Monthly Archives: November 2004

[11/14/2004] Update: Adam Kalsey has a piece from Sep 2003 that includes more or less what I call Secret Tags. Since it’s from Sep 2003, the credit goes to him, even I discovered his piece just today. Adam, too, says one should alter field names.

And while being there, pay Yoz and Shelley a visit.

Captchas are quite useful to identify real users and bots. While a real user is likely to be able to read and understand the captcha and enter to correct characters into a form field, a bot cannot — at least cannot without logic to read the captcha, understand what it says and enter it into the right field (setting the correct URL parameter, that is). By providing a means to lock out bots, captchas help to decrease the amount of spam or other unsolicited requests to web applications.

But captchas have a few drawbacks. They are rather expensive when it comes to server load as they need to be created on every page view. They can be difficult to read, thus making them unusable for some people. They are intrusive and lessen the user experience.

In social terms, by using captchas a website discriminates the legitimate user, making her justify herself again and again.

Using challange-response sets, captchas try to tell humans from machines. The challenge usually is an image, showing a machine-generated series of characters the user has to enter as the response. The captcha system then compares the challenge to the response. If they match, the turing test is passed.

Using machine-generated challenges makes them harder to guess and easier to maintain on the one hand, and easier to crack on the other. If a programmer knows how the captcha is made, he can easily write a tool to read it and is thus able to answer correctly to all challenges the system might throw at him. A few misses are not important since spammers go for quantity, not quality. While all web applications of a certain kind use the same captcha system — i. e. all phpBB forums, Movable Type or WordPress blogs, … use the same captcha system — by cracking one captcha system we gain access to many websites.

Of course you can write a more creative challenge-response generator, using real questions the user has to answer (C: Where is the city of New York, USA or Canada? R: USA). This can solve the crack-issue, but increases intrusiveness even more.

To make a long story short: captchas can help fight spam, annoy legitimate users and are — more or less — easy to crack, and if once cracked no longer useful.

Secret Tags
For a website where users can enter content, register and comment, I needed a system to hold bots at bay regarding registration and commenting. I did not want to use captchas, reasons see above.

I came up with the following concept, called Secret Tags. On every page view for the registration and comment form, a secret tag is generated. For generating the tag I use a function that returns a eight characters long string consisting of lowercase letters (these are 3*10^23 variantions).

The tag is written in a database table, in my case a MySql heap table, together with a timestamp. Heap tables have the advantage of living completly in RAM, which makes them noticeable faster than usual table types.

When outputting the form, a hidden input field is inserted. Its value equals to the just created Secret Tag.

The form is sent to the client and is returned after some time, including the Secret Tag.

When analysing the returned form data the Secret Tag returned is compared to the Secret Tags in the table. If there is a match, the returned form data comes from a legitimate user and is further processed. The tag is deleted from the table, making it usable only once, and the form data gets processed as it was originally intented.

If the tag returned with the form data is not in the database, or if there is no tag at all, the form data is ignored. Either an error message is shown or the script silently exits.

Secret Tags are timely bound and valid only for a certain period of time, after which they get deleted from the table, making all later requests using these tags render useless.

Using Secret Tags gives users no headache, they don’t even notice them — web browsers return hidden input fields silently and without bugging the user. A bot can easily access ST-protected forms and read them, using them in his request. Granted, this is easier than downloading a picture and running an OCR over it. But basically it’s just the same: download the form and read the challenge.

Absolute protection is nearly impossible, and the more security you want, the less freedom you can provide. Secret Tags perhaps are less secure, but give legitimate users more freedom, blocking most spam bots as captchas do.

Regardless what system you use, there are some tweaks how you can make it even harder for the bots.

• Alter field names. Maybe even alter them every once in a while, maybe even automated.
• Alter script names. Maybe even alter them every once in a while.

Quite simple, ain’t it? As mentioned earlier, spam bots go for quantity, not quality. If they can hit some thousend standard blogs/forums, some they do not hit are not important. So even by using less secure, less intrusive Secret Tags you lock out 99% of spam.

Ohne USB geht heute nichts mehr, keine Mäuse, Tastaturen, Drucker, Scanner, Digicams, PDA, alle wollen sie per USB verkabelt werden.

Nach einer Volkszählung meines EDV-Zubehörs komme ich auf acht USB-Geräte, nicht eingerechnet den USB-Stick und das externe Diskettenlaufwerk des Notebooks.

Diese Schwemme führt unweigerlich zu Kabelsalat, kommen zu den USB-Kabeln ja oft noch stromführende, von den Audikabeln (1x Line-Out zum Logitech-Soundsystem, 1x Phone zum Mikro, 1x Line-In von der TV-Karte, natürlich plus Stromkabel für den Sound) und diversen anderen Monitorkabeln, Stromkabeln und Verlängerungen garnicht zu sprechen.

Der Trend geht hin zu immer mehr Gadgets — und damit zu immer mehr Kabeln. Es sei denn, man ist bereit, den einen oder anderen Euro zusätzlich zu investieren und auf Bluetooth umzusatteln.

Schaun wir doch mal, ob uns das wirklich helfen würde.

Tastatur, Maus: Mein [Schreibwerkzeug][1] gibts (noch?) nicht in einer Bluetooth-Variante. Die Konkurrenz bietet sowas jedoch schon an, leider nur in Form von Brotkästen oder überteuerten Sondermodellen.

Drucker: Hmm, warum sollte ich schon wieder [einen neuen Drucker][2] kaufen? Außerdem scheint es nur die mobilen Drucker mit Bluetooth zugeben, der Rest möchte verkabelt werden.

Handy und PDA: Da hab ich wohl das falsche Handy [gekauft][3], und auch mein PDA hat ein paar Jahre zuviel auf dem Buckel, um mit BT was anfangen zu können.

Bis auf eine Sony scheint es keine Digicams mit Bluetooth zu geben, man möge mich belehren, sollte ich etwas übersehen haben.

Ein Bluetooth-Stick wäre ganz klar ein nettes Spielzeug, allerdings auch mit noch höherer Verliergefahr. Den USB-Stick *muss* ich in die Handnehmen, der BT-Stick kann ruhig immer in der Jackentasche bleiben. Hmm, wie war das mit Wearables?

Sieht so aus, als ob mir BT (noch) nicht helfen könnte. Klar, wäre ich früher auf den Zug gesprungen, wäre es jetzt einfacher USB den Rücken zu kehren — wenn es auch viele Geräte (noch) nicht in Bluetooth-Ausführungen gibt. An den Desktop als Einsatzgebiet für BT denkt man bei den Hardwareherstellern anscheinend noch nicht. (Oder planen die alle mit WLAN?) Hoffentlich ändert sich das bald, sonst quellen mir die Kabel hinterm Tisch hervor, und das wäre doch ein wirklich häßlicher Anblick ;)

[1]: http://www.itst.org/web/216-schreibwerkzeug.shtml
[2]: http://www.itst.org/web/172-nehm_ich_ihn_oder_nehm.shtml#c000101
[3]: http://www.itst.org/web/266-mitsubishi_m342i.shtml

Aufgrund aktueller Geschehnisse ändere ich die Nutzungsrechte der Inhalte dieser Website.

[Sie dürfen][de]:

* den Inhalt vervielfätigen, verbreiten und öffentlich aufführen
* Bearbeitungen anfertigen

Zu den folgenden Bedingungen:

**Namensnennung.** Sie müssen den Namen des Autors/Rechtsinhabers nennen.

**Keine kommerzielle Nutzung.** Dieser Inhalt darf nicht für kommerzielle Zwecke verwendet werden.

* Im Falle einer Verbreitung müssen Sie anderen die Lizenzbedingungen, unter die dieser Inhalt fällt, mitteilen.
* Jede dieser Bedingungen kann nach schriftlicher Einwilligung des Rechtsinhabers aufgehoben werden.

Die gesetzlichen Schranken des Urheberrechts bleiben hiervon unberührt.
[(Volltext der Lizenzbestimmungen.)][de-full]

[You are free][en]:

* to copy, distribute, display, and perform the work
* to make derivative works

Under the following conditions:

**Attribution.** You must give the original author credit.

**Noncommercial.** You may not use this work for commercial purposes.

* For any reuse or distribution, you must make clear to others the license terms of this work.
* Any of these conditions can be waived if you get permission from the copyright holder.

Your fair use and other rights are in no way affected by the above.
[(Fulltext of legel code.)][en-full]

[de]: http://creativecommons.org/licenses/by-nc/2.0/deed.de
[en]: http://creativecommons.org/licenses/by-nc/2.0/
[de-full]: http://creativecommons.org/licenses/by-nc/2.0/de/legalcode
[en-full]: http://creativecommons.org/licenses/by-nc/2.0/legalcode

Tobias verschenkt einen Amazon-Gutschein über 5 EUR für PC- und Videospiele.

Oder, wie Volker sagen würde, Mädchen-Markt ;)

Großes Hallo im Kindergarten: die erste Aufklärung. Eingeladen dazu natürlich auch die Mamis und Papis, je nach dem.

Es wird den Kindern also von Männern und Frauen erzählt, von Penis und Scheide, und wie man erkennen kann, was was ist.

Ein Mädchen ruft stolz: “Meine Mama hat ne Scheide, das hab ich im Bad gesehn’!”, ein anderes Kind: “Und mein Papa hat nen Penis!”, und so weiter.

Als langsam alle wieder zu Ruhe gekommen sind, sagt ein Mädchen ganz leise: “Meine Mama hat einen Penis.”

Die Erzieherin geht auf sie zu und sagt: “Jetzt bringst Du aber was durcheinander, Dein Papa hat einen Penis, aber Deine Mama hat eine Scheide.”, darauf das Mädchen — schon etwas lauter: “Nein, meine Mama hat einen Penis!”.

Die Erzieherung versucht es nochmal: “Schau mal an die Tafel zu den Bildern und dann versuch nochmal, Dich ganz genau zu erinnern.”

Das Kind — jetzt ziemlich laut: “… Meine Mama hat einen Penis!”

“Bist Du Dir da wirklich ganz sicher?”, fragt die Erzieherin, die etwas ratlos aussieht, während die Mutter des Mädchens langsam rot anläuft.

Das Kind: “Meine Mama hat einen Penis … in der Schublade.”

heise online:
Nokia beschuldigt Sagem des Designklaus

Inspired by: vowe dot net :: Und dann fiel der Groschen]

If you tried to comment in the last two days, you very likely did not succeed. I found out and fixed the error just a second ago and can happily report: comments back in business.

Wenn Du in den letzten zwei Tagen hier etwas kommentieren wolltest, das ging das nicht. Ich habe den Fehler gerade eben entdeckt und sofort beseitig. Ab jetzt kann man also wieder kommentieren.

Sorry ;)

[Ist das nicht chique?][1] Ein neues Handy war fällig und die Auswahl fiel recht einfach. Im [Handyberater][2] den Preis auf 0 EUR setzen und mit den Eigenschaften gespielt. Übrig blieb das m342i als günstiges, sehr leichtes Handy mit sehr langer Akkulaufzeit, das nebenbei eine Digitalkamera, i-mode- und Java-Unterstützung und einen Infrarot-Port mitbringt.

Tatsächlich ist es nicht nur chique, sondern auch funktional. Lange Akku-Laufzeiten, brilliante Farben und eine gute Handhabung sprechen für sich. Das man damit auch i-mode nutzen kann — und damit Mail, Internet und MMS — ist ein netter, aber teurer Nebeneffekt. Ich konnte natürlich nicht wiederstehen und habe das alles ausgibig getestet — die kommende Rechnung wird zeigen, wieviel mich mein Spieltrieb kostet ;)

Achja, natürlich kann man mit dem m342i telefonieren, SMS schreiben und empfangen, Termine verwalten, sich erinnern und wecken lassen, rechnen und Kontakte pflegen. Wobei sich der Komfort beim Verwalten und Pflegen in Grenzen hält: die Dateneingabe per Telefon-Tasten macht mir einfach keinen Spaß — mit T9 noch weniger.

Das Display ist sehr groß und bietet einen guten Kontrast. 262.144 Farben wollen ja auch ordentlich dargestellt werden ;) Aktiviert man das Menü oder beginnt man zu wählen, wird das Display zusätzlich beleuchtet — dann zeigt sich auch erst die ganze Brillianz der Farben. Die Schrift ist für mich sehr gut lesbar, auch wenn Lesebrillenträger wahrscheinlich zum Nasenfahrrad greifen müssen, um zum Beispiel das Telefonbuch komfortabel nutzen zu können: die Zeichen sind 8 Pixel hoch, bei einer vertikalen Auflösung von 160 Pixeln auf 38,4 mm sind das 1,92 mm (Bildschirmansicht 30,7 x 38,4 mm, 128 x 160 Pixel).

Die Digitalkamera macht Aufnahmen von maximal 640*480 Pixeln, das entspricht 0.3 Megapixeln. Hey, das ist ja auch nur ein Handy. Allerdings lässt sich die Kamera vielfältig konfigurieren. So kann man nicht nur die Auflösung (VGA, QVGA und Portrait, siehe [Datenblatt][3]), sondern auch die Belichtung und die Helligkeit einstellen. Es gibt drei Belichtungsmodi, Sport, Standard und Nacht. Die Helligkeit ist in sieben Stufen verstellbar. Als Schmankerl gibt es eine Zoomfunktion, die das Motiv zwei- und dreifach (digital) vergößert. Die Nacht-Einstellung erlaubt erstaunlich scharfe, kontrast- und farbreiche Bilder — eine ruhige Hand vorausgesetzt. Den Sport-Modus habe ich bisher noch nicht getestet.

Genauere Angaben zu den Funktionen und Eigenschaften finden sich im [Datenblatt][3].

Die Menüführung ist zumindest befriedigend, gravierende Einschränkungen oder Komplikationen habe ich bisher nicht entdeckt — letzlich ist das ja auch Gewöhnungssache. Trotz der erstaunlich schmalen Tasten lässt sich das Handy auch mit größeren Händen (aka Wurschtfingern) problemlos bedienen. Im Zweifel einfach mal im E-Plus-Shop ausprobieren.

Das m342i liegt sehr gut in der Hand und fühlt sich hochwertig an. Die Anschlüsse für Headset und Datenkabel sind durch Abdeckungen geschützt. Im Vergleich zu anderen Abdeckungen sind diese so gestaltet, das sie durchaus einige Jahre funktionieren werden — zumindest sehen sie so aus.

Fazit: gute Wahl und ich würde es wieder kaufen.

[1]: http://www.mitsubishi-telecom.com/products_detail.asp?id=108879
[2]: http://www.eplus.de/frame.asp?go=http://www.eplus.de/handys/1/1_0/1_0_berater.asp
[3]: http://www.mitsubishi-telecom.com/product_specifications.asp?ph=M342i&id=108879&template=MOBILE_PHONES