Da gibt es in der c’t 9/08 wieder einen Beitrag über die verschiedenen Arten der Captchas, und wie sicher diese aus heutiger Sicht gegenüber der Spambots denn sind. Der Michel fragt sich nun warum wir dem User nicht einfach ein paar Optionen zur Auswahl geben. Netter Ansatz, aber immer noch eine Interaktion zuviel, und eine Chance von 1:4 das der Spam durchkommt.
Viel wird darüber diskutiert, welches Captcha nun für den Menschen noch lesbar, und für die Maschine nicht lesbar sind. Dabei könnte doch alles so einfach sein…
Wie ich ja bereits oft verkündet habe bin ich ein absoluter Fan von Googlemail (kurz GMail). Es ist einfach mein zentrales Office. Immer hat man Backups seiner E-Mails parat, auch wenn man gerade mal 3000Km entfernt eine Info benötigt.
Was mich jedoch seit einiger Zeit tierisch nervt ist der doch immer aggressivere Spamfilter von Gmail, das geht nun sogar schon so weit das mir dadurch wahrscheinlich schon einige Anfragen von potentiellen Kunden durch die Lappen gegangen sind, da diese im Wust der Spammails (immerhin ca. 600/Tag) einfach verloren gehen.
Nun sagt GMail eigentlich, das die Hauseigene Kontaktliste gleichzeitig eine Whitelist darstellt, dem ist aber oftmals nicht so. In letzter Zeit verschlingt GMail sogar Mails von Kontakten die ich schon lange in der Kontaktliste habe. Sogar manche Benachrichtigungsmails zu den Kommentaren werden geschluckt, aber eben nur manche. Viele Mails haben zudem einen ganz normalen Aufbau, kein Viagra, keine Monstergenitalien… einfach sachlicher Text.
Das verhalten des Spamfilters ist für mich nicht wirklich verständlich. Bei festen Adressen usw. konnte ich mir bisher oftmals über manuelle Filter helfen, aber auf Dauer ist das auch keine Lösung.
Ich möchte GMail nicht missen, aber da mir ein kaputtes Postfach im Prinzip mein Geschäft vermiesen könnte (z.B. wenn nur jede dritte Anfrage durchkommt) muss ich wohl doch wieder auf unseren eigenen POP3-Umziehen. Lieber umständlich als auftragslos.
Es gibt ja unzählige Wege und Anleitungen wie man Spam in seinen Formularen mindern oder ganz verdrängen könnte. Ob Captchas, Rechenaufgaben oder Dienste wie Akismet, sie alle haben ihre Vor und Nachteile.
Bei Arne fand ich nun eine relativ simple Lösung die aber perfekt zu funktionieren scheint.
Der Trick ist denke ich nichts neues, aber dafür sehr effektiv. Um Spambots möglichst eindeutig zu erkennen wird in diesem Beispiel ein zusätzliches Input-Feld im Quelltext eingebunden und im Stylesheet über display:none; bzw. visibility:hidden; für alle CSS fähigen Browser ausgeblendet. Nun füllen Spambots in der Regel ja alle vorhandenen Formularfelder mit irgendwelchem Quatsch aus, beachten dabei jedoch kein CSS. Der “normale” User füllt also das zusätzliche Input-Feld nicht aus, da er es gar nicht sehen kann. Der Spambot hingehen füllt das Feld mit irgendwelchem Müll.
Nun muss man mit einer Programmiersprache wie PHP oder ASP nur noch checken ob das Feld gefüllt wurde, ist dies der Fall kann dann davon ausgegangen werden das es sich um Spam handelt.
Für mich stellt sich dabei nur die Frage der Barrierefreiheit. Soweit ich weis interpretieren Screenreader ja CSS auch teilweise und lesen Objekte mit display:none ebenfalls nicht vor… hat da vielleicht schon jemand Erfahrungen mit gemacht?
Zu guter letzt kann man sich dann noch fragen, wie lange die Spambetreiber denn brauchen werden um ihre Programme so zu stricken, das diese auch CSS halbwegs interpretieren können.
