Stoppt die Vorratsdatenspeicherung! Jetzt klicken & handeln!Willst du auch bei der Aktion teilnehmen? Hier findest du alle relevanten Infos und Materialien:

Archiv für Neue Techniken

Spam verhindern ohne Captchas?

12. Mrz, 2007  1 Kommentar

grafisches CaptchaLetztens bin ich über eine interessante Technik namens Negative Captcha (2007) bzw. Comment-Flak (2006) gestoßen. Dabei geht es im Gegensatz zu grafischen Captchas, die Spam verhindern in dem Sie dem Besucher eine für Computer unlösbare Aufgabe stellen, darum zu prüfen ob der Besucher ein Spambot ist in dem man sich die typischen Verhaltenmuster der Spambots zu nutzen macht.

Die Funktionsweise dahinter:
Man fügt ein zusätzliches Textarea- oder Input-Feld in das Eingabeformular ein, dies versteckt man über CSS oder JavaScript. Ein “menschlicher” Besucher wird dieses Feld natürlich nicht ausfüllen da er es nicht sieht. Die meisten Bots allerdings füllen die Formulare stupide mit Spamlinks oder Text aus. Dadurch muss man nur prüfen ob das “Dummy”-Feld einen Inhalt hat oder nicht. Wenn es einen Inhalt hat dann sperrt man den Eintrag einfach ;-)

Es ist zwar nicht sicher das sich die Spam-Bots ewig damit austricksen lassen, aber ich finde diese Methode sehr elegant :-)

Ich werde das in nächster Zeit mal in meinem Blog ausprobieren und sehen wie es läuft…

Update (12.03.2007): Ich habe ein “Dummy”-Feld namens text in das Kommentarformular eingefügt. Wenn Ihr CSS in meinem Blog deaktiviert müsstet Ihr es sehen können. Mal sehen ob der SPAM trotzdem noch durchkommt…

Update (27.03.2007):
Also der Trick mit dem “Dummy”-Feld scheint prima zu funktionieren, allerdings habe ich anfangs einen kleinen Fehler gemacht: Ich habe zwar geprüft ob das Dummy-Feld leer ist, aber nicht ob es überhaupt vorhanden ist. Dadurch kam der Kommentar-Spam trotzdem durch, da die Spammer scheinbar ein fest vordefiniertes Schema benützen um Ihre Werbekommentare abzusetzen und dabei mein Dummy-Feld natürlich nicht übermittelt haben.

Update (08.04.2007):
Cool ich habe in den Log files gesehen das die Bots mittlerweile zwar die “Dummy”-Felder mitsenden, aber Sie füllen diese auch aus bzw. verändern deren Inhalt. Dadurch sind Sie leicht erkennbar. Das einzige größere Problem sind jetzt noch die Trackback-Kommentare. Bei diesen lässt sich natürlich kein “Dummy”-Feld einfügen da der Aufruf und die Struktur klar vordefiniert ist. Also muss ich mich dann wohl doch noch auf die Akismet Erweiterung verlassen oder ggf. die Trackback Kommentare ganz abschalten :-(

Wie so ein Spambot vorgehen könnte (nur eine Theorie, meinerseits):
Wahrscheinlich sucht die Spam-Software über diverse Suchmaschinen, Blog Verzeichnisse oder sonstige Quellen nach Blogs eines bestimmten Fabrikats z.B. Wordpress. Und da bei jeder Wordpress Installation der Aufbau identisch ist kann der Bot nun einfach alle Blogs durchgehen und auf gut Glück einen POST-Request mit der entsprechenden Werbebotschaft auf die wp-comments-post.php absetzen und hoffen das die Werbung durch kommt und im Blog angezeigt wird. Dabei scheint dem Spambot egal zu sein wie das eigentliche Kommentarformular überhaupt aufgebaut ist und ob seine Aktion erfolg hatte.

Ich habe im Moment leider keine Zeit aus meinem Experiment eine Wordpress Erweiterung zu machen, aber ihr könnt euch hier die Anleitung zu diesem “Hack” runterladen. Ich empfehle die Anwendung aber nur Experten die sich damit auskennen :-)


Update 25. Mai 2007: Ein weiterer Artikel zum Thema Captcha`s:
» Innovativ: Alte Bücher mit Captcha´s digitalisieren
Update 28. Juni 2007: Unter dem neuen Titel “Fighting Form Spam with CSS” wird diese Methode enorm gepuscht und kommt auch bei Digg auf eine hohe Position. Jetzt werden bestimmt auch bald die Spammer darauf aufmerksam und entwickeln Gegenmaßnahmen…