Captchas: Es muss nicht immer reCAPTCHA sein

← zurück zum Blog

Was wären Websites ohne Kontaktformulare. Oder Kommentarfelder. Sie bieten eine Austauschmöglichkeit oder gar ein Mitwirken von Website-Besuchern. Falls Sie schon eine Weile mit solchen Elementen auf Ihrer Website arbeiten, kennen Sie vielleicht die eine oder andere Form von Kontaktformular- oder Kommentar-Spam.

Captchas: Es muss nicht immer reCAPTCHA sein.

Solche Spam-Attacken werden automatisiert durchgeführt und in der Regel hilft eine Absicherung mit einem Captcha. Captcha ist die Abkürzung für «Completely automated public turing test to tell computers and humans apart» – also ein Test, der Mensch und Maschine unterscheiden soll.

In der Regel sind diese Tests in Form von kleinen Bildrätseln sichtbar, die nur Menschen lösen können sollten. Wir bei cyon empfehlen unseren Kundinnen und Kunden ebenfalls den Einsatz von Captchas, um sich vor bösen Überraschungen zu schützen.

reCAPTCHA: Der Platzhirsch

Der verbreitetste Dienst für solche Captcha-Lösungen heisst reCAPTCHA. Der Dienst wurde ursprünglich an der Carnegie Mellon University entwickelt und später von Google aufgekauft. Er definiert quasi den Standard und gilt als sehr zuverlässig.

Was viele nicht wissen: Die Zuverlässigkeit kommt nicht nur von den gut ausgewählten Rätseln. Im Hintergrund erhält jede Benutzerin und jeder Benutzer einen Fingerabdruck, der eine grosse Rolle bei Googles Turing-Test spielt. Jede Anfrage erhält einen Score mit undurchsichtigem Ranking, bei dem viele Faktoren mitspielen. Das könnten die IP-Adresse oder auch google.com-Cookies sein. Grundsätzlich vermute ich, dass Google hier möglichst viele verfügbare Daten hinzuzieht, weil das den Dienst zuverlässig macht.

Ich halte es für problematisch, dass dieser Vorgang im Hintergrund abläuft und Google so von jeder reCAPTCHA-ausfüllenden Person Daten sammeln kann. Welche Website wurde zu welchem Zeitpunkt von wo aus aufgerufen? Zusammen mit all den anderen Daten, die Google über jeden von uns hat, liesse sich daraus ein sehr genaues Profil erstellen. Wer versucht, sich diesem Profiling zu entziehen, indem sie oder er zum Beispiel über das Tor-Netzwerk versucht, ein reCAPTCHA auszufüllen, sieht sich oft gleich mit mehreren und schier unlösbaren Bild-Rätseln konfrontiert.

Alternativen zu reCAPTCHA

Wer für seine eigene Website nicht auf reCAPTCHA setzen will: Es gibt einige sehr passable Alternativen zum Platzhirsch. Die meisten davon sind auch sehr einfach integrierbar. In unserem Supportcenter-Artikel «Captcha», haben wir einige dieser Lösungen für Sie gesammelt. Ein kleiner Vorgeschmack:

Versteckte Formularfelder (Honeypot-Felder)

Eine bereits seit 2007 relativ gut funktionierende Methode, sind versteckte Formularfelder. Nicht speziell für Ihre Website geschriebene Spam-Scripts sind nicht intelligent genug, um ein Formularfeld mit dem Namen «URL» leer zu lassen. Wenn das Formularfeld mittels CSS versteckt wird, fallen 99.9% aller Spambots darauf herein. Vergessen Sie dabei bitte nicht, über ein <label>-Element die Barrierefreiheit zu gewährleisten.

Antispam Bee für WordPress

Angesichts der Beliebtheit von WordPress, widmen wir unserem Plugin-Tipp einen eigenen Abschnitt. Antispam Bee ist ein zuverlässig arbeitendes Open-Source-Plugin, das wenig Daten sammelt und einem gleichzeitig sehr viel Kontrolle lässt. Wir setzen Antispam Bee selber schon seit Jahren erfolgreich auf unserem Blog ein und können das Plugin uneingeschränkt weiterempfehlen.

Antispam Bee lässt sich individuell konfigurieren.

Antispam Bee lässt sich individuell konfigurieren.

CMS-spezifische Antispam-Erweiterungen

Neben Antispam Bee für WordPress gibt es für praktisch alle Content-Management-Systeme ein grosses Sammelsurium an Captcha-Erweiterungen. Diese bringen verschiedene Technologien von Haus aus mit und sind einfach zu installieren.

Die Plugins für die beliebtesten Systeme finden Sie unter folgenden Links:

Captcha oder kein Captcha?

Nicht zuletzt stellt sich aber auch immer die Frage: Sind aufdringliche Captchas wirklich nötig? Wie oft habe ich mich schon genervt, wenn ich vor dem Absenden meiner Kontaktanfrage ein mühsames Captcha ausfüllen musste. Ich lege Ihnen deshalb ans Herz: Überlegen Sie sich vor jedem Einbau eines Captchas, ob dieses wirklich nötig ist. Vielleicht gibt es einfachere Lösungen, die Ihre Besucherinnen und Besucher weniger ausbremsen.

7 Kommentare

  1. Früher hatten wir die Zeit gemessen, welche zwischen der Anzeige des Formulars und dem Abschicken vergangen ist. Alles was unter 5 Sekunden lag, haben wir als SPAM abgelehnt. Das hat leider nicht zuverlässig funktioniert. Was immer noch sehr gut funktioniert, ist ein Bild abzurufen, welches wir über ein PHP generieren. Wird das Bild geladen, setzen wir einen OK-Wert auf der Session. Die meisten Formularspamer laden die Bilder nicht. Der Schutz funktioniert sehr gut. Allerdings ist zu beachten, dass dieses Verfahren für Screenreader ein NO-GO sein kann.

  2. Ich benutze sehr oft ein Frage / Antwort Feld, welche die Benutzer eingeben müssen. z.B: wie ist die Farbe von Gras? Die Antwort wird niemals ein Bot beantworten können ;)
    Problem mit Spam gelöst…..oder was meint ihr?

  3. Jetzt müsst ihr das nur noch auf eurer eigener WAF so umsetzten ;)

  4. Was ich auf jeden Fall mache ist folgendes:

    1. Ein Zufallstoken in einer Session-Variable ablegen
    2. Das Zufallstoken in ein verstecktes Formularfeld ablegen
    3. Bei der Auswertung Formularfeld mit Sessionvariable vergleichen

    Sind Session- und POST-Variable unterschiedlich, wird zurück aufs Formular geleitet.

    Damit zieht man schon mal die hässigsten Spambots aus dem Verkehr, ohne den User zu nerven. Bei vielen Kundenwebsites, die nicht hyperprominent sind, reicht diese Massnahme bereits völlig aus. No Spam, ausser jemand sitzt wirklich an einem Browser davor und füllt das Formular aus. Kommt aber recht selten vor, die meisten Spammer nutzen wohl Scripts und natürlich könnten die clever genug gemacht werden, dass die obige Methode nicht mehr funktioniert, aber warum sollte man, wenn es noch so viele ungeschützte Formulare gibt, die einfacher zu überlisten sind. Auch Spammer gehen auf die Low Hanging Fruit los.

Kommentar hinzufügen

Ihre E-Mail-Adresse wird nicht veröffentlicht.
Auszufüllende Felder sind mit einem * gekennzeichnet.

*
*
*
Einfache HTML Anweisungen wie a, strong, blockquote etc. sind möglich.

Hinweis

Wir behalten uns vor, Spam-, beleidigende oder anderweitig unpassende Kommentare zu entfernen.

← zurück zum Blog

Vorsicht Phishing: Momentan versenden Cyberkriminelle gefälschte E-Mails an cyon-Kunden. Mehr Informationen