Geklärt: Erweiterter-Spam-Schutz (ASP) sinnvoll?

[StudioVerlag]

Ja, natürlich ist er sinnvoll, aber er hat ein Problem.
Ist er aktiviert, sehen Suchmaschinen und Textreader die eigentlich nur für Spamrobots vorgesehenen Zeilen.
Man kann ihn abschalten, ja. Dann kann man ihn aber auch gleich vergessen.
Gibt es eine Alternative? Viel Spaß am neuen (alten) Stolperstein.  
Gruß, Hans>NUL

[thorn]

Hallo,

Ist er aktiviert, sehen Suchmaschinen und Textreader die eigentlich nur für Spamrobots vorgesehenen Zeilen.

Solange die Spambots noch kein Javascript beherrschen kann auch folgendes simple vorgehen - anstelle von ASP - funktionieren (und ich bin mir sicher, daß man auch dabei, wie bei ASP, auf ein CAPTCHA verzichten kann):

Jedes <form> bekommt ein zusätzliches hidden field

Code: (html) [Select]

<input type="hidden" name="s_key" value="0">

Mit Hilfe von Javascript wird dieser Wert gefüllt

Code: (javascript) [Select]

document.formular.s_key.value = captcha;
Außerdem wird der Wert in der Session gespeichert

Code: [Select]

$_SESSION['mod_xxx_captcha'] = $captcha;

Nach dem Versenden des Formulars kann man dann prüfen

Code: [Select]

if(isset($_POST['s_key']) && !empty($_POST['s_key']) && $_POST['s_key']==$_SESSION['mod_xxx_captcha'])
  // OK
else
  // wrong captcha
Vorteile:
- man braucht kein (text/image-)CAPTCHA.
- man hat keine "unsichtbaren" Felder -- die dann aber doch in Searchengines, Textreadern, und bei allen Usern die die CSS-Klasse verhauen wieder sichtbar werden.
- leichter zu implementieren als ASP.

Nachteile:
Hm, höchsten dann, wenn die Spambots Javascript lernen... Aber dann kann man sich immer noch was besseres einfallen lassen.


thorn.

[susigross]

Der Spamschutz ist ja schon lange da (in den Formularen), und bisher sind alle gut damit gefahren.
Ich weiß nicht, ob es nicht ein Bärendienst ist, das nun so zu publizieren. Sobald WB weiter verbreitet ist, wird sich jemand die Mühe machen, seinen Robot entsprechend anzupassen, was eigentlich ein Klacks ist (nein ich liefere hier keine Anleitung dafür), und dann geht es in die nächste Runde des Wettrüstens.

[StudioVerlag]

@FrankH

Der Spamschutz ist ja schon lange da (in den Formularen), und bisher sind alle gut damit gefahren.

Das war schon immer so, und auch wenn's nicht funktioniert, ist es gut so, es hat ja keiner was gemerkt.

1.) Wenn keine Argumente, sondern eine Haltung zur Verteidigung genutzt werden, kann man sich die Fehlersuche sparen.
2.) Wenn man im Forum mal sucht, kann man sehen, daß das beschriebene Verhalten des ASP schon sehr früh thematisiert wurde, es aber keine Abhilfe gab, außer > "Kannse ja obscholden"
3.) ich erpare uns weiteres...

Es ist ein  F E H L E R ! Schmeiss 'nen Textreader an, dann kannst Du es sehen, was gemeint ist.
Wir lösen hier keine Glaubensfragen sondern Probleme.
Gruß, Hans>NUL

[WebBird]

Man sollte es ja nicht glauben, aber erstaunlicherweise funktioniert ein simpler textueller "Spamschutz" überraschend gut. Ich hab vor einiger Zeit in ein Script, über das bis zu 120 (!) Spamnachrichten am Tag kamen, ein Eingabefeld eingefügt, in das man einen Text einfügen muß, der im KLARTEXT daneben steht. Seither kam kein Spam mehr. Sollte man nicht für möglich halten.

Das Wort kann man jederzeit ändern, ein Sehbehinderter kriegt's problemlos von seinem Screenreader vorgelesen und kann es eintippen, und helfen tut es auch noch.

Fazit: Die Intelligenz von Spambots wird deutlich überbewertet.

Man braucht auch erst mal ne Seite, die für Spammer so attraktiv ist, daß sie sich die Mühe geben, einen hochintelligenten Spambot zu schreiben...

[thorn]

Hallo,

als derjenige, der hier sowohl die neuen CAPTCHAs, als auch ASP eingeführt hat, fülle ich mich ja gleich angesprochen.
Ich denke, der einzige Grund warum (zur Zeit) ASP und neues CAPTCHA ziemlich sicher sind, ist der, daß sie ungewöhlich sind (Security through obscurity).
Die Idee Honey-Pot Felder in ein Formular einzufügen ist nicht wirklich neu, aber noch so selten, daß die Bot-Programmierer Ihre Bots noch nicht automatisiert haben (Auswertung von Strukturen im Formular, Auswertung von CSS).
Und das neue Captcha (die Graphischen) sind nur deshalb sicher, weil ich da anstelle dieser verkorksten Standardbuchstabenf ormen eine richtig schöne fette serifenbehaftete Standardschrift benutzt habe -- und die soweit komprimiert, daß die Zeichen sich zum Teil überschneiden, was absolut tödlich für jede nicht entsprechend trainierte OCR-Engine ist.

Aber jeder Bot-Programmierer, der es auf WB abgesehen hat, könnte seinen Bot innerhalb kurzer Zeit anpassen.

@webbird:
Interessant. Das bedeutet, die Bots haben einfach ein Paket aus vorgefertigten Standardverfahren am Bord die dann entsprechend ausprobiert/angewendet werden. Sobald sie auf eine Seite treffen auf der diese Verfahren nicht greifen kann der Bot nichts mehr ausrichten -- solange bis der Bot entsprechend erweitert wird.

thorn.

PS: hab mal ein Bild angehängt von einem Text-basiertem Browser (w3m). So würde das auch für Textreader und Searchengines wie Google aussehen.

[gelöscht durch Administrator]

[susigross]

@FrankH

Der Spamschutz ist ja schon lange da (in den Formularen), und bisher sind alle gut damit gefahren.

Das war schon immer so, und auch wenn's nicht funktioniert, ist es gut so, es hat ja keiner was gemerkt.

Hallo Hans

Wie kommst du drauf, daß es nicht funktioniert?
Um zu sehen, ob ein SPAM-Schutz funktioniert, muß ich keinen Textreader bemühen, sondern nachsehen, ob ich SPAM bekomme.
Und wenn der Textreader verborgene Felder anzeigt, ist das vielleicht nicht schön, der SPAM-Schutz funktioniert ja aber trotzdem, denn schließlich steht ja vor dem Feld, was man damit machen soll.

[StudioVerlag]

@thorn

richtig schöne fette serifenbehaftete Standardschrift

Bei 'ner Fraktale geht dann garnix mehr. PISA-Durchfaller raffen das möglicherweise dann aber auch nicht mehr  

@FrankH
Möglicherweise -mit Verlaub (büdde, büdde)- hast Du das Problem nicht erkannt.
Textreader anschmeißen oder das Bildchen von thorn angucken.
Warum Du Dich ignorant verhältst, ist aber mit einem Mißverständnis nicht erklärbar:

ist das vielleicht nicht schön

Entweder ist WB barrierefrei, oder eben nicht.
Da ich darum gebeten wurde im speziellen NEWS-Modul und das Drumherum zu testen, zählt ASP halt auch dazu.
Gruß, Hans>NUL

Edit: Wenn in den Suchmaschinen die "unsichtbaren Felder" auftauchen, statt des Contents, ist das absolut unerwünscht.

[WebBird]

@webbird:
Interessant. Das bedeutet, die Bots haben einfach ein Paket aus vorgefertigten Standardverfahren am Bord die dann entsprechend ausprobiert/angewendet werden. Sobald sie auf eine Seite treffen auf der diese Verfahren nicht greifen kann der Bot nichts mehr ausrichten -- solange bis der Bot entsprechend erweitert wird.

Vielleicht.

Ich könnte mir auch vorstellen, daß es einfach deshalb "sicher" ist, weil sich ein weiteres Textfeld im Formular durch nichts von allen anderen Textfeldern im Formular unterscheidet. Man darf es natürlich nicht "security_check" oder "captcha" nennen. Und selbst _wenn_ es eindeutig benamst wäre, steht so viel Text in der Seite, daß der Bot erst mal das richtige Wort finden müßte, das er dort eintragen soll. Dazu müßte er wiederum vermutlich alle Worte durchprobieren, die er in der Seite findet - was dann hoffentlich eine Reload-Sperre erschwert. *fg*

Da findet man eine Grafik doch viel einfacher, zumal es ja auch noch irgendeine Info in der Seite geben muß - ein verstecktes Feld oder so -, die dem Server verrät, was in dem Captcha gestanden hat. (Also eine ID oder sowas.) Das ist viel auffälliger und somit leichter zu analysieren, als irgendein Textfeld unter anderen Textfeldern.

Wenn Du eine Stecknadel verstecken willst - wo versteckst Du sie? In einem Heuhaufen? FALSCH! Unter anderen Nadeln...

[StudioVerlag]

User niemand (erinnert an >NUL   ) sagt:
in Captcha-Überraschung
Danke, klappt.
Da man die Fragen etwas kulturspezifisch gestalten kann, braucht es ASP in diesem Falle auch nicht.
Ideal, denn auch chinesische Germanistik-Studenten dürften hiermit Probleme haben.

Oder den Tip von "timorotha"
Geht das mit dem Spam schon wieder los? Post #3

Gruß, Hans>NUL

[WebBird]

Tja, wenn man um's Verrecken auch die seriösen Besucher aussperren will, die von solcher Kinderk... nichts halten, kann man das mit den "kulturspezifischen Fragen" sicherlich machen. Da stellt man sich doch als Besucher schnell die Frage: "Ist das hier ein Intelligenztest, oder was soll der Unsinn?!?"

Vorsicht, Vorsicht!

[StudioVerlag]

Man braucht doch nur ein wenig die soziale Intelligenz der jeweiligen Gruppe(n) anzusprechen.
Wenn einer nicht rechnen kann, ist er mit'm Rechen-Captcha ja auch aufgeschmissen.

Bei sowas ist also die Intelligenz des Fragenden und weniger die der Zielgruppe gefragt.
Gruß, Hans>NUL

[WebBird]

Man braucht doch nur ein wenig die soziale Intelligenz der jeweiligen Gruppe(n) anzusprechen.

Is ja okay. Man muß halt nur aufpassen, wie weit man das treibt. Wenn ich mich auf ner Website verarscht fühle, bin ich weg und komm auch nicht mehr wieder. Und die Schwelle ist bei mir recht niedrig.

[albatros]

Entweder ist WB barrierefrei, oder eben nicht.

Tja, und wenn jemand den Namen der Bundeskanzlerin kennen muss um auf meiner Website was ausrichten zu können, ist die dann barrierefrei oder nicht? Also die Website, nicht Angela!

Gruß

Uwe

[StudioVerlag]

Kannst ja die Fragen für PISA-Versager formulieren und gut ist's.

Captcha wurde wg Barrierefreiheit --bis auf eine Kleinigkeit (in anderem Thread)-- nicht beanstandet.
Es ging und geht hier um ASP.

Bei einer nur halben Seite Text zu ASP und auch noch im Betreff dürfte das doch nicht zu überlesen sein

Gruß, Hans>NUL

[StudioVerlag]

Anliegen ist geklärt: Ticket für WB 2.9 angenommen

Für WB 2.8 gilt: ASP abschalten, wenn die "unsichtbaren" Felder nicht in Erscheinung treten sollen, also bei barrierefreien Seiten und wenn die Felder nicht irgendwo im Index der Suchmaschinen zu sehen sein  sollen.

Gruß, Hans>NUL

[susigross]

und wenn die Felder nicht irgendwo im Index der Suchmaschinen zu sehen sein  sollen

... wobei man Formularseiten natürlich auch generell von der Indizierung ausnehmen kann, was meist ohnehin sinnvoll und zudem ein guter zusätzlicher Spamschutz ist.

[StudioVerlag]

Dann mach 'ne Anleitung für Redakteure, wie sie das im fliegenden Wechsel (je nach Artikel) hinbekommen.
Was technisch machbar ist bedeutet nicht, daß es praktikabel ist.
Ich liebe diese tollen Tips, die an der Praxis komplett vorbei gehen.

Zudem mal wieder nur einen Aspekt angesprochen. Bitte nochmal lesen und verstehen.
Gruß, Hans>NUL

[erpe0812]

Mensch Hans,

habe ja in letzter Zeit viel von Dir gelesen und ich finde es auch gut, dass du dich hier einbringst.
Aber manchmal geht mir deine oberlehrerhafte und dadurch arrogant wirkende Art wirklich auf den Senkel.
Das muss doch nicht sein, oder?

Hilf mit an der Sache zu arbeiten und gut ist;  und lass auch anderen Menschen ihre anderen ( und eventuell mal falsschen ) Ansichten.

In diesem Sinne

Gruss

erpe

[StudioVerlag]

<offtopic>
Ach "Erpe",
kann Deinen Vortrag sehr gut verstehen. Ich käme wohl kaum auf die Idee Dich sooooooooo anzusprechen.

Wenn jemand seinen Vortrag bewußt mit Teilaspekten in "absoluter" Haltung vorträgt, nur um dagegen zu halten, statt zur Lösung beizutragen, oder sonst konstruktiv zu werden, gibt's halt ein Echo.

Es wäre sinnvoll, wenn mehr gefragt würde, als nur ständig auf alles eine Antwort zu haben. Einige pflegen das auf penetrante Weise. Das geht mir persönlich "auf'n Sack.

Wenn ich hier mal "von der Rolle" bin, frage ich wie "extrem doof". Hab' ich kein Problem mit.
Da is nix mit Arroganz. Ich störe mich nur an o.a.  
Gruß, Hans>NUL
</offtopic>

[Stefek]

Hans, jetzt haust Du aber auf die Pauke.

Nenn mir fünf Beispiele von wirklichen Beiträgen.
Nur drei.
Ach was, lass es drei sein.

Dann lass ich Dich für immer in Ruhe.   

Stefek

[erpe0812]

Hallo Hans

Da is nix mit Arroganz. Ich störe mich nur an o.a. 

Das glaube ich auch, deswegen habe ich extra "arrogant wirkend" geschrieben.
Und mein Beitrag wollte ich als positive Aufmunterung an dich verstanden wissen, keinesfalls böse gemeint.

Gruss

erpe