Spam-Bot sind auf Internetseiten zu einem ärgerlichen Problem geworden: Automatisch füllen sie jedes erreichbares Formular aus und senden es auf gut Glück ab, damit in Kommentaren, Kontakt-Mails und Foren ihre Medikamenten– oder Porno-Werbung erscheint. Um diesem Bots von Menschen zu unterscheiden gibt es zum Beispiel CAPTCHAs: Das sind diese verzerrten Bildchen, auf denen man Buchstaben und Zahlen erkennen muss.
Im Jahr 1950 formulierte Alan Turing welchen Ansprüchen ein Test genügen müsste, um automatisiert zwischen Mensch und Maschine unterscheiden zu können:
1. Heutige Computer können den Test nicht lösen.
2. Menschen können ihn (meistens) lösen.
3. Es lassen sich neue Frage-Antwort-Kombinationen generieren.
4. Menschen sollen den Test in möglichst kurzer Zeit lösen.
Da die Test immer noch lösbar für Menschen sein sollen, kann man die Test nicht immer schwerer machen. Moderne Schrifterkennungs-Programme können CAPTCHAs oft recht einfach lösen. Macht man die Tests schwerer, steigt die Frustration bei den Benutzern.
So denken sich die Programmierer von der Spam-Abwehr immer neue Tricks aus, die den Menschen nicht betreffen, die Bot-Programmierer aber immer vor neue Herausforderungen stellt: Es werden z.B. Formular-Felder vor dem Menschen versteckt. Der Bot sieht sie aber und füllt einfach alles aus, was er findet. Ist das Feld ausgefüllt, weiß das Anti-Spam-Programm, dass es ein Bot gewesen sein muss.
Außerdem kann man messen, wie schnell das Formular ausgefüllt und abgesendet wurde — Bots sind natürlich viel schneller als Menschen — und man kann überprüfen wie schnell und wie viele Formulare von dem gleichen „Besucher“ abgeschickt werden. Bots füllen meist schnell mehrere Formulare nacheinander aus.
All diese Hürden sind aber nur Hürden, solange die Bots nicht sekundenlang warten, Browser vortäuschen, JavaScript können oder CSS–Eigenschaften überprüfen können. Natürlich ist es von Vorteil bei der Spam-Abwehr, wenn es möglichst viele verschiedene Ansätze gibt, an die sich die Bot-Programmierer anpassen müssen. Es stellt aber auch die Internetbenutzer vor Probleme, wenn sie auf jeder Site neu lernen müssen, wie man die Formulare korrekt abschickt.
Eine Lösung bietet Jörn in seinem Artikel auch nicht. Er stellt aber einmal die Probleme sehr deutlich zusammen und einige der aktuellen Ansätzen.
Hier auf kaffeeringe.de fahre ich ganz gut mit einer Kombination von Akismet und BadBehaviour. Dass die Kommentare moderiert sind hat damit nichts zu tun. Meine Postnuke-Installation ist nach Jahre des „alles mal ausprobierens“ inzwischen ein wenig vermurkst und ich kann die Moderation nicht mehr ausschalten :-D
Links:
Gestaffelte Abwehr — Das Ende der Bild-Captchas
kaffeeringe - Internet und Kreativität
startseite | archiv | bilder | bookmarks | short urls | rss reader | kontakt
Steffen Voß | Steinstraße 5 | 24118 Kiel
Tel.: +49 431 88 88 683
E-Mail: kontakt@kaffeeringe.de
Skype: steffenvoss
Jabber: kaffeeringe@jabber.ccc.de
ICQ: 447639251
Die FUSSP gibt es auch nicht
20. Mär 2008
FUSSP = Final and Ultimate Solution to the Spam Problem
Eine Lösung kann ich deswegen nicht vorstellen, weil es (noch?) keine abschließende Lösung gibt, die alle Bedingungen eines idealen Captchas erfüllt.
Der Benutzer sollte auch nicht lernen müssen, wie er ein Formular abzuschicken hat, im Idealfall sind alle Tests transparent.
Das Ziel des Beitrags ist aber vor allem, den Bedienkomfort zu erhöhen, der leider zur Zeit von einer regelrechten Invasion der Bild-Captchas beeinträchtigt wird.
Viele Grüße
Jörn Wagner
P.S.: Danke für das Feature! ;)