apsel
                      1. 0
                        beatovich
                        1. 0
                          Matthias Apsel
                    2. 0
                      Gunnar Bittersmann
                      • html
                      1. 0
                        Christian Kruse
                        1. 0
                          Gunnar Bittersmann
                      2. 0
                        JürgenB
                        1. 0
                          pl
                      3. 0
                        Gunnar Bittersmann
                        1. 0
                          pl
                          • barrierefreiheit
                          • html
                          1. 0
                            Matthias Apsel
                            1. 0
                              pl
                              1. 0
                                Matthias Apsel
                                1. 0
                                  beatovich
                                  1. 0
                                    pl
                                  2. 0
                                    Matthias Apsel
                    3. 1
                      Matthias Apsel
                      1. 0
                        Rolf B
                        1. 0
                          Matthias Apsel
                          1. 0
                            Auge
                            • menschelei
                            • software
                            • sonstiges
                            1. 0
                              Rolf B
                              1. 0
                                pl
                                1. 0
                                  Rolf B
                                  1. 0
                                    pl
                                    1. 0
                                      Auge
                                      • sonstiges
                        2. 0
                          pl
                  2. 0
                    pl
          2. 0
            beatovich
          3. 0
            Gunnar Bittersmann
        2. 1
          Gunnar Bittersmann
          1. 1
            Christian Kruse
            1. 0
              Gunnar Bittersmann
              1. 0
                Rolf B
                1. 0
                  Gunnar Bittersmann
                2. 0
                  TS
                  • sicherheit
                  • software
                  • usability
              2. 1
                Christian Kruse
        3. 1
          pl
  5. 0
    beatovich
    1. 0
      JürgenB
      • mathematik
      • menschelei
    2. 0
      Gunnar Bittersmann
      1. 0
        beatovich
        1. 0
          Gunnar Bittersmann
          1. 0
            beatovich
  6. 0
    pl
  7. 0
    beatovich
    1. 0
      Rolf B
      1. 0
        beatovich
        1. 0
          Henry
          1. 0
            klawischnigg
    2. 0
      Gunnar Bittersmann
      • datenschutz
      • datenschutz
      • software
      1. 0
        beatovich
        1. 0
          Gunnar Bittersmann
          1. 0
            beatovich
        2. 0
          Henry
          1. 0
            Matthias Apsel
          2. 0
            beatovich
            1. 0
              Henry
              1. 0
                Auge
                1. 0
                  Henry
                  1. 0
                    Auge
                  2. 0
                    beatovich
                    1. 0
                      Henry
                    2. 0
                      Auge
                      1. 0
                        beatovich
                        1. 0
                          Auge
                          1. 0
                            beatovich

Hallo,

ich würde gern mal ein eigenes und auch sehr einfaches Captcha selbst programmieren. Beispielsweise eine Rechenaufgabe.

Was muss ich eigentlich beachten? Es gibt, aus meinen Augen zumindest, ein Problem: die Webseite wird über verschiedene Server ausgeliefert und ich kann so nicht die Sessionsverwaltung des Webservers nutzen.

Aber brauche ich Sessions generell? Kann ich denn nicht eigentlich die Werte der Rechenaufgabe, also die Zahlen und den Operator, im Formular als Hidden-Feld mitgeben?

Oder denke ich hier zu simpel?

Danke Jan

  1. Hallo

    ich würde gern mal ein eigenes und auch sehr einfaches Captcha selbst programmieren. Beispielsweise eine Rechenaufgabe.

    Was muss ich eigentlich beachten? Es gibt, aus meinen Augen zumindest, ein Problem: die Webseite wird über verschiedene Server ausgeliefert und ich kann so nicht die Sessionsverwaltung des Webservers nutzen.

    Schlecht.

    Aber brauche ich Sessions generell? Kann ich denn nicht eigentlich die Werte der Rechenaufgabe, also die Zahlen und den Operator, im Formular als Hidden-Feld mitgeben?

    Toll. Die Lösung der Aufgabe gleich mitzuliefern, macht es einfacher, sie zu bestehen. Sehr schön. Dann kannst du das Captcha gleich weg lassen. In Hinsicht auf die Bedienung deiner Seite für Jedermann ist das eh die beste Idee.

    Oder denke ich hier zu simpel?

    Ja

    Tschö, Auge

    --
    Eine Kerze stand [auf dem Abort] bereit, und der Almanach des vergangenen Jahres hing an einer Schnur. Die Herausgeber kannten ihre Leser und druckten den Almanach auf weiches, dünnes Papier.
    Kleine freie Männer von Terry Pratchett
  2. Hello,

    Was muss ich eigentlich beachten? Es gibt, aus meinen Augen zumindest, ein Problem: die Webseite wird über verschiedene Server ausgeliefert und ich kann so nicht die Sessionsverwaltung des Webservers nutzen.

    Aber brauche ich Sessions generell? Kann ich denn nicht eigentlich die Werte der Rechenaufgabe, also die Zahlen und den Operator, im Formular als Hidden-Feld mitgeben?

    Du benötigst ein Token - auch für die Captcha-Lösung. Das Token sollte nach Möglichkeit ein Einmal-Token sein, also nach Benutzung ablaufen. Außerdem sollte das Token auch nach einer bestimmten Zeit ablaufen. Ob dieses Token nun in einem Cookie oder direkt in einem (möglichst nur einem Partner übermittleten) Link befindet, ist dabei zunächst unerheblich. Die Übermittlung als verdeckter Cookie (also wie bei einer Session) ist allerdings zu empfehlen. Auf ein zusätzliches Captcha kannst Du daher i. d. R. verzichten.

    Die gesamte Cryptologie basiert im Prinzip darauf, dass man den Schlüssel garantiert nicht innerhalb eines bestimmten Zeitfensters ermitteln kann. Danach ist der Schlüssel aber wertlos.

    Es würde daher vermutlich auch reichen, den Einmal-Cookie nur innerhalb eines bestimmten Zeitfensters zu akzeptieren. Robots sammeln immer erst einmal gerne und führen dann Stapelverarbeitung durch, oder reagieren so schnell, dass dies kein normaler User schaffen könnte.

    Liebe Grüße
    Tom S.

    --
    Es gibt nichts Gutes, außer man tut es!
    Das Leben selbst ist der Sinn.
  3. Hallo Janosch1,

    Oder denke ich hier zu simpel?

    zur Lektüre empfohlen: Webdesign Ingo Turski.

    Grüße, Martl

  4. Hallo,

    ich würde gern mal ein eigenes und auch sehr einfaches Captcha selbst programmieren. Beispielsweise eine Rechenaufgabe.

    Schöne Übung. Ich würds so machen, daß auf dem Server mehrere Grafiken liegen wo die Aufgabe draufsteht und der Dateiname das Ergebnis ist. So wird eine Grafikdatei zufällig ausgewählt und der Dateiname in die Session geschrieben, z.B. eine 8 (serverseitig).

    Gleichzeitig wird die Grafik ausgeliefert, natürlich ohne Name. Der Anwender löst die Aufgabe und submittet das Ergebnis was dann serverseitig verglichen wird.

    Die Grafikdateien liegen außerhalb Document-Root.

    ein Problem: die Webseite wird über verschiedene Server ausgeliefert und ich kann so nicht die Sessionsverwaltung des Webservers nutzen.

    Dann speichere die Sessiondaten halt woanders, z.B. auf einem zentralen MySQL Server.

    MfG

    1. problematische Seite

      1. problematische Seite

        @@pl

        Hier die Demo

        Unbrauchbar.

        alt="Captcha" – was für ein Unsinn.

        LLAP 🖖

        --
        „Wer durch Wissen und Erfahrung der Klügere ist, der sollte nicht nachgeben. Und nicht aufgeben.“ —Kurt Weidemann
        1. problematische Seite

          Hallo Gunnar,

          welchen Alt-Text sollte man denn sonst für ein Captcha verwenden? Die Aufgabe? Die LÖSUNG? Beides nicht sinnvoll, die Bots würden sich totlachen.

          Wenn die Bildauslieferung hakt, oder wenn der Anwender Seh-Probleme hat, kann man mit einem visuellen Captcha schlicht nichts anfangen. Beim Haken braucht man dann einen Refresh, bei Sehbehinderung braucht man andere Medien. Aber das war nicht das Thema. Thema war ein einfaches, visuelles Captcha.

          Interessant für den OP ist jetzt, wie die serverseitige Validierung ohne Session erfolgt.

          Rolf

          --
          sumpsi - posui - clusi
          1. problematische Seite

            @Rolf B

            Interessant für den OP ist jetzt, wie die serverseitige Validierung ohne Session erfolgt.

            Schlüsseltausch nach Diffie/Hellmann. Aber auch ein Schlüssel will hinterlegt sein.

            MfG

            PS: Perlcode der Demo ist nun einsehbar. Klick..

            1. problematische Seite

              Hallo pl,

              klingt jetzt wie eine unnötige Einschränkung, den Namen der Grafikdatei in der Session zu speichern und für die Kontrolle der Antwort den Namen zu rekonstruieren. Da kann ich ja nur eine Aufgabe pro Lösung haben. Aber das ist jetzt wohl der schnellen Bereitstellung geschuldet; normalerweise hätte man sicherlich eine DB-Tabelle mit Bildern und Lösungen.

              Was ich in deinem Democode nicht entdeckt habe, ist irgendeine Form von Kryptographie. Und du musst auch Daten in der Session speichern, was nicht erwünscht war.

              Eigentlich müsste man doch die Lösung über ein kryptographisches Verfahren in der Abfrageseite hinterlegen können, so dass man beim Eintreffen der Antwort an Hand des private Key einen Vergleich anstellen kann und die Sessiondaten nicht braucht. Ich habe da allerdings keine Übung mit und weiß nicht, ob es klug ist, die Antwort mit einer Zufallszahl zu salzen, diesen Eintopf zu mit RSA oder anderem PK Zeugs zu verschlüsseln und dann das Ergebnis zusammen mit dem Salz als hidden fields auszuliefern.

              Rolf

              --
              sumpsi - posui - clusi
              1. problematische Seite

                hi @Rolf B

                zu hinterlegen ist entweder der Schlüssel oder das Ergebnis. Und was die Aufgabe selbst betrifft, das ist auch rein textbasiert zu machen, also ohne Grafik:

                [1]
                txt=Vier plus fünf ergibt was?
                res=9
                
                [2]
                txt=Multipliziere drei mit dreiunddreißig!
                res=99
                
                [3]
                text=In welchem Jahr AD war die Schlacht im Teutoburger Wald?
                res=9
                

                Wobei [3] den Schlüssel zur zufällig ausgewählten Aufgabe darstellt. Wenn Kryprografie ins Spiel kommt, wäre, im Fall daß das Ergebnis sowohl hin als auch zurück verschlüsselt übertragen wird, der Schlüssel oder ein Teil davon serverseitig zu hinterlegen.

                Eine Session ist also obligatorisch. GG hat mal sowas angeboten, das Prinzip ist dasselbe, d.h. um eine serverseitige Speicherung kommst Du, mit oder ohne Kryptografie, nicht herum.

                MfG

                1. problematische Seite

                  hallo

                  Wobei [3] den Schlüssel zur zufällig ausgewählten Aufgabe darstellt. Wenn Kryprografie ins Spiel kommt,

                  Zu so was gibt es keinen Anlass.

                  Ein HMAC reicht vollkommen aus, um Aufgabe und Lösung zu verhashen. Die konkrete Aufgabe und der hash darf in einem Cookie gesendet und dann bei Client-Lösung mit dem Formularvorschlag zusammen verarbeitet werden.

                  1. problematische Seite

                    Hallo beatovich,

                    HMAC habe ich gerade nachgucken müssen. Wie genau würde man das machen? Gemäß meiner Skizze oben? Oder ist das zu naiv?

                    Rolf

                    --
                    sumpsi - posui - clusi
                    1. problematische Seite

                      hallo

                      Hallo beatovich,

                      HMAC habe ich gerade nachgucken müssen. Wie genau würde man das machen? Gemäß meiner Skizze oben? Oder ist das zu naiv?

                      Bilde einen hash über

                      HASH = hashfunktion(AUFGABE,LÖSUNG,[Versuche],geheimes ServerSalt).

                      bilde Cookie mit

                      CookieName = AUFGABE, [VERSUCHE], HASH

                      Du kannst jetzt validieren, dass AUFGABE, [VERSUCHE] nicht manipuliert wurden.

                      Sendet der Client eine Lösung so kannst du nun wieder validieren:

                      Wenn COOKIEHASH === hashfunktion(AUFGABE,CLIENT-LÖSUNG,[Versuche],geheimes ServerSalt).

                      • Test bestanden.
                      --
                      Neu im Forum! Signaturen kann man ausblenden!
                      1. problematische Seite

                        Hallo beatovich,

                        ah ok. Aber dann brauche ich doch wieder einen sessionartigen Speicher, aber diesmal für's Salz. Denn ein konstantes Salz ist nicht sonderlich sinnvoll.

                        Wäre es da nicht besser, wenn der Server ein public/private Keypair hat (konstant), und ein zufälliges Salz in bekannter Menge vor die verschlüsselte Lösung streut? Kommt die Antwort zurück, wird die Lösung entschlüsselt, die bekannte Salzmenge entfernt und ich kann vergleichen.

                        Versteh mich nicht falsch; das ist kein Quiz. Ich habe hier tatsächlich Infodefizit.

                        Rolf

                        --
                        sumpsi - posui - clusi
                        1. problematische Seite

                          hallo

                          Hallo beatovich,

                          ah ok. Aber dann brauche ich doch wieder einen sessionartigen Speicher, aber diesmal für's Salz. Denn ein konstantes Salz ist nicht sonderlich sinnvoll.

                          Das Salz kann eine Konstante sein. Natürlich brauchst du eine Ressource, die dich mit Tests versorgt.

                          Wäre es da nicht besser, wenn der Server ein public/private Keypair hat (konstant), und ein zufälliges Salz in bekannter Menge vor die verschlüsselte Lösung streut?

                          Ich weiss nicht, was du hier erreichen willst.

                          Kommt die Antwort zurück, wird die Lösung entschlüsselt, die bekannte Salzmenge entfernt und ich kann vergleichen.

                          Versteh mich nicht falsch; das ist kein Quiz. Ich habe hier tatsächlich Infodefizit.

                          Du musst doch die Lösung nicht entschlüsseln, wenn du die Hashes zweier Lösungen (der vorgegebenen und der vom Client gelieferte) vergleichen kannst. Der Lösungsinhalt ist dir nämlich egal solange der Test erfolgreich ist.

                          --
                          Neu im Forum! Signaturen kann man ausblenden!
                          1. problematische Seite

                            Hallo beatovich,

                            mein Gedanke war, dass ein konstantes Salz genau so gut wie gar kein Salz. Ist das ein Irrtum?

                            Daher kam die Überlegung, ob Verschlüsseln+Entschlüsseln, mit zufälligem Salz gegen Known-Plaintext-Attacken, die bessere Idee sein könnte.

                            Rolf

                            --
                            sumpsi - posui - clusi
                            1. problematische Seite

                              hallo

                              Hallo beatovich,

                              mein Gedanke war, dass ein konstantes Salz genau so gut wie gar kein Salz. Ist das ein Irrtum?

                              Ja.

                              Ich gebe dir die infos a,b,c und den hash

                              was ich dir nicht gebe, ist das Datum x

                              Deine Aufgabe ist nun, deine daten a,b,c so zu manipulieren, dass zusammen mit x der hash reproduziert wird.

                              Da du das nicht kannst (vorausgesetzt x ist ein langer string), kann ich validieren, dass a,b,c nicht manipuliert wurden, auch dann, wenn ich auf dem Server sie nicht extra gespeichert habe.

                              Alles was ich brauche, ist ein geheimes x auf dem Server!

                              --
                              Neu im Forum! Signaturen kann man ausblenden!
                              1. problematische Seite

                                Hallo beatovich,

                                ok, danke. Jetzt ist mir die Idee klar.

                                Rolf

                                --
                                sumpsi - posui - clusi
              2. problematische Seite

                @Rolf B

                Was ich in deinem Democode nicht entdeckt habe, ist irgendeine Form von Kryptographie.

                Wozu auch!? Da gibt es nichts zu krypten.

                Und du musst auch Daten in der Session speichern, was nicht erwünscht war.

                Es muss ja irgendwo hinterlegt sein, was ausgeliefert wurde. Sonst ist die Validierung nicht möglich.

                Eigentlich müsste man doch die Lösung über ein kryptographisches Verfahren in der Abfrageseite hinterlegen können, so dass man beim Eintreffen der Antwort an Hand des private Key einen Vergleich anstellen kann und die Sessiondaten nicht braucht.

                Auch hierzu würdest Du eine Session benötigen weil der Schlüssel hinterlegt sein muss.

                Ich habe da allerdings keine Übung mit und weiß nicht, ob es klug ist, die Antwort mit einer Zufallszahl zu salzen, diesen Eintopf zu mit RSA oder anderem PK Zeugs zu verschlüsseln und dann das Ergebnis zusammen mit dem Salz als hidden fields auszuliefern.

                Es ist egal wie Du es machst. Die Session wird auf jeden Fall gebraucht.

                MfG

                1. problematische Seite

                  Hallo pl,

                  für den Verschlüsselungs-Key braucht man keine Session, denke ich (vielleicht wieder zu naiv). Der muss nicht User-spezifisch sein, und kann deshalb konstant sein und in einer Datei liegen. Der ist dann wie eine Unterhose - täglich wechseln reicht.

                  Es ist natürlich sicherer, wenn er userspezifisch ist und jedesmal neu gesetzt wird.

                  Rolf

                  --
                  sumpsi - posui - clusi
                  1. problematische Seite

                    hi @Rolf B

                    so isses. Kryptn ist nur erforderlich, wenn das Ergebnis beim Client gespeichert werden soll.

                    Und: Ein textbasiertes Captcha braucht kein alt=Attribute.

                    MfG

                    1. problematische Seite

                      Hallo pl,

                      Und: Ein textbasiertes Captcha braucht kein alt=Attribute.

                      Warum nicht?

                      Abgesehen davon, dass Captchas aus Gründen der Zugänglichkeit eher verabscheuenswürdig sind, warum soll ein Blinder nicht auch die Aufgabe kennen??

                      Bis demnächst
                      Matthias

                      --
                      Rosen sind rot.
                      1. problematische Seite

                        hallo

                        Und: Ein textbasiertes Captcha braucht kein alt=Attribute.

                        Warum nicht?

                        Weil von Bildern kein Gebrauch gemacht wird.

                        --
                        Neu im Forum! Signaturen kann man ausblenden!
                        1. problematische Seite

                          Hallo beatovich,

                          Weil von Bildern kein Gebrauch gemacht wird.

                          Ah ja. Ich verstehe dann allerdings nicht, warum pl die alt-Attribute hier so herausstellt.

                          Bis demnächst
                          Matthias

                          --
                          Rosen sind rot.
                    2. problematische Seite

                      @@pl

                      Und: Ein textbasiertes Captcha braucht kein alt=Attribute.

                      Jedesimg-Element braucht ein alt-Attribut. Ansonsten lesen Screenreader den Dateinamen vor; das will man nicht™.

                      Nicht jedes Bild braucht einen Alternativtext. In solch einem Fall ist alt="" anzugeben. (Wem das zu viel ist: alt ohne Wertzuweisung tut dasselbe).

                      Vorzugsweise ergänzt durch aria-labelledby="…" (wenn die Textalternative schon anderswo vorhanden ist) bzw. durch role="none presentation" (wenn das Bild rein dekorativ ist und keine Textalternative braucht).

                      visueller Test dafür:

                      img:not([alt]),
                      img[alt=""]:not([role~="none"]):not([role~="presentation"]):not([aria-label]):not([aria-labelledby])
                      {
                      	ERROR: 'alternate textual representation missing';
                      	outline: var(--error-outline) !important;
                      }
                      
                      :root
                      {
                      	--error-color: red;
                      	--error-outline-width: 0.5rem;
                      	--error-outline-style: solid;
                      	--error-outline: var(--error-outline-width) var(--error-outline-style) var(--error-color);
                      }
                      

                      LLAP 🖖

                      --
                      „Wer durch Wissen und Erfahrung der Klügere ist, der sollte nicht nachgeben. Und nicht aufgeben.“ —Kurt Weidemann
                      1. problematische Seite

                        Hallo Gunnar,

                        Und: Ein textbasiertes Captcha braucht kein alt=Attribute.

                        Jedesimg-Element braucht ein alt-Attribut.

                        Das ist richtig, aber an dem vorbei, was PL geschrieben und auch verlinkt hat. 😀

                        LG,
                        CK

                        1. problematische Seite

                          @@Christian Kruse

                          Und: Ein textbasiertes Captcha braucht kein alt=Attribute.

                          Jedesimg-Element braucht ein alt-Attribut.

                          Das ist richtig, aber an dem vorbei, was PL geschrieben und auch verlinkt hat. 😀

                          Oops. 😉

                          Ich habe die schlechte Angewohnheit, nicht jedem Link zu rolfrost.de zu folgen. Oder ist das eine gute Angewohnheit? 😉

                          LLAP 🖖

                          --
                          „Wer durch Wissen und Erfahrung der Klügere ist, der sollte nicht nachgeben. Und nicht aufgeben.“ —Kurt Weidemann
                      2. problematische Seite

                        Hallo,

                        Und: Ein textbasiertes Captcha braucht kein alt=Attribute.

                        Jedesimg-Element braucht ein alt-Attribut. Ansonsten lesen Screenreader den Dateinamen vor; das will man nicht™.

                        Rolfs hier verlinkter Entwurf ist im Gegensatz zu dem aus diesem Posting eine Textaufgabe.

                        Gruß
                        Jürgen

                        1. problematische Seite

                          Hallo,

                          Und: Ein textbasiertes Captcha braucht kein alt=Attribute.

                          Jedesimg-Element braucht ein alt-Attribut. Ansonsten lesen Screenreader den Dateinamen vor; das will man nicht™.

                          Rolfs hier verlinkter Entwurf ist im Gegensatz zu dem aus diesem Posting eine Textaufgabe.

                          Nun, es geht ja auch Beides!

                          MfG

                      3. problematische Seite

                        @@Gunnar Bittersmann

                        Nicht jedes Bild braucht einen Alternativtext. In solch einem Fall ist alt="" anzugeben. (Wem das zu viel ist: alt ohne Wertzuweisung tut dasselbe).

                        Vorzugsweise ergänzt durch aria-labelledby="…" (wenn die Textalternative schon anderswo vorhanden ist) bzw. durch role="none presentation" (wenn das Bild rein dekorativ ist und keine Textalternative braucht).

                        Hm, Scott O’Hara schreibt in Know your ARIA: 'Hidden' vs 'None': “Neither aria-hidden="true" or role="presentation" are particularly appropriate for hiding img elements. To hide an image from assistive technologies, all one needs to do is set the img’s alt attribute to the empty string.”

                        LLAP 🖖

                        --
                        „Wer durch Wissen und Erfahrung der Klügere ist, der sollte nicht nachgeben. Und nicht aufgeben.“ —Kurt Weidemann
                        1. problematische Seite

                          @Gunnar Bittersmann

                          ist das nun barrierefrei oder nicht?

                          To hide an image from assistive technologies, all one needs to do is set the img’s alt attribute to the empty string.”

                          Logisch.

                          1. problematische Seite

                            Hallo pl,

                            ist das nun barrierefrei oder nicht?

                            Ich würde die Grafik mit in das Formular stecken und ein Leerzeichen nach dem "+" machen.

                            Bis demnächst
                            Matthias

                            --
                            Rosen sind https://forum.selfhtml.org/allrot.
                            1. problematische Seite

                              @Matthias Apsel

                              ist das nun barrierefrei oder nicht?

                              Ich würde die Grafik mit in das Formular stecken

                              done.

                              und ein Leerzeichen nach dem "+" machen.

                              In einer Grafik gibt es keine Leerzeichen.

                              MfG

                              1. problematische Seite

                                Hallo pl,

                                In einer Grafik gibt es keine Leerzeichen.

                                Du hast "2 +2" zu einer Grafik gemacht. Ich würde "2 + 2" schreiben und dies zu einer Grafik machen.

                                Bis demnächst
                                Matthias

                                --
                                Rosen sind rot.
                                1. problematische Seite

                                  hallo

                                  Du hast "2 +2" zu einer Grafik gemacht. Ich würde "2 + 2" schreiben und dies zu einer Grafik machen.

                                  Und ich frage mich immer noch, was das mit einem Captcha zu tun hat. Das ist vielleicht in der Lage unkonfigurierte Automation abzufangen.

                                  --
                                  Neu im Forum! Signaturen kann man ausblenden!
                                  1. problematische Seite

                                    hallo

                                    Du hast "2 +2" zu einer Grafik gemacht. Ich würde "2 + 2" schreiben und dies zu einer Grafik machen.

                                    Und ich frage mich immer noch, was das mit einem Captcha zu tun hat. Das ist vielleicht in der Lage unkonfigurierte Automation abzufangen.

                                    Genau! Für diejenigen welche die Grafiken nicht deuten können, gibt es ja das alt=Attribute.

                                    Und nochwas: Meine Captchalösung funktioniert nun auch mit Ajax (Demo ergänzt).

                                    MfG

                                  2. problematische Seite

                                    Hallo beatovich,

                                    Du hast "2 +2" zu einer Grafik gemacht. Ich würde "2 + 2" schreiben und dies zu einer Grafik machen.

                                    Und ich frage mich immer noch, was das mit einem Captcha zu tun hat.

                                    Nichts. Es sieht einfach nur ansprechender aus. Auge löst mit.

                                    Bis demnächst
                                    Matthias

                                    --
                                    Rosen sind rot.
                    3. problematische Seite

                      Hallo pl,

                      textbasiertes Captcha

                      txt=Wie heißt die längste Seite eines gleichschenklichen Dreieck?
                      res=Hypotenuse
                      

                      eines gleichschenkligen Dreiecks

                      Die längste Seite eines gleichschenkligen Dreiecks heißt Basis.

                      😉

                      Bis demnächst
                      Matthias

                      --
                      Rosen sind rot.
                      1. problematische Seite

                        Hallo Matthias,

                        Die längste Seite eines gleichschenkligen Dreiecks heißt Basis.

                        Soso. Es sei denn, das fette die sollte ein semantischer Trick sein.

                        PL, deine Captcha-Ideen sind schei*** - sie bringen uns nur zum Diskutieren statt auf die gewünschte Seite :D

                        Rolf

                        --
                        sumpsi - posui - clusi
                        1. problematische Seite

                          Hallo Rolf B,

                          Soso. Es sei denn, das fette die sollte ein semantischer Trick sein.

                          Soll. Wenn genau eine Seite die längste ist, dann ist es die Basis. Sonst sind zwei Seiten die längsten.

                          Bis demnächst
                          Matthias

                          --
                          Rosen sind rot.
                          1. problematische Seite

                            Hallo

                            Soso. Es sei denn, das fette die sollte ein semantischer Trick sein.

                            Soll. Wenn genau eine Seite die längste ist, dann ist es die Basis. Sonst sind zwei Seiten die längsten.

                            Dann sind die nämlichen zwei längsten Seiten aber nicht die Basis. Und überhaupt, den Spezialfall eines gleichschenkligen Dreiecks mit drei gleich langen Seiten hat hier noch gar keiner erwähnt. Ich sach dann ma' gleichseitig!

                            Zu guter Letzt noch eine Frage. Mir war so, in der Schule gelernt zu haben, dass es die Hypotenuse nur in einem rechtwinkligen Dreieck gäbe. Somit wäre das gleichschenklige Dreieck mit Hypotenuse – wird die eigentlich schon immer mit nur einem „h“ geschrieben? – auch nur ein Spezialfall. Für eine Rätselfrage, die sich an Jedermann richtet, fällt sie damit meiner Meinung nach schon per se durch.

                            Tschö, Auge

                            --
                            Eine Kerze stand [auf dem Abort] bereit, und der Almanach des vergangenen Jahres hing an einer Schnur. Die Herausgeber kannten ihre Leser und druckten den Almanach auf weiches, dünnes Papier.
                            Kleine freie Männer von Terry Pratchett
                            1. problematische Seite

                              Hallo Auge,

                              Dann sind die nämlichen zwei längsten Seiten aber nicht die Basis.

                              Genau das meinte ich doch mit „semantischer Trick“ :). Die Seite vs Seiten.

                              Und überhaupt, den Spezialfall eines gleichschenkligen Dreiecks mit drei gleich langen Seiten hat hier noch gar keiner erwähnt. Ich sach dann ma' gleichseitig!

                              Very wise, dear guy 😂

                              Zu guter Letzt noch eine Frage. Mir war so, in der Schule gelernt zu haben, dass es die Hypotenuse nur in einem rechtwinkligen Dreieck gäbe.

                              Das hat PL sicherlich auch so in der Schule gelernt, aber beim Notieren der Fragen kurz mal vergessen.

                              wird die (Hypotenuse) eigentlich schon immer mit nur einem „h“ geschrieben?

                              Ja.. Liegt am griechischem Stamm ὑποτείνουσα, mit τ (tau). Im Gegensatz dazu z.B. ὑπόθεσις, mit θ (theta).

                              (PL) Eure ganze Diskussion ist einfach nur bescheuert.

                              Ja. Aber schön 😉

                              Rolf

                              --
                              sumpsi - posui - clusi
                              1. problematische Seite

                                @Rolf B

                                (PL) Eure ganze Diskussion ist einfach nur bescheuert.

                                Ja. Aber schön 😉

                                Die längste Seite eines rechtwinkligen Dreieck war schon immer die Hypotenuse.

                                MfG

                                1. problematische Seite

                                  Hallo pl,

                                  txt=Wie heißt die längste Seite eines gleichschenklichen Dreieck?
                                  res=Hypotenuse

                                  Und dein Punkt ist?

                                  Rolf

                                  --
                                  sumpsi - posui - clusi
                                  1. problematische Seite

                                    @Rolf B

                                    txt=Wie heißt die längste Seite eines gleichschenklichen Dreieck?

                                    Was soll das sein!? MfG

                                    1. problematische Seite

                                      Hallo

                                      txt=Wie heißt die längste Seite eines gleichschenklichen Dreieck?

                                      Was soll das sein!? MfG

                                      Das ist dein Text, den du mittlerweile verändert hast.

                                      Tschö, Auge

                                      --
                                      Eine Kerze stand [auf dem Abort] bereit, und der Almanach des vergangenen Jahres hing an einer Schnur. Die Herausgeber kannten ihre Leser und druckten den Almanach auf weiches, dünnes Papier.
                                      Kleine freie Männer von Terry Pratchett
                        2. problematische Seite

                          @Rolf B

                          PL, deine Captcha-Ideen sind schei*** - sie bringen uns nur zum Diskutieren statt auf die gewünschte Seite :D

                          Eure ganze Diskussion ist einfach nur bescheuert.

                  2. problematische Seite

                    hi @Rolf B

                    für den Verschlüsselungs-Key braucht man keine Session, denke ich (vielleicht wieder zu naiv).

                    Du hast Recht! Eine Session wird gar nicht gebraucht. Hier der Beweis 😉

                    MfG

          2. problematische Seite

            hallo

            Interessant für den OP ist jetzt, wie die serverseitige Validierung ohne Session erfolgt.

            Du kannst eine reine Cookiebasierte Session verwalten, ohne überhaupt Session-Daten auf dem Server zu verwalten.

            --
            Neu im Forum! Signaturen kann man ausblenden!
          3. problematische Seite

            @@Rolf B

            welchen Alt-Text sollte man denn sonst für ein Captcha verwenden?

            Einen Sinnvollen.

            Wenn die Bildauslieferung hakt, oder wenn der Anwender Seh-Probleme hat, kann man mit einem visuellen Captcha schlicht nichts anfangen.

            Richtig, deshalb muss müsste man ein Alternative anbieten: bspw. Audio-CAPTCHA.

            Aber das war nicht das Thema. Thema war ein einfaches, visuelles Captcha.

            Das Thema hier ist immer, Webseiten für den Anwender bedienbar zu machen.

            Durch CAPTCHAs werden Probleme der Entwickler auf Nutzer abgewälzt. Sollte man nicht tun. (Deshalb oben Änderung in Konjunktiv.)

            LLAP 🖖

            --
            „Wer durch Wissen und Erfahrung der Klügere ist, der sollte nicht nachgeben. Und nicht aufgeben.“ —Kurt Weidemann
        2. problematische Seite

          @@Gunnar Bittersmann

          Ist heute mal wieder Wir-dulden-nicht-wenn-sich-hier-jemand-für-Barrierefreiheit-einsetzt-Tag?

          LLAP 🖖

          --
          „Wer durch Wissen und Erfahrung der Klügere ist, der sollte nicht nachgeben. Und nicht aufgeben.“ —Kurt Weidemann
          1. problematische Seite

            Hallo Gunnar,

            Ist heute mal wieder Wir-dulden-nicht-wenn-sich-hier-jemand-für-Barrierefreiheit-einsetzt-Tag?

            Vermutlich eher ein „wir dulden nicht, wenn sich jemand daneben benimmt“-Tag.

            LG,
            CK

            1. problematische Seite

              @@Christian Kruse

              Ist heute mal wieder Wir-dulden-nicht-wenn-sich-hier-jemand-für-Barrierefreiheit-einsetzt-Tag?

              Vermutlich eher ein „wir dulden nicht, wenn sich jemand daneben benimmt“-Tag.

              Definiere „sich daneben benehmen“.

              Für mich zählt weder dazu, ein unbrauchbares Beispiel unbrauchbar zu nennen, noch einen unsinnigen Alternativtext unsinnig zu nennen.

              LLAP 🖖

              --
              „Wer durch Wissen und Erfahrung der Klügere ist, der sollte nicht nachgeben. Und nicht aufgeben.“ —Kurt Weidemann
              1. problematische Seite

                Hallo Gunnar,

                die Brauchbarkeitsmängel äußern sich aber nicht im alt-Tag, sondern darin, dass kein Session-freier Validierungsmechanismus gezeigt wurde. Dass die verwendeten Bilder für Captchas unbrauchbar sind, ist egal; das ist Demo-Stufe. Dass auch verschnörkelte Bilder unbrauchbar wären, liegt an den oberschlauen Captcha-Bots (oder den Captcha-Farmen in China?), aber der OP wollte eine EINFACHE LÖSUNG kennenlernen. Dass einfache Lösungen heutigen Anforderungen nicht gewachsen sind, ist eine andere Frage. Das hättest Du gerne anführen können, statt "unbrauchbar" zu spucken. Dann hätte es ein +1 statt -1 von mir gegeben.

                Bedienbarkeitsmängel kommen auch nicht aus dem Alt-Tag – mit „Captcha“ weiß ein Sehbehinderter genug, sofern sein Screenreader beim Aussprechen nicht abstürzt –, sondern aus dem fehlenden Alternativverfahren. Aber, wieder mal, EINFACHE LÖSUNG. Kennenlernen.

                Rolf

                --
                sumpsi - posui - clusi
                1. problematische Seite

                  @@Rolf B

                  aber der OP wollte eine EINFACHE LÖSUNG kennenlernen.

                  Es gibt keine einfache Lösung für CAPTCHAs.

                  Wenn sie denn brauchbar sein soll. Wenn sie nicht brauchbar sein soll, würde ich das nicht Lösung nennen.

                  Dass einfache Lösungen heutigen Anforderungen nicht gewachsen sind, ist eine andere Frage.

                  Das hat nichts mit gestern oder heute zu tun. Einfache CAPTCHA-„Lösungen“ waren schon gestrigen Anforderungen nicht gewachsen.

                  Das hättest Du gerne anführen können

                  Hätte ich. Allerdings sind ausführliche Erläuterungen als Anwort auf pl oft Perlen vor die Säue geworfen. Darauf habe ich nicht immer Lust.

                  Aber, wieder mal, EINFACHE LÖSUNG. Kennenlernen.

                  Nein. Besser sagen, dass es keine einfache Lösung gibt, als irgendwas präsentieren, was als Lösung nicht taugt.

                  LLAP 🖖

                  --
                  „Wer durch Wissen und Erfahrung der Klügere ist, der sollte nicht nachgeben. Und nicht aufgeben.“ —Kurt Weidemann
                2. problematische Seite

                  Hello,

                  [...]
                  zumal Captchas oder sonstige "Sicherheitseingaben" seitens des Clients ohnehin ohne große Wirkung sind. Deshalb sollte man sie auch gar nicht erst einbauen und lieber die Methoden "Zeitfenster mit Token", oder ggf. sogar noch IP-Check mit Token und Zeitfenseter benutzten. Alternativ kann man auch Token mit Zeitfenster und Clickbild (unter den Koordianten steht dann das "OK") benutzen. Das funktioniert aber nicht mehr rein tastaturbezogen, ist also nicht barrierefrei. Welche Lösungen überhaupt barrierefrei sein könnten, vermag ich jetzt nicht zu überschauen. Vielleicht könnte @Gunnar Bittersmann mal so nett sein, die wenigen, die das Kriterium erfüllen könnten, aufzulisten. Wir würden dann in der nächsten Zeile die technischen Verfahren dazu bewerten, usw.

                  Unter dem Strich würde dann stehen, welche Methoden überhaupt noch sinnvoll wären.

                  Dass man nicht jede Response vollständig durch alle seine internen Instanzen jagen muss, ist uns wohl hoffentlich allen klar. Aber in welcher Reihenfolge können wir aussortieren?

                  Liebe Grüße
                  Tom S.

                  --
                  Es gibt nichts Gutes, außer man tut es!
                  Das Leben selbst ist der Sinn.
              2. problematische Seite

                Hallo Gunnar,

                Für mich zählt weder dazu, ein unbrauchbares Beispiel unbrauchbar zu nennen, noch einen unsinnigen Alternativtext unsinnig zu nennen.

                shrug du kannst dir etwas von der Kritik annehmen oder es lassen. Das Thema hatten wir ja schon das ein oder andere mal.

                LG,
                CK

        3. problematische Seite

          @Gunnar Bittersmann ,

          Hier die Demo

          Unbrauchbar.

          alt="Captcha" – was für ein Unsinn.

          Und hier die neue Library. Aus Dankbarkeit!

          MfG

          PS: Eigentlich hätte ich eher eine Diskussion wegen MD5 erwartet. Von daher habe ich meine Library vorsorglich um SHA256 eweitert 😉

  5. hallo

    Du kannst die Lösung nicht direkt an den Client senden. Deshalb musst du einen hash von ( Aufgabe, Lösung ) erzeugen. Diesen hash kannst du in einem Cookie übertragen. Im Cookie speicherst du

    • die Aufgabe im Klartext
    • Anzahl Versuche
    • hash.

    Mathe ist schlecht. Denn du willst wissen dass du es mit typisch menschlichem Wissen zu tun hast.

    Besser (falls Captchas überhaupt Sinn machen) sind Rätselfragen wie:

    • Die Hauptstadt von Frankreich ist [ ... ]!
    • Manhatten ist ein Stadtteil der US-Stadt [ ... ]!
    • Der erste Monat des Jahres heisst [ ... ]!
    • Ein tellerförmiges Gericht aus Teig, Tomaten und Käse heisst [ ... ]!
    • Das aktuelle Jahr nach christl. Zeitrechnung ist das Jahr [ ... ]!

    Eingaben sollen so einfach wie möglich sein

    • Also Wien und wien wären beide erlaubt.
    • Optimalerweise braucht die Eingabe des richtigen Resultats nur Zeichen aus [a-z0-9]

    Mit Pattern-Attribut kannst du die Einschänkung definieren. Bitte auch darauf Hinweisen.

    --
    Neu im Forum! Signaturen kann man ausblenden!
    1. Hallo Beat,

      Mathe ist schlecht. Denn du willst wissen dass du es mit typisch menschlichem Wissen zu tun hast.

      was ist menschlicher als Mathe? 😎

      Gruß
      Jürgen

    2. @@beatovich

      Besser (falls Captchas überhaupt Sinn machen)

      Machen sie nicht.

      sind Rätselfragen wie:

      • Die Hauptstadt von Frankreich ist [ ... ]!

      Das könnte man noch hinkriegen.

      • Manhatten ist ein Stadtteil der US-Stadt [ ... ]!

      Ist das ein Geografietest? Ein CAPTCHA soll – wie das CHA sagt – Computer und Mensch auseinanderhalten, nicht kundige und weniger kundige Menschen.

      • Der erste Monat des Jahres heisst [ ... ]!

      Jänner, sagt der Österreicher. Dumm nur, wenn der deutsche Entwickler das nicht weiß.

      • Ein tellerförmiges Gericht aus Teig, Tomaten und Käse heisst [ ... ]!

      Auf der Pizza bianca gibt es keine Tomanten.

      • Das aktuelle Jahr nach christl. Zeitrechnung ist das Jahr [ ... ]!

      Wie jetzt? Verordnete Kruzifixe nicht nur in Bayerns Amtsstuben, sondern auch auf Webseiten? „Christliche Zeitrechnung“?? Der Begriff ist ziemlich dumm – genauso wie verordnete Kruzifixe in Bayerns Amtsstuben.

      LLAP 🖖

      --
      „Wer durch Wissen und Erfahrung der Klügere ist, der sollte nicht nachgeben. Und nicht aufgeben.“ —Kurt Weidemann
      1. hallo

        Ist das ein Geografietest? Ein CAPTCHA soll – wie das CHA sagt – Computer und Mensch auseinanderhalten, nicht kundige und weniger kundige Menschen.

        Gut. Und was genau ist deiner Meinung nach der Unterschied zwischen Mensch und Computer?

        --
        Neu im Forum! Signaturen kann man ausblenden!
        1. @@beatovich

          Gut. Und was genau ist deiner Meinung nach der Unterschied zwischen Mensch und Computer?

          Du willst sicher nicht, dass ich dir alle Unterschiede zwischen Lebewesen und Maschinen aufzähle.

          Aber vielleicht einer, der fürs Problem relevant sein könnte: das zeitliche Verhalten beim Abschicken von Formularen.

          Bots (zumindest die dummen) werden so viel wie möglich Webseiten abgrasen wollen, also Antworten so schnell wie möglich abschicken. Ein Mensch wird für eine Interaktion (wie bspw. zum Ausfüllen eines Formulars) eine gewisse Zeit benötigen. Ein Umstand, den man sich zunutze machen kann, um Bots von Menschen zu unterscheiden – ohne Nutzer mit irgendwelchem Kram zu belästigen.

          LLAP 🖖

          --
          „Wer durch Wissen und Erfahrung der Klügere ist, der sollte nicht nachgeben. Und nicht aufgeben.“ —Kurt Weidemann
          1. hallo

            @@beatovich

            Gut. Und was genau ist deiner Meinung nach der Unterschied zwischen Mensch und Computer?

            Du willst sicher nicht, dass ich dir alle Unterschiede zwischen Lebewesen und Maschinen aufzähle.

            Aber vielleicht einer, der fürs Problem relevant sein könnte: das zeitliche Verhalten beim Abschicken von Formularen.

            Bots (zumindest die dummen) werden so viel wie möglich Webseiten abgrasen wollen, also Antworten so schnell wie möglich abschicken. Ein Mensch wird für eine Interaktion (wie bspw. zum Ausfüllen eines Formulars) eine gewisse Zeit benötigen. Ein Umstand, den man sich zunutze machen kann, um Bots von Menschen zu unterscheiden – ohne Nutzer mit irgendwelchem Kram zu belästigen.

            Derzeit kann man nur noch einen Unterschied zwischen Mensch und Maschine ausmachen, insofern die menschlichen Signale durch eine Maschine verarbeitet werden:

            • Menschen sind besser darin, gleichzeitig sehr verschiedene Probleme zu lösen.

            Praktisch geht es auch gar nicht darum, ob ein Test Maschinen von Menschen unterscheiden kann, sondern ob, was immer den Test absolviert, erfolgreich genug ist, auch das damit freigeschaltete Angebot zu bedienen.

            --
            Neu im Forum! Signaturen kann man ausblenden!
  6. problematische Seite

    Hier meine Idee einer praktischen Realisierung zur universellen Verwendung als Library. Das sollte allen Anforderungen genügen (Text und Grafik werden bereitgestellt).

    Und kommt ohne Session aus.

    MfG

  7. hallo

    Weil's grad passt:

    https://www.heise.de/newsticker/meldung/Mensch-Maschine-Unterscheidung-mit-weniger-Nerverei-4022981.html

    --
    Neu im Forum! Signaturen kann man ausblenden!
    1. Hallo beatovich,

      Find ich jetzt auch nicht so großartig. Ich muss mich filmen lassen um durchzukommen? Ich muss was erzählen?

      Im Büro würde ich damit merkwürdige Blicke ernten, und bei lautem Hintergrund oder schlechtem Licht sieht die Kamera nichts. Die Lösung ist mMn zu eingeschränkt.

      Rolf

      --
      sumpsi - posui - clusi
      1. Reichlich invasive Technis!

        Im Büro würde ich damit merkwürdige Blicke ernten, und bei lautem Hintergrund oder schlechtem Licht sieht die Kamera nichts. Die Lösung ist mMn zu eingeschränkt.

        Vor allem ist die Methode zu optimistisch. Sie berücksichtigt nicht, dass Menschen

        • gerade keine funktionierende Kamera haben
        • Geräte gestört sind
        • sie selber unter Störungen leiden, die das Bestehen eines Tests praktisch verunmöglichen.
        • Sie kann eventuell durch geeignete software ausgetrickst werden.

        Was wohl Stephen Hawking dazu gesagt hätte?

        --
        Neu im Forum! Signaturen kann man ausblenden!
        1. Hallo beatovich,

          Im Büro würde ich damit merkwürdige Blicke ernten, und bei lautem Hintergrund oder schlechtem Licht sieht die Kamera nichts. Die Lösung ist mMn zu eingeschränkt.

          nicht nur eingeschränkt, auch wieder mal sehr bedenklich. Der folgend Satz sagt eigentlich schon wieder alles:

          Die Forscher aus Georgia wollen Real Time Captcha außerdem mit anderen biometrischen Verfahren, die video- oder audiobasiert sind, kombinieren

          Was wohl Stephen Hawking dazu gesagt hätte?

          Tja, wer weiß...

          Gruss
          Henry

          1. Hi there,

            Was wohl Stephen Hawking dazu gesagt hätte?

            Der hätte gesagt, daß Captchas eine Temperatur haben und sich somit im Laufe der Zeit ohnehin zerstrahlen…

    2. @@beatovich

      https://www.heise.de/newsticker/meldung/Mensch-Maschine-Unterscheidung-mit-weniger-Nerverei-4022981.html

      Biometrisches Daten: Man überträgt nicht nur sein Gesicht (was durch Gesichtserkennung einem persönlich zugeordnet werden kann), sondern auch noch seine Stimme zu irgendeinem Server. Überwachungskapitalismus getarnt als technische Notwendigkeit‽ Das WTF des Tages.

      LLAP 🖖

      --
      „Wer durch Wissen und Erfahrung der Klügere ist, der sollte nicht nachgeben. Und nicht aufgeben.“ —Kurt Weidemann
      1. hallo

        @@beatovich

        https://www.heise.de/newsticker/meldung/Mensch-Maschine-Unterscheidung-mit-weniger-Nerverei-4022981.html

        Biometrisches Daten: Man überträgt nicht nur sein Gesicht (was durch Gesichtserkennung einem persönlich zugeordnet werden kann), sondern auch noch seine Stimme zu irgendeinem Server. Überwachungskapitalismus getarnt als technische Notwendigkeit‽ Das WTF des Tages.

        Biometrische Daten sind nur beiometrische Daten.

        Erstens sind das keine Konstanten, und zweitens muss man nur beiometrische Daten Vorweisen. Es wird ja nicht getestet ob der Datenlieferant auch die Quelle dieser Daten ist.

        --
        Neu im Forum! Signaturen kann man ausblenden!
        1. @@beatovich

          Biometrische Daten sind nur beiometrische Daten.

          Solchen Unsinn war letztens erst zu hören: „Metadaten sind ja nur Metadaten.“

          Erstens sind das keine Konstanten, und zweitens muss man nur beiometrische Daten Vorweisen. Es wird ja nicht getestet ob der Datenlieferant auch die Quelle dieser Daten ist.

          Du hast den Punkt verstanden? Man hat keinerlei Kontrolle, was auf dem Server oder anderswo noch so alles mit seinen Daten passiert.

          LLAP 🖖

          --
          „Wer durch Wissen und Erfahrung der Klügere ist, der sollte nicht nachgeben. Und nicht aufgeben.“ —Kurt Weidemann
          1. hallo

            Du hast den Punkt verstanden?

            Das lässt sich ja nachholen.

            Man hat keinerlei Kontrolle, was auf dem Server oder anderswo noch so alles mit seinen Daten passiert.

            Die hast du sowieso nicht. Aber deine Kamera und dein Mic kannst du kontrollieren (hoffentlich).

            Biometrisches Daten: Man überträgt nicht nur sein Gesicht (was durch Gesichtserkennung einem persönlich zugeordnet werden kann), sondern auch noch seine Stimme zu irgendeinem Server. Überwachungskapitalismus getarnt als technische Notwendigkeit‽ Das WTF des Tages.

            Was bringt dich dazu dein Gesicht zu übertragen? Nimm doch eines anderen Gesicht. Was hält dich davon ab Stimmfilter einzusetzen? Eventuell gibt es ja Menschen, die können sich gar nicht mit menschlicher Stimme ausdrücken.

            Und dann das andere Problem.

            Aus deinem Produkt werden über maschinelle Sensorik Daten, Daten, nur Daten, von welchem man glaubt sie im Sinne der Mustererkennung zwecks Identifikation oder Zuordnung wiederverwenden zu können. Diese Daten werden gespeichert, weil man die Fülle der Daten braucht. Anders als bei einem Passwort reicht es nicht einen SHA2 Hash des Passworts zu speichern.

            Problem dabei: ein ursprünglicher Verursacher dieser Daten wächst aus dem Muster hinaus. Die Daten aber können, weil es nur Daten sind, sich verbreiten, wie sie sich nun mal verbreiten.

            "Überwachungskapitalismus"

            Dem Staat reicht es, die IP zu kennen.

            Was hier vorliegt ist mit dem Begriff snake oil selling ziemich gut beschrieben. Man verkauft wieder mal ein Verfahren in der Hoffnung, dass Idioten im Vorstand auf so was ansprechen.

            --
            Neu im Forum! Signaturen kann man ausblenden!
        2. Hallo beatovich,

          Biometrische Daten sind nur beiometrische Daten.

          … und da muss man auch gar keine Hintergedanken haben (Ironie aus)

          „biometrische Daten“ mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten;
          

          *Frage Admins:ist die Anzeige so gewollt, wenn ich TAB nutze?

          So sieht die DSGVO das. Mir schleierhaft, warum die Bevölkerung dem Ganzen wieder mal so aufgeschlossen sein kann.

          Erstens sind das keine Konstanten, und zweitens muss man nur beiometrische Daten Vorweisen. Es wird ja nicht getestet ob der Datenlieferant auch die Quelle dieser Daten ist.

          Was meinst du mit keine Konstanten? Es läuft letztendlich darauf hinaus, jede beliebige Person anhand von einem Bild, einer Stimme, etc. innerhalb weniger Sekunden(oder schneller) zu identifizieren und mit anderen (bereits vorhandenen Daten) abzugleichen. Gläserner geht's kaum. Btw. Weiss nicht welches Mobil-OS du nutzt, falls Android, schau dir mal den Ordner .face an. Die Speicherung macht keinen Sinn, außer die Daten irgendwann fremd zu nutzen, denn der angebliche Zweck(bessere Photos) da würde eine einfache Gesichtsschemaerkennung vollkommen ausreichen. Die anderen OS werden wohl ähnliches nutzen.

          Gruss
          Henry

          1. Hallo Henry,

            „biometrische Daten“ mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten;

            *Frage Admins:ist die Anzeige so gewollt, wenn ich TAB nutze?

            Ja.

            Bis demnächst
            Matthias

            --
            Rosen sind rot.
          2. hallo

            „biometrische Daten“ mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten;

            Biometrische Daten sind mehr als hier beschrieben. Ob Daten ausreichen, ein Individuum eindeutig zu identifizieren, ist nicht Teil der Definition.

            So sieht die DSGVO das.

            Datenschutzleute sind auch nur Menschen.

            Was meinst du mit keine Konstanten? Es läuft letztendlich darauf hinaus, jede beliebige Person anhand von einem Bild, einer Stimme, etc. innerhalb weniger Sekunden(oder schneller) zu identifizieren und mit anderen (bereits vorhandenen Daten) abzugleichen.

            Also eine Maschine ist besser darin, Daten zu reproduzieren als du es selber bist.

            Die Zuordnung von daten auf physikalische Personen beinhaltet Annahmen, die fehlschlagen können und werden, sobald nur jemand den Wille aufbringt.

            Gläserner geht's kaum. Btw. Weiss nicht welches Mobil-OS du nutzt, falls Android, schau dir mal den Ordner .face an.

            existiert nicht!

            --
            Neu im Forum! Signaturen kann man ausblenden!
            1. Hallo beatovich,

              Gläserner geht's kaum. Btw. Weiss nicht welches Mobil-OS du nutzt, falls Android, schau dir mal den Ordner .face an.

              existiert nicht!

              Also wenn du eine Möglichkeit gefunden hast, wie man den dauerhaft entfernen kann, wäre das sehr informativ. Hast du?

              Gruss
              Henry

              1. Hallo

                Gläserner geht's kaum. Btw. Weiss nicht welches Mobil-OS du nutzt, falls Android, schau dir mal den Ordner .face an.

                existiert nicht!

                Also wenn du eine Möglichkeit gefunden hast, wie man den dauerhaft entfernen kann, wäre das sehr informativ. Hast du?

                Muss er wahrscheinlich nicht, weil er vermutlich nicht einen der Gerätetypen nutzt, der dieses Verzeichnis anlegt. Dass sich der von dir verlinkte Artikel explizit und nur auf die Typen Samsung Galaxy S7 und S8 bezieht, ist dir doch hoffentlich aufgefallen? Wie man bei diesen Typen allerdings von Speicherproblemen sprechen kann, die sich durch das Löschen dieser Bilder beheben ließen, ist mir schleierhaft.

                Tschö, Auge

                --
                Eine Kerze stand [auf dem Abort] bereit, und der Almanach des vergangenen Jahres hing an einer Schnur. Die Herausgeber kannten ihre Leser und druckten den Almanach auf weiches, dünnes Papier.
                Kleine freie Männer von Terry Pratchett
                1. Hallo Auge,

                  Muss er wahrscheinlich nicht, weil er vermutlich nicht einen der Gerätetypen nutzt, der dieses Verzeichnis anlegt.

                  Weiß nicht, kann nur er beantworten.

                  Dass sich der von dir verlinkte Artikel explizit und nur auf die Typen Samsung Galaxy S7 und S8 bezieht, ist dir doch hoffentlich aufgefallen?

                  Nein, ist mir nicht aufgefallen, weil das ja auch kein spezieller Samsungentwurf ist. Habe aber leider kein Alternativgerät von anderen Android-Phoneanbietern um das zu testen.

                  Wie man bei diesen Typen allerdings von Speicherproblemen sprechen kann, die sich durch das Löschen dieser Bilder beheben ließen, ist mir schleierhaft.

                  Hat auch nichts mit dem belegten Platz zu tun, wohl eher mit der schieren Menge an Dateien, womit sich das Dateisystem dann wohl einiges an Power reinschaufelt. Aus eigener Erfahrung, kann ich zumindest sagen, wenn das Verzeichnis zu voll wird, wird Handy extrem langsamer.

                  Gruss
                  Henry

                  1. Hallo

                    Muss er wahrscheinlich nicht, weil er vermutlich nicht einen der Gerätetypen nutzt, der dieses Verzeichnis anlegt.

                    Weiß nicht, kann nur er beantworten.

                    Schlussendlich ja.

                    Dass sich der von dir verlinkte Artikel explizit und nur auf die Typen Samsung Galaxy S7 und S8 bezieht, ist dir doch hoffentlich aufgefallen?

                    Nein, ist mir nicht aufgefallen, weil das ja auch kein spezieller Samsungentwurf ist. Habe aber leider kein Alternativgerät von anderen Android-Phoneanbietern um das zu testen.

                    Entscheidend dürfte sein, ob das Gerät softwareseitig eine Gesichtserkennung anbietet oder nicht, eine Frontkamera habe sie ja alle™️, also, ob die OS-Version einen Login per Gesichtserkennung überhaupt vorsieht. Auf meinem Samsung Galaxy 2 mit LineageOS 14.1.2 gibt es dieses Verzeichnis auch. Dort herinnen befindet sich aber nur eine 0-Byte-große Datei namens .facedata. Auf meinem Telefon gibt es schlicht keine Software für die Gesichtserkennung. Andererseits entspricht LineageOS 14.1.2 der Androidversion 7.1.2. Das ist also verhältnismäßig aktuell.

                    Tschö, Auge

                    --
                    Eine Kerze stand [auf dem Abort] bereit, und der Almanach des vergangenen Jahres hing an einer Schnur. Die Herausgeber kannten ihre Leser und druckten den Almanach auf weiches, dünnes Papier.
                    Kleine freie Männer von Terry Pratchett
                  2. hallo

                    Dass sich der von dir verlinkte Artikel explizit und nur auf die Typen Samsung Galaxy S7 und S8 bezieht, ist dir doch hoffentlich aufgefallen?

                    Ich habe hier ein Samsung Galaxy S4. Ein entsprechend benannter Ordner existiert nicht. Zudem sind alle Ordner ausser die für meine Audio oder Camera/Video recordings ziemlich leer.

                    --
                    Neu im Forum! Signaturen kann man ausblenden!
                    1. Hallo beatovich,

                      Ich habe hier ein Samsung Galaxy S4. Ein entsprechend benannter Ordner existiert nicht.

                      Wenn du da nichts gemacht hast, müsste der vorhanden sein, gab's schon beim S3. Aber du weißt, dass das ein versteckter Ordner/Verzeichnis ist und somit nicht so einfach angezeigt wird?

                      Gruss
                      Henry

                    2. Hallo

                      Dass sich der von dir verlinkte Artikel explizit und nur auf die Typen Samsung Galaxy S7 und S8 bezieht, ist dir doch hoffentlich aufgefallen?

                      Ich habe hier ein Samsung Galaxy S4. Ein entsprechend benannter Ordner existiert nicht.

                      Darf ich nach der Android-Version fragen?

                      Tschö, Auge

                      --
                      Eine Kerze stand [auf dem Abort] bereit, und der Almanach des vergangenen Jahres hing an einer Schnur. Die Herausgeber kannten ihre Leser und druckten den Almanach auf weiches, dünnes Papier.
                      Kleine freie Männer von Terry Pratchett
                      1. hallo

                        Ich habe hier ein Samsung Galaxy S4. Ein entsprechend benannter Ordner existiert nicht.

                        Darf ich nach der Android-Version fragen?

                        GT S5360 oder wars S5630?

                        --
                        Neu im Forum! Signaturen kann man ausblenden!
                        1. Hallo

                          Ich habe hier ein Samsung Galaxy S4. Ein entsprechend benannter Ordner existiert nicht.

                          Darf ich nach der Android-Version fragen?

                          GT S5360 oder wars S5630?

                          Nee, das sieht nach einer Typenbezeichnung aus. Ist es dieses Gerät? Wenn ja, dürfte es kein Wunder sein, dass das Verzeichnis .face nicht existiert. Das Gerät wurde laut dem Wikipedia-Artikel mit Android 2.3.6 ausgeliefert und ist selbst mit CyanogenMod/LineageOS maximal auf den Stand von Android 4.4 zu bringen.

                          Tschö, Auge

                          --
                          Eine Kerze stand [auf dem Abort] bereit, und der Almanach des vergangenen Jahres hing an einer Schnur. Die Herausgeber kannten ihre Leser und druckten den Almanach auf weiches, dünnes Papier.
                          Kleine freie Männer von Terry Pratchett
                          1. hallo

                            Nee, das sieht nach einer Typenbezeichnung aus. Ist es dieses Gerät? Wenn ja, dürfte es kein Wunder sein, dass das Verzeichnis .face nicht existiert. Das Gerät wurde laut dem Wikipedia-Artikel mit Android 2.3.6 ausgeliefert und ist selbst mit CyanogenMod/LineageOS maximal auf den Stand von Android 4.4 zu bringen.

                            Siehst du, jezt weisst du mehr als ich.

                            --
                            Neu im Forum! Signaturen kann man ausblenden!