In der aktuellen iX ist ein interessanter Artikel über „Gestaffelte Abwehr – Das Ende der Bild-Captchas“. Darin beschreibt der angehende Wirtschaftsinformatiker Jörn Wagner die Funktionsweise von CAPTCHAs und wie derzeit mit deren Schwächen umgegangen wird.
Spam-Bot sind auf Internetseiten zu einem ärgerlichen Problem geworden: Automatisch füllen sie jedes erreichbares Formular aus und senden es auf gut Glück ab, damit in Kommentaren, Kontakt-Mails und Foren ihre Medikamenten- oder Porno-Werbung erscheint. Um diesem Bots von Menschen zu unterscheiden gibt es zum Beispiel CAPTCHAs: Das sind diese verzerrten Bildchen, auf denen man Buchstaben und Zahlen erkennen muss.
Im Jahr 1950 formulierte Alan Turing welchen Ansprüchen ein Test genügen müsste, um automatisiert zwischen Mensch und Maschine unterscheiden zu können:
- Heutige Computer können den Test nicht lösen.
- Menschen können ihn (meistens) lösen.
- Es lassen sich neue Frage-Antwort-Kombinationen generieren.
- Menschen sollen den Test in möglichst kurzer Zeit lösen.
Da die Test immer noch lösbar für Menschen sein sollen, kann man die Test nicht immer schwerer machen. Moderne Schrifterkennungs-Programme können CAPTCHAs oft recht einfach lösen. Macht man die Tests schwerer, steigt die Frustration bei den Benutzern.
So denken sich die Programmierer von der Spam-Abwehr immer neue Tricks aus, die den Menschen nicht betreffen, die Bot-Programmierer aber immer vor neue Herausforderungen stellt: Es werden z.B. Formular-Felder vor dem Menschen versteckt. Der Bot sieht sie aber und füllt einfach alles aus, was er findet. Ist das Feld ausgefüllt, weiß das Anti-Spam-Programm, dass es ein Bot gewesen sein muss.
Außerdem kann man messen, wie schnell das Formular ausgefüllt und abgesendet wurde – Bots sind natürlich viel schneller als Menschen – und man kann überprüfen wie schnell und wie viele Formulare von dem gleichen „Besucher“ abgeschickt werden. Bots füllen meist schnell mehrere Formulare nacheinander aus.
All diese Hürden sind aber nur Hürden, solange die Bots nicht sekundenlang warten, Browser vortäuschen, JavaScript können oder CSS-Eigenschaften überprüfen können. Natürlich ist es von Vorteil bei der Spam-Abwehr, wenn es möglichst viele verschiedene Ansätze gibt, an die sich die Bot-Programmierer anpassen müssen. Es stellt aber auch die Internetbenutzer vor Probleme, wenn sie auf jeder Site neu lernen müssen, wie man die Formulare korrekt abschickt.
Eine Lösung bietet Jörn in seinem Artikel auch nicht. Er stellt aber einmal die Probleme sehr deutlich zusammen und einige der aktuellen Ansätzen.
Hier auf kaffeeringe.de fahre ich ganz gut mit einer Kombination von Akismet und BadBehaviour. Dass die Kommentare moderiert sind hat damit nichts zu tun. Meine Postnuke-Installation ist nach Jahre des „alles mal ausprobierens“ inzwischen ein wenig vermurkst und ich kann die Moderation nicht mehr ausschalten 😀
Links
Foto: Some rights reserved by janetgalore
Schreibe einen Kommentar