Beiträge von Donkey

Hallo

Hab mir mal eben die FF-Erweiterung "Total Validator" runtergeladen.

Allerdings zeigt mir das Teil unerklärlicherweise einen Fehler an der keiner ist:

[Blockierte Grafik: http://i35.tinypic.com/30jo6eu.png]

Die Beschreibung des Fehlers:
[Blockierte Grafik: http://i33.tinypic.com/357j9d2.png]

Also is das Attribut doch richtig geschrieben
Der W3C-Validator zeigt keinen Fehler an.

Und auch nach dem ich diese eine Zeile aus Wikipedia (http://de.wikipedia.org/wiki/XML-Deklaration) kopiert hab (nehme mal an dass das dort richtig is...) zeigt das Tool immernoch den Fehler an.

Is das n Bug bei "Total Validator"?

Gruß, Donkey

Zitat von Pion

Btw nur aus Interesse, wie lange dauert dein Script?

Schätze Du meinst die Laufzeit.

Meine Messung ergibt ca. 0,02 Sek. im Durchschnitt

<?php


$beginn = microtime(true);


function crypt_pw($pass){
    $counter = 0;
    while($counter <= 1000){
        if($counter % 2 == 0){
            $pass = hash(sha512, $pass);
        }
        else{
            $pass = hash(whirlpool, $pass);
        }
        $counter++;
    }
    return $pass;
}


$input = 'Donkey';


echo'<div style="font-size:0.8em;">'.crypt_pw($input).'</div>';


$dauer = microtime(true) - $beginn;
echo'<br />Script-Laufzeit: '.$dauer.' Sek.';


?>

Erklärst Du mir das mit dem HMAC?
Is das sowas wie ne Salt?

Pion:
Finde es ein bisschen seltsam dass Du MD5 hier relativ gut aussehen lässt, nachdem Du bei mir schon öfter kritisiert hast dass ich Passwörter "nur mit MD5" hashe.
Naja mittlerweile mach ich das auch anders - 1000mal mit zwei 512bit - Algorithmen

function crypt_pw($pass){
    $counter = 0;
    while($counter <= 1000){
        if($counter % 2 == 0){
            $pass = hash(sha512, $pass);
        }
        else{
            $pass = hash(whirlpool, $pass);
        }
        $counter++;
    }
    return $pass;

Das dürfte auch jede Rainbow-Table unbrauchbar machen.

Hallo!

Hatte so eine ähnliche Idee.
Eine Rechenaufgabe die man sich alternativ auch vorlesen lassen kann.
Funzt eigentlich auch.

Nur bekomm ich es nicht hin Die Rechnung als Bild auszugeben (zumindest nicht so dass Bild und Audio die gleiche Rechung enthalten

Hier mal was ich bis jetzt hab:

captcha_generator.php

<?php
// Zufallsrechnung erzeugen und Ergebnis (verschlüsselt) in Variable schreiben
$counter = 0;
while($counter == 0){
    unset($result);

    // 2 zufällige Zahlen erzeugen
    $zahl1 = mt_rand(1,20);
    $zahl2 = mt_rand(1,10);

    // Rechenart zufällig festlegen
    $arithmetic_arr = array('+', '-');
    $arithmetic = $arithmetic_arr[mt_rand(0,1)];

    // Ergibnis berechnen
    if($arithmetic == '+'){$result = $zahl1 + $zahl2;}
    else{$result = $zahl1 - $zahl2;}

    // Prüfen ob Ergebnis grösser 0 (Null) ist, also positiv.
    // Wenn ja: Schleife beenden. Wenn nein: das Ganze nochmal bis ein positives Ergebnis rauskommt
    if($result > 0){
        $result = hash(md5, $result);
        break;
    }
}


// Zufallsrechnung in Variable schreiben
$cc = $zahl1.' '.$arithmetic.' '.$zahl2;


// Audiocaptcha aus der Zufallsrechnung erzeugen und in Variable schreiben
$cc_fe = str_replace(' ', '|', $cc);


$mp3 = explode('|', $cc_fe);
$mp3_path = 'mp3/';


$mp3_arr = array(
    '1' => '6hcbf8gn.mp3',
    '2' => 'jdl8fp6j.mp3',
    '3' => '5yfvwik8.mp3',
    '4' => '26zfysg5.mp3',
    '5' => 'qrc6mnem.mp3',
    '6' => 'v56vehfu.mp3',
    '7' => 'bz9aswxs.mp3',
    '8' => 'teczts9a.mp3',
    '9' => 'ly4lthwh.mp3',
    '10' => '57k1ag08.mp3',
    '11' => '27bmk16b.mp3',
    '12' => 'ix6buawm.mp3',
    '13' => 'r3onty0j.mp3',
    '14' => '7kw3jtpx.mp3',
    '15' => 'jx9km1bm.mp3',
    '16' => '98dsmneh.mp3',
    '17' => '0x9k3d7b.mp3',
    '18' => 'k4jejm8s.mp3',
    '19' => 'hlu5fbof.mp3',
    '20' => 'a0zu7bvk.mp3',
    '+' => '11llrlsi.mp3',
    '-' => '2rxf6a84.mp3',
    'start' => '271t0wia.mp3'
);


foreach($mp3_arr as $key => $value){
    $mp3_1 = $mp3_path.str_replace($mp3[0], $value, $mp3_arr[$mp3[0]]);
    $mp3_2 = $mp3_path.str_replace($mp3[1], $value, $mp3_arr[$mp3[1]]);
    $mp3_3 = $mp3_path.str_replace($mp3[2], $value, $mp3_arr[$mp3[2]]);   
}


$audio_captcha = '<object type="application/x-shockwave-flash" data="'.$mp3_path.'emff_easy_glaze_small.swf" width="22" height="22">
<param name="movie" value="'.$mp3_path.'emff_easy_glaze_small.swf">
<param name="FlashVars" value="src='.$mp3_path.'271t0wia.mp3,'.$mp3_1.','.$mp3_2.','.$mp3_3.'&amp;repeat=yes">
</object>';


unset($cc_fe);
?>

index.php

<?php
include('captcha_generator.php');


function captcha(){
    $font = 'arial.ttf';


    header ("Content-type: image/png");
    $im = imagecreate (100, 20);
    $black = imagecolorallocate ($im, 0, 0, 0);

    $color[] = imagecolorallocate ($im, 255, 255, 255);
    $color[] = imagecolorallocate ($im, 255, 255, 0);
    $color[] = imagecolorallocate ($im, 0, 255, 0);
    $color[] = imagecolorallocate ($im, 0, 255, 255);
    $color[] = imagecolorallocate ($im, 255, 255, 128);
    $color[] = imagecolorallocate ($im, 255, 128, 64);

    imagettftext ($im, 14, 0, 25, 16, $color[mt_rand(0,5)], "arial.ttf", $cc);
    imagepng ($im);
    imagedestroy ($im);
}
?>




<form action="auswerten.php" method="post">


    <p>Bitte geben Sie das Ergebnis ein.<br />
    Sie k&ouml;nnen sich die Rechnung auch vorlesen lassen, falls Sie das Bild nicht entziffern k&ouml;nnen.</p>

    <p><img src="<?php captcha(); ?>" />&nbsp;&nbsp;<?php echo $audio_captcha; ?></p>

    <p><input type="text" name="captcha" size="12" /></p>

    <input type="hidden" name="result" value="<?php echo $result; ?>" />

    <input type="submit" value="Senden" />

</form>


<?php
unset($result);
unset($cc);
unset($audio_captcha);
?>

Wie bekomm ich den jetzt das Bild zum Laufen?

Test: http://kendo-bunker.de/donkey/captcha/

EDIT: naja, ander Zusammenstellung der mp3s muss ich noch arbeiten - klappt nicht immer...

EDIT2: Problem gelösst

Da stellt sich aber wieder die Frage nach der Barrierefreiheit wenn Grafiken eingesetzt werden (das gleiche Problem haben auch Audiocaptchas).

Gut bei meiner Site kommts nicht so sehr darauf an, da eh alles mit Grafiken voll is
Aber diesen Aspekt sollte man normal nicht ausser Acht lassen.

Aber die Ideen find ich gut

Danke für den Link

Sehr interessant, auch die anderen Sachen dort

Danke für die vielen Tipps.

Hab demnächst vor die Site komplett neu zu schreiben (invalid, nicht besonders userfreundlich, hier und da ein technisches Problem...)
Diesmal mach ich mir halt Gedanken bevor ich zu tippen anfange

Das Captcha dass ich da eingebaut habe is wirklich nicht besonders wirkungsvoll. Wollte es möglichst einfach halten, dass es eigentlich jeder lesen kann.
Mit so einem Teil kann man ja User für immer vergraulen.

Ausserdem hab ich noch eine IP-Speere eingebaut die das jeweilige Form nach dem Absenden für eine halbe Stunde sperrt.
Weiss jetzt nicht wie effektiv das ist.

Beim Bannen von IP (dauerhaft) bin ich mir immer nicht sicher ob ich damit vielleicht unschuldige User ausschliesse - IPs wechseln ja auch.

Über so eine Falle (verstecktes input) hab ich schon nachgedacht,
aber ich frag mich immer ob das noch soviel bringt wenn ich im label schreibe "Bitte nicht ausfüllen". Das kann ein Bot doch auslesen, oder?

Ja das hab ich mir auch schon gedacht.
Aber zumindest wird man damit der "Laufkundschaft" Herr.

Ich möcht endlich mal die Captcha von meiner Site verbannen.
Das Dumme is nur das meine Seit extrem anfällig für Spambots ist...

http://werbehalle.de

Hallo

Also mal vornweg: das is keine Verarschung

Würde gerne mal (relativ) genau ermittelt wie schnell User in der lage sind Formulare auszufüllen.
Hintergrund für das ganze sind mal wieder die "lieben" Spambots...

Möchte eine "Schwelle" festlegen ab der das Form nichtmehr von einem Menschen ausgefüllt worden sein kann.

Feldversuch: (bitte alle mitmachen)
http://kendo-bunker.de/donkey/speedtest/

Hab mir viel Arbeit mit dem Script gemacht - es mir also ernst damit.
Ausser die Zeit wird nichts gespeichert - versprochen

Gruß, Donkey

Spitze!

Funzt beides einwandfrei
Vielen Dank euch beiden!

Hallo

Komm garde mal nicht weiter.

Möchte aus einem String einen Teilstring verwenden, aber irgendwie bekomm ich das nicht gebacken...

Konkrekt geht es um URLs z.B. http://werbehalle.de/set.html?site=ei1
Davon möcht ich jetzt halt nur http://werbehalle.de/ haben.

Hab schon mit preg_match und preg_split bissl rumgetestet, aber funzt nicht.
(Liegt vermutlich daran dass ich mit regulären Ausdrücken nicht wirklich gut umgehen kann...)

Könnt ihr mir einen Lösungsansatz geben?

Gruß, Donkey

Hallo

wordwrap ist ja eine bekannte Funktion um nach einer bestimmten Anzahl von Zeichen einen Zeilenumbruch einzufügen.
Ganz nützlich in kleinen Boxen wenn der Inhalt nicht über den Rand hinaus wachsen soll oder sowas.

Ist sicher keine Funktition die man oft braucht, die ich da geschrieben hab,
aber ich habs halt gebraucht und dachte mir ich erspar euch n Haufen Arbeit, falls ihr auch mal sowas brauchen solltet.

Jetzt speziell in meinem Fall hab ich das zum Anzeigen von Code gebraucht.
Das sieht dann mit wordwrap schonmal so aus:
[Blockierte Grafik: http://i25.tinypic.com/20styiu.png]

Die Funktion macht jetzt eigentlich nicht anderes als zu markieren was normal EINE Zeile ist, welche aber auf Grund des Platzmangel umgebrochen wurde.

Das sieht dann so aus:
[Blockierte Grafik: http://i31.tinypic.com/2pzbuie.png]

Wie gesagt kann in bestimmten Situationen nützlich sein, wird man aber wohl nicht oft brauchen
Sicherlich auch nicht ganz ausgereift - vielleicht habt ihr ja Verbesserungsvorschläge.

<?php
function mark_wordwrap($input){
        $length = 75;


        // Falls eine Zeile länger als die gewählte Anzahl Zeichen ($length) ist,
        // wird sie umgebrochen und das erste Zeichen nach dem Umbruch rot markiert,
        // um mitzuteilen dass die Zeile automatisch umgebrochen wurde

        // $trenner fügt Platzhalter in den String ein, welche später durch einen Zeilenumbruch ersetzt werden,
        // da \n im Prozess von $out3 verschwindet und somit nichtmehr für ein str_replace verwendet werden kann.
        // <br /> wird ebenfalls zerstört ($splitting2).
        $trenner = str_replace("\n", "\n(#TRENNER#)", $input);

        // Es wird ein Array mit den einzelnen Zeilen des Eintrags gebildet.
        $out3 = explode("\n", $trenner);

        $count = count($out3)-1;
        $counter = 0;
        $check = '';

        // Diese Schleifen ermitteln die Zeilenlängen, brechen diese um wenn nötig,
        // färben das erste Zeichen nach dem Umbruch ein und schreiben den Inhalt in ein neues Array.
        while($counter <= $count){
            if(strlen($out3[$counter]) > $length){
                $check .= '1';
                $splitting1 = wordwrap($out3[$counter], $length, "<br />", 1);
                $splitting2 = explode('<br />', $splitting1);

                $splitting_count = count($splitting2)-1;
                $splitting_counter = 1;

                while($splitting_counter <= $splitting_count){
                    $first = $splitting2[$splitting_counter][0];
                    $new_first= '<br /><span class="red">'.$first.'</span>';
                    $new_string .= $new_first.substr($splitting2[$splitting_counter], 1);
                    if($splitting_counter == 1){
                        $out4[] = $splitting2[0].$new_string;
                    }
                    else{
                        $out4[] = $new_string;
                    }
                    unset($new_string);
                $splitting_counter++;
                }
            }
            else{
                $out4[] = $out3[$counter]; 
            }
        $counter++;
        }

        // Das neue Array wird in einen String umgewandel und die Platzhalter werden durch Zeilenumbrüche ersetzt.
        $output[] = str_replace('(#TRENNER#)', '<br />', implode($out4));

        // Mitteilung falls eine Zeile automatisch umgebrochen wurde
        if(!empty($check)){
            $output[] = '<div class="note">Der Inhalt wurde aus Darstellungsgründen<br />an den rot markierten Stellen automatisch umgebrochen!</div>';
        }


return $output;
}
?>

Anwendungs-Beispiel:

include('inc/mark_wordwrap.php');
$output = mark_wordwrap($codesnippsel);


echo'<div class="box"><code>'.$output[0].'</code>'.$output[1].'</div>';

Gruß, Donkey

Jetzt ja

Ja das Thema Sicherheit is ein weites Feld und würde wohl an dieser Stelle den Rahmen sprengen
Aber wir landen bestimmt bald wieder bei diesem Thema

Danke - woanders hab ich seitenweise Erklärungen von XSS gesehen.
Offensichtlich tuts auch ein Satz

Gut, sowas rauszufilter is ja kein Problem - da gibts ja ne million Möglichkeiten.
Soweit ich weiss hab ich dass auch gemacht: Alles was reingeht - auf welchen Weg auch immer - wird gefiltert oder mit mysql_real_escape_string "entschärft".

Nur nicht das was direkt aus der Datenbank kommt.
Aber da keine "bösen" Sachen in die DB reingehen, weil eben alles gefiltert wird, kommen auch keine "bösen" Sachen raus.
Ist zumindest meine Theorie

Ja XSS - hab schon viel drüber gelesen, weiss aber immer noch nicht wirklich wei das genau vonstatten geht.

Was ist whirlpool?

Ja von den Rainbowtables hab ich schon gelesen.
Dachte die gelten nur für so Standartsachen...
Nagut man kann ja ne Salt hinzufügen oder sowas, aber die muss ich ja auch irgendwo speichern.

Das mit der DB kapier ich nicht ganz.
Du meinst das Ausgelgelesene prüfen ob es dem Erwarteten entspricht?

Ja stimmt, das mit dem PW in der Session war echt nich die beste Idee.
Naja und wie ich das PW sonst noch verschlüssen könnte weiss ich auch nicht so recht.
Gut da gits noch crypt() und so.
Aber früher oder später lässt sich doch alles knacken wenns einer wirklich drauf anlegt, oder?

Und ansonsten per htaccess register_globals deaktiviert, alles aus dem query string escapet und alle Form-Eingaben streng geprüft.

Sagst Du mir auch welche Sicherheitslücken Du entdeckt hast?
Den die nackte Aussage dass Du es nicht für sicher hälst nütz mir jetzt nicht sooo viel

Weisst doch dass ich mich schon mit Templates beschäftige
Hast mir doch einiges dazu erklärt.

Aber das is entstanden bevor ich mich damit beschäftigt hab...

Hm... hab ich mir schon fast gedacht.

Naja man kann ja nicht alles können - das Technische hab ich drauf, das Gestalterische eben nicht.
Hab halt nicht das "Designer-Gen" im Blut

Das Teil erfüllt seinen Zweck - das ist das Ziel des Programmierers, um die Optik kümmer sich der Designer... Vielleicht hat ja einer von euch Lust?...

Afrael: Hab Deinen Tip umgesetzt
Der Download ist aktuallisiert...