ich hab in Community Edition 4.4.7 das CAPTCHA im Kontaktformular untersucht und konnte es umgehen, indem ich Replay-Angriffe durchführe. Im Allgemeinen lässt sich evtl. sogar ein beliebiger Text im “c_mac”-Feld eintragen und der korrekte MD5-Hash von dem Text mit Präfix “ox” im “c_mach”-Feld, um die Überprüfung zu umgehen.
Kann das jemand bestätigen oder falzifizieren? Ist das in neueren Versionen anders gelöst? Ist das evtl. nur ein Spezialfall in diesem Webshop?
Sagen wir mal so, es würde mich wundern, wenn es [U]keine[/U] Möglichkeit gäbe dieses Captcha zu umgehen.
Bisher habe ich noch kein Captcha-Modul gesehen, das nicht mit ein wenig Fantasie und Geduld geknackt werden konnte. Auch das hochgelobte Re-Captcha ist schon lange geknackt.
Einzig individuelle Q&A-Captchas sind noch ziemlich sicher (je nach Programmierung und der hinterlegten Fragen/Antworten natürlich).
Ggf. wäre es seitens Oxid eine Überlegung wert, hier die Option zu ermöglichen, mit wenigen Handgriffen ein eigenes Captcha nach Wahl einzubinden. Kenn ich so z.B. bei phpBB-Foren.
Ich hab mir inzwischen nochmal das aktuelle 4.5.7 angeschaut. Da ist der Hashwert teil der Session oder Datenbank, somit serverseitig überprüft, und das Problem besteht da nicht mehr.