Ich möchte hier vorweg mal klarstellen, dass dieser Post nicht zum meckern gedacht ist. Dieser Gedanke ist naheliegend, da mein Account scheinbar nur für dieses Posting erstellt wurde (und dieser Gedanke ist auch korrekt ).
Mein Intention ist durchaus die Kritik. Allerdings nicht um schlechte Stimmung zu verbreiten, sondern aus konstruktiver Intention.
Was möchte ich kritisieren?
Ich finde die Sicherheitsaspekte dieses Forums deutlich zu streng und zum Teil auch ein wenig sinnfrei.
Zuerst mal ein wenig vorgeschichtliches:
Ich bin vor vielen Jahren, zu meiner "Zelda-Zeit" schon einmal über diese Seite gestolpert (weniger über das Forum, als über die Info-Seite). Damals habe ich scheinbar meine Email-Adresse irgendwo hinterlassen. Zumindest habe ich ein gutes Jahr später eine kryptische eMail bekommen, welche mich zu dem Schluss kommen ließ, dass das Forum gehackt wurde.
Ich denke, das ist auch der Grund für die so strengen Sicherheitsvorkehrungen.
Allerdings sehe ich eine Grenze zwischen Sicherheit und Paranoia bzw Schikane.
Nun, vor kurzem bin ich durch Zufall wieder auf dieses Forum gestoßen.
Ich hatte eigentlich gar nicht vor, lange zu bleiben.
Nachdem ich mich ein wenig durch die Mitgliederliste durchgeklickt hatte (ich war auf der Suche nach einem bestimmten Account-Namen) kam plötzlich folgende Meldung, welche mich aus der Seite ausschloss:
"Sorry, von dieser IP kamen innerhalb kurzer Zeit zu viele Anfragen, so dass davon ausgegangen wird, dass es sich um einen Angriff auf den Server handelt."
Ich war ziemlich verwundet, schließlich waren das vielleicht 30 Klicks, die ich auf der Seite getätigt hatte.
Hier ist der Erste Punkt, der mich stark irritiert:
Wozu ist so eine Sicherung nötig?
Solche und ähnliche Schutzmaßnahmen sind der verzweifelte Versuch, sich gegen DDOS-Attacken zur Wehr zur setzen (einen anderen Nutzen hat diese Vorkehrung - nach meinem Wissen - nicht).
DDOS-Attacken bestehen aus einem recht einfachem Prinzip:
Der Angreifer bringt eine große Menge von Computern dazu, innerhalb kürzester Zeit eine Seite so oft wie möglich aufzurufen. Auf Grund der Flut von Requests, sagt der Server irgendwann zwangsläufig "Sorry, too much" und macht dicht.
Ein Angriff, der sogleich simpel, als auch effizient und gefürchtet ist, da es keinen zuverlässigen Schutz dagegen gibt.
Auf der anderen Seite ist der Nutzen aber auch dementsprechend gering.
Wenn ich so einen Angriff durchführe, geht es mir in erster Linie darum, jemandem zu schaden und dessen Seite nicht mehr zugänglich zu machen.
Ich frage mich also: Hat dieses Forum irgendwelche Feinde oder hätte irgendjemand was davon, wenn es down wäre? Wenn nicht, wozu dann so eine Vorkehrung?
Ein weiterer Aspekt ist die Frage, ab wann diese Sicherheitsmaßnahme greift.
Nach ca 30 Requests? Ist das nicht ein wenig sehr paranoid? Natürlich ist die Suchfunktion (über die die Mitgliederliste scheinbar läuft) sehr performant, aber allein die Tatsache, dass ein Mensch, bei normaler Klick-Geschwindigkeit hier schon anstoßen kann, finde ich sehr bedenklich.
Vor allem, wenn man bedenkt, dass eine vernünftige DDOS-Attacke aus so vielen Requests besteht, dass es ziemlich wurscht ist, ob der Server pro Request eine Suchanfrage ausführt, oder ob eine Fehlerseite geliefert wird. Beides bedeutet im Endeffekt Arbeit für den Server. Genügend, um diesen in die Knie zwingen zu können (als Beispiel: Ich habs geschafft meinen VServer durch Requests zu killen, die alle nur einen 404-Error erzeugen. Bei diesem Forum handelt es sich zwar höchst wahrscheinlich nicht um einen VServer, aber dafür ist bei der Error-Meldung wahrscheinlich auch die Arbeit einer mysql-db involviert..).
Ein weiterer Punkt ist die Freischaltung der IP.
Ich konnte dieses Forum für über 2 Wochen nicht betreten...
Dann gibt es noch einige Punkte, die mich stark verwundern:
Aber ich denke, hier herrscht eine unterschiedliche Philosophie
Der Großteil der Threads ist nur lesbar, wenn ich einen Account besitze.
Ich für meinen Teil, möchte mich nicht extra anmelden müssen, nur um zu checken, ob mich das Forum überhaupt interessiert.
Im Normalfall lese ich zuerst und entscheide erst dann, ob ich das "Produkt" "haben" möchte.
Vielleicht ist diese Eigenschaft nicht so verbreitet, aber ich für meinen Teil, muss immer erst überzeugt werden, bevor ich irgendwo den "Registrierungs-Button" drücke - unabhängig davon, was für Daten ich dann angeben muss.
Der Registriervorgang selbst ist auch so eine Sache. Ganz davon abgesehen, dass ich erst von einem Administrator freigeschaltet werden muss (gut, wer die extra Arbeit haben will, warum nicht^^), das Captcha ist - gelinde gesagt - ein Witz.
Nicht nur, dass es für mich extrem schwer lesbar ist (ich habe das Captcha 4mal eingeben müssen, bevor ich endlich richtig lag) es ist zudem - soweit ich das nach kurzen Blicken beurteilen kann - für Bots ein richtiges Leckerlie.
Die Problematik dabei ist folgende:
Die Zeichen werden - soweit ich das sehe - um die Lesbarkeit zu verringern, verdreht, verzerrt und teilweise (glaube ich) spiegelverkehrt dargestellt.
Allerdings ist die Schriftart - für mich - sowieso schon schwer zu entziffern, weshalb ich bei manchen Zeichen kA hatte, was damit gemeint sein könnte.
Das Problem ist aber, dass die Hintergrundfarbe wunderbar einfarbig ist und die Zeichen schön weit voneinander entfernt sind.
Mehr als das falsche Gefühl von Sicherheit und verschwendete Zeit bei Benutzern, bringt so ein Captcha - meiner Meinung nach - nicht
Der Unterschied zwischen Mensch und Maschine ist weniger das Erkennen der Zeichen.
In diesem Fall, dürfe eine Statistische Auswertung, kombiniert mit einer kleinen Zeichen-Datenbank die Zeichen um einiges zuverlässiger erkennen als ein Mensch (welcher keine Erfahrung mit genau diesem Captcha hat - Zeichen-db - und keine anderen Zeichen zum Vergleich nehmen kann - statistische Auswertung).
Die Schwierigkeit für einen Bot liegt mehr in der Trennung der einzelnen Komponenten. Überlappende Buchstaben sind für einen Menschen meist ohne Probleme erkennbar (der Aspekt der Wahrnehmung ist nicht ohne Grund ein extrem interessanter, weil immer noch nicht völlig gelöster Bereich - sagt der Psychologie-Student^^). Ein Bot hat (noch! - EDIT: Korrektur. Soweit ich weiß, gibt es bereits Projekte, die sehr zuverlässig so gut wie jedes Captcha entziffern können. Aber wie performant diese Programme sind, weiß ich nicht. Ich denke nicht, dass diese sehr verbreitet sind) Schwierigkeiten damit.
Ein Hintergrund, der sich farblich von den Zeichen unterscheidet, ist also sehr angenehm für automatisierte Algorithmen und die Tatsache, dass die Zeichen auch noch so deutlich getrennt sind, verbessern - meiner Meinung nach - wenig an der Lesbarkeit für Menschen, für Bots ist das aber ein Geschenk des Himmels.
So, wie man sieht, bin ich jemand, der gerne lange Texte schreibt.^^
Ich möchte hier nochmal betonen, dass mein Posting am Spaß am Schreiben und dem Wunsch konstruktive Kritik zu äußern, entstanden ist.
Der Zweck meines Textes liegt in konstruktiver Kritik und der Möglichkeit aus der Sicht eines einfachen Besuchers, der zufällig auf diese Seite gestoßen ist und vielleicht auch aus ein paar Erfahrungswerten, zu profitieren.
Ich hoffe, dass man mir diesen Thread nicht übel nimmt und das dieser dementsprechend verwertbar ist.
Frohe Weihnachten und Festtage an das Board und dessen Insassen
lg
Jodli
Mein Intention ist durchaus die Kritik. Allerdings nicht um schlechte Stimmung zu verbreiten, sondern aus konstruktiver Intention.
Was möchte ich kritisieren?
Ich finde die Sicherheitsaspekte dieses Forums deutlich zu streng und zum Teil auch ein wenig sinnfrei.
Zuerst mal ein wenig vorgeschichtliches:
Ich bin vor vielen Jahren, zu meiner "Zelda-Zeit" schon einmal über diese Seite gestolpert (weniger über das Forum, als über die Info-Seite). Damals habe ich scheinbar meine Email-Adresse irgendwo hinterlassen. Zumindest habe ich ein gutes Jahr später eine kryptische eMail bekommen, welche mich zu dem Schluss kommen ließ, dass das Forum gehackt wurde.
Ich denke, das ist auch der Grund für die so strengen Sicherheitsvorkehrungen.
Allerdings sehe ich eine Grenze zwischen Sicherheit und Paranoia bzw Schikane.
Nun, vor kurzem bin ich durch Zufall wieder auf dieses Forum gestoßen.
Ich hatte eigentlich gar nicht vor, lange zu bleiben.
Nachdem ich mich ein wenig durch die Mitgliederliste durchgeklickt hatte (ich war auf der Suche nach einem bestimmten Account-Namen) kam plötzlich folgende Meldung, welche mich aus der Seite ausschloss:
"Sorry, von dieser IP kamen innerhalb kurzer Zeit zu viele Anfragen, so dass davon ausgegangen wird, dass es sich um einen Angriff auf den Server handelt."
Ich war ziemlich verwundet, schließlich waren das vielleicht 30 Klicks, die ich auf der Seite getätigt hatte.
Hier ist der Erste Punkt, der mich stark irritiert:
Wozu ist so eine Sicherung nötig?
Solche und ähnliche Schutzmaßnahmen sind der verzweifelte Versuch, sich gegen DDOS-Attacken zur Wehr zur setzen (einen anderen Nutzen hat diese Vorkehrung - nach meinem Wissen - nicht).
DDOS-Attacken bestehen aus einem recht einfachem Prinzip:
Der Angreifer bringt eine große Menge von Computern dazu, innerhalb kürzester Zeit eine Seite so oft wie möglich aufzurufen. Auf Grund der Flut von Requests, sagt der Server irgendwann zwangsläufig "Sorry, too much" und macht dicht.
Ein Angriff, der sogleich simpel, als auch effizient und gefürchtet ist, da es keinen zuverlässigen Schutz dagegen gibt.
Auf der anderen Seite ist der Nutzen aber auch dementsprechend gering.
Wenn ich so einen Angriff durchführe, geht es mir in erster Linie darum, jemandem zu schaden und dessen Seite nicht mehr zugänglich zu machen.
Ich frage mich also: Hat dieses Forum irgendwelche Feinde oder hätte irgendjemand was davon, wenn es down wäre? Wenn nicht, wozu dann so eine Vorkehrung?
Ein weiterer Aspekt ist die Frage, ab wann diese Sicherheitsmaßnahme greift.
Nach ca 30 Requests? Ist das nicht ein wenig sehr paranoid? Natürlich ist die Suchfunktion (über die die Mitgliederliste scheinbar läuft) sehr performant, aber allein die Tatsache, dass ein Mensch, bei normaler Klick-Geschwindigkeit hier schon anstoßen kann, finde ich sehr bedenklich.
Vor allem, wenn man bedenkt, dass eine vernünftige DDOS-Attacke aus so vielen Requests besteht, dass es ziemlich wurscht ist, ob der Server pro Request eine Suchanfrage ausführt, oder ob eine Fehlerseite geliefert wird. Beides bedeutet im Endeffekt Arbeit für den Server. Genügend, um diesen in die Knie zwingen zu können (als Beispiel: Ich habs geschafft meinen VServer durch Requests zu killen, die alle nur einen 404-Error erzeugen. Bei diesem Forum handelt es sich zwar höchst wahrscheinlich nicht um einen VServer, aber dafür ist bei der Error-Meldung wahrscheinlich auch die Arbeit einer mysql-db involviert..).
Ein weiterer Punkt ist die Freischaltung der IP.
Ich konnte dieses Forum für über 2 Wochen nicht betreten...
Dann gibt es noch einige Punkte, die mich stark verwundern:
Aber ich denke, hier herrscht eine unterschiedliche Philosophie
Der Großteil der Threads ist nur lesbar, wenn ich einen Account besitze.
Ich für meinen Teil, möchte mich nicht extra anmelden müssen, nur um zu checken, ob mich das Forum überhaupt interessiert.
Im Normalfall lese ich zuerst und entscheide erst dann, ob ich das "Produkt" "haben" möchte.
Vielleicht ist diese Eigenschaft nicht so verbreitet, aber ich für meinen Teil, muss immer erst überzeugt werden, bevor ich irgendwo den "Registrierungs-Button" drücke - unabhängig davon, was für Daten ich dann angeben muss.
Der Registriervorgang selbst ist auch so eine Sache. Ganz davon abgesehen, dass ich erst von einem Administrator freigeschaltet werden muss (gut, wer die extra Arbeit haben will, warum nicht^^), das Captcha ist - gelinde gesagt - ein Witz.
Nicht nur, dass es für mich extrem schwer lesbar ist (ich habe das Captcha 4mal eingeben müssen, bevor ich endlich richtig lag) es ist zudem - soweit ich das nach kurzen Blicken beurteilen kann - für Bots ein richtiges Leckerlie.
Die Problematik dabei ist folgende:
Die Zeichen werden - soweit ich das sehe - um die Lesbarkeit zu verringern, verdreht, verzerrt und teilweise (glaube ich) spiegelverkehrt dargestellt.
Allerdings ist die Schriftart - für mich - sowieso schon schwer zu entziffern, weshalb ich bei manchen Zeichen kA hatte, was damit gemeint sein könnte.
Das Problem ist aber, dass die Hintergrundfarbe wunderbar einfarbig ist und die Zeichen schön weit voneinander entfernt sind.
Mehr als das falsche Gefühl von Sicherheit und verschwendete Zeit bei Benutzern, bringt so ein Captcha - meiner Meinung nach - nicht
Der Unterschied zwischen Mensch und Maschine ist weniger das Erkennen der Zeichen.
In diesem Fall, dürfe eine Statistische Auswertung, kombiniert mit einer kleinen Zeichen-Datenbank die Zeichen um einiges zuverlässiger erkennen als ein Mensch (welcher keine Erfahrung mit genau diesem Captcha hat - Zeichen-db - und keine anderen Zeichen zum Vergleich nehmen kann - statistische Auswertung).
Die Schwierigkeit für einen Bot liegt mehr in der Trennung der einzelnen Komponenten. Überlappende Buchstaben sind für einen Menschen meist ohne Probleme erkennbar (der Aspekt der Wahrnehmung ist nicht ohne Grund ein extrem interessanter, weil immer noch nicht völlig gelöster Bereich - sagt der Psychologie-Student^^). Ein Bot hat (noch! - EDIT: Korrektur. Soweit ich weiß, gibt es bereits Projekte, die sehr zuverlässig so gut wie jedes Captcha entziffern können. Aber wie performant diese Programme sind, weiß ich nicht. Ich denke nicht, dass diese sehr verbreitet sind) Schwierigkeiten damit.
Ein Hintergrund, der sich farblich von den Zeichen unterscheidet, ist also sehr angenehm für automatisierte Algorithmen und die Tatsache, dass die Zeichen auch noch so deutlich getrennt sind, verbessern - meiner Meinung nach - wenig an der Lesbarkeit für Menschen, für Bots ist das aber ein Geschenk des Himmels.
So, wie man sieht, bin ich jemand, der gerne lange Texte schreibt.^^
Ich möchte hier nochmal betonen, dass mein Posting am Spaß am Schreiben und dem Wunsch konstruktive Kritik zu äußern, entstanden ist.
Der Zweck meines Textes liegt in konstruktiver Kritik und der Möglichkeit aus der Sicht eines einfachen Besuchers, der zufällig auf diese Seite gestoßen ist und vielleicht auch aus ein paar Erfahrungswerten, zu profitieren.
Ich hoffe, dass man mir diesen Thread nicht übel nimmt und das dieser dementsprechend verwertbar ist.
Frohe Weihnachten und Festtage an das Board und dessen Insassen
lg
Jodli
Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von Jodli ()