25 Kommentare

1. frank am 4. September 2006 #

   Also bei mir genügt »bäh spam« gegen »nospam« zu ersetzen. Nichtmal eine Grafik nehme ich dafür. Hält schon über ein Jahr – was will man mehr.

2. Dominik am 4. September 2006 #

   Jaja, elendige Captchas …
   Wenn schon den Kommantator fordern, warum dann nicht mit etwas geistigem – Rechenaufgaben, beispielsweise?

   siehe bei Dr. Web

   mfg
   Dominik

3. boris am 4. September 2006 #

   Ich bin schon mal irgendwo über so ein Ding gestoßen, das zusätzlich noch Buchstaben und Ziffern in verschiedensten Größen präsentierte UND Groß- und Kleinschreibung differenzierte!

   Wahre Captcha-Virtuosen lassen das Bildchen dann noch zusätzlich in kürzesten Abständen wechseln, so dass man garantiert keinen Kommentar abschicken kann, ohne dass das Captcha »veraltet« ist.

   Man könnte ja auch etwas gegen Spamkommentare tun anstatt gegen seine kommentierenden Leser …

4. Jürgen Siebert am 4. September 2006 #

   Ich wusste gar nicht, dass man LCD auch schlucken kann  … mit halluzinogenen Folgen. Turnt das Zeug vom MediaMarkt auch schon, oder muss ich mir den Stoff in Holland besorgen ;-)

5. Gerrit am 4. September 2006 #

   Au weia! Der alte Fachidiotenfehler!

6. Freddy am 4. September 2006 #

   Ich habe sehr gute Erfahrungen mit einer anderen Strategie gemacht: Man füge ein zusätzliches Eingabefeld ein, gebe ihm einen unverfänglichen —aber plausiblen! —Namen wie »country« o.ä., beschrifte es im HTML mit »bitte lassen Sie dieses Feld frei« und entferne das Ganze über CSS aus der Anzeige.

   Die automatischen Spam-Scripten versuchen offensichtlich, alle Felder eines Formulars sinnvoll auszufüllen, um Ablehnung wegen Nichtausfüllens eines Feldes zu verhindern. Sie setzen sogar sinnvolle Werte ein, wo sie eine Anforderung automatisch erkennen können (deshalb die Wahl eines plausiblen Eingabefeldnamens). Und alles, was dieses spezielle Feld befüllt, kann als Spam aussortiert werden.

   In Gästebüchern hat sich das Ganze gänzlich ohne Fehler bewährt. Ich vermute, dass es sich bei Blog-Kommentarspam nicht viel anders verhält, kann hierzu allerdings keine Erfahrungswerte bieten.

7. Malte am 4. September 2006 #

   Nur für die, die es noch nicht kennen:
   hotcaptcha.com/

8. Martin Weber am 4. September 2006 #

   Freddy: Du wirst es kaum glauben, aber auch dieser Schutz ist nach einer Zeit geknackt. Ein solches Felder-leerlass-Script hielt bei mir ca. 2-3 Monate, danach hatten die Bots raus, was sie leer lassen mussten. Auch nach Änderung des Formularnamens ging es dann relativ schnell, bis der nächste Spam wieder kam.

   Momentan bin ich mit Askimet sehr zufrieden.

9. donvanone am 5. September 2006 #

   Hatte letztens auch so ein Problem, wo die Buchstaben des Captchas nie alle auf einmal zu sehen waren. Nach etlichen Reloads gings dann. Meinen Live-Erfahrungsbreicht gibt es hier.
   Achja, eine nicht ganz ernst gemeinte Captcha-Variante hab ich auch noch entwickelt ;-)

10. Siegfried am 5. September 2006 #

    Hi,
    ich selber surfe zumindest am Arbeitsplatz gerne und meistens ohne Grafiken. Das hinterlässt weniger Spuren in den Logfiles des Arbeitgebers. Das bedeutet: Graphische Captchas = Kein Kommentar. Bislang habe ich in einigen besonderen Fällen dann doch mal kurzfristig Grafiken wieder eingeschaltet, aber das habe ich in letzter Zeit immer mehr reduziert und werde das wohl bald auf Null reduzieren.
    Ein vernünftiger Schutz ist mit kleinen Rechenaufgaben oder Trivialfragen machbar. Auch ein Schutz in der Art der frühen Computerspiele wäre denkbar (»tragen sie hier das sechste Wort des Artikels ein«). Noch besser wäre es, wenn man diese Methoden automatisch immer wieder wechselt. Selbst das einfache Markieren einer Checkbox ist schon ein ganz brauchbarer Schutz. Auch zwei Radio-Buttons, davon einer aktiv, mit der Aufforderung, den anderen zu aktivieren, dürfte brauchbar sein.
    Ebenfalls ganz brauchbar ist das, wie es bei »einfach-persönlich« (und hier) gemacht wird: Auf dem Kommentarformular befindet sich gar kein Absende- sondern nur ein Vorschaubutton, und erst in dieser Vorschau befindet sich dann der Absende-Button.

    Eine nicht ganz so zugängliche Variante dürfte sein, einen Knopfdruck anzufordern, der dann ein JavaScript auslöst, das beispielsweise ein Eingabefeld mit einem md5-Hash des Inhalts füllt. Das setzt halt immerhin JavaScript voraus.

    Ein ganz anderer Ansatz wäre, den Inhalt eines Kommentars durch einen Filter zu jagen. Als Vorbild dazu könnte SpamAssassin dienen. Da werden bestimmte Muster mit einem Score bedacht, und wenn dieser einen bestimmten Wert überschreitet, dann Spam und Müll.

    Graphische Captchas haben bei mir inzwischen eine ähnliche Wirkung wie Donvanones »Super-Captcha«.

11. Freddy am 5. September 2006 #

    Martin: Wie gesagt, ich habe keine Erfahrungswerte bei Blogs, aber in den von mir betreuten Gästebüchern hält die Methode mittlerweile schon über 15 Monate.

    Abgesehen davon sehe ich kein Problem damit, gerade dieses eine Feld zufallsgesteuert zu erzeugen und einzufügen. Oder —Idee! —generell die Namen aller Felder aus einer Reihe von Wortlisten zu holen, und sie dann erst am Server wieder richtig zuzuordnen. Man kann ja auch den Spammer raten lassen, was von »hund«, »katze«, »maus« und »elefant« nun den Namen, die Mailadresse enthalten und was frei gelassen werden muss. Der legitime Benutzer kriegt davon nicht mit, wie die Felder intern heißen.

    Das würde auch verhindern, dass Spammer ein einziges Mal das Formular holen, untersuchen, und dann immer wieder über diese »gespeicherte« Variante Formulare ausfüllen. Ca. 1/4 aller Spam-Versuche gibt bei mir vor, aus einem Formular zu kommen, das in dieser Form seit über einem Jahr nicht mehr auf dem Server liegt.

12. John am 5. September 2006 #

    Akismet. Und gut is.

    Mittlerweile nicht nur für WordPress zu haben und der Kommentator bleibt von Abfragen, Rätseln aller Art und sonstigem Gedöns verschont.

13. lemming am 5. September 2006 #

    Ich sage nur zwei einhalb Worte.
    Chinesische Captcha-Sklaven.

    Die machen für die Spammer den ganzen Tag nichts als Captchas zu lösen.
    Oder Spammer baut sich eine Pornoseite und zeigt die Captchas deines Blogs als Einlasskontrolle auf seiner Seite an.

14. Gerrit am 5. September 2006 #

    @lemming: Lies den Artikel :-)

15. The Exit am 5. September 2006 #

    Danke für den Hinweis! Ich finde es extrem nervig, wenn Blogs wegen zwei Spams gleich Schutzburgen aufbauen, die für Leser extrem schlecht sind!

16. Martin Weber am 5. September 2006 #

    Freddy: Nette Idee und wahrscheinlich auch sehr brauchbar. Das einzige kleine Problem an der Sache wäre, das der User seine »Automatisch ausfüllen«-Standardeinträhge (z.B. bei der Mailadresse) dann nicht sieht und diese ganz eintippen muss. Aber das halte ich für einen vertretbaren Aufwand.

17. lemming am 5. September 2006 #

    Ich hab’ ihn wirklich nicht gelesen :P
    Ich hab’ ja auch nur fünf Minuten Pause und 22 Feeds zum Lesen. Sorry!

18. Jens am 5. September 2006 #

    Ich halte Captchas eh für völlig deplatziert. Man konnte nämlich nachweisen dass Captchas sehr gut mit neuronalen Netzen gelöst werden konnten, sogar solche mit Rechenaufgaben. Letzteres ist auch viel zu leicht zu umgehen, wenn es strukturell immer gleich ist.

    Ich verspreche mir in Zukunft am meisten von: http://jauto.sourceforge.net/ wollen wir mal hoffen, dass damit die kritische Masse erreicht werden kann.

19. george am 5. September 2006 #

    was machen eigentlich surfer mit text-browsern?

20. mnt am 5. September 2006 #

    Ja, wobei es nicht einfach ist gut lesbare captchas zu basteln. Ich hab mal meine schritte hin zum 3d-captcha dokumentiert: http://codeninja.de/3dcaptcha/

21. Mathias am 5. September 2006 #

    Bei mir funktioniert die Methode, zwei Buttons (einen Vorschau-Button und einen Eintragen-Button) unter das Kommentarformular hinzubasteln. Diese haben dieselben Namen und PHP kann somit erkennen, welcher Knopf tatsächlich gedrückt wurde. Ausserdem sind md5-Hashes, die im Formular generiert werden gegen direkte POST-Anfragen von Spammern wirkungsvoll. Und wenn dies alles nichts nützt (und davon hat der User bis jetzt noch gar nichts mitbekommen) greift Akismet ein …

    Captchas sind böse, vor allem, wenn man nach dreimaliger Eingabe dann auf eine praktisch leere Seite verwiesen wird und das Blog sich mit einer unformatierten Dankeszeile verabschiedet.

22. Harald Kampen am 8. September 2006 #

    Das bestätigt mal wieder meine Meinung, dass Capchas nicht barrierefrei sind. Wenn sie selbst schon für Normalsehende Barrieren sind  … Nagut, es gibt da immer noch die Soundcapchas als Ergänzung. Man kann es aber auch übertreiben. Ich kombiniere zwei Verfahren. Schließlich soll es auch Spammer geben, die von Hand eintragen.

    Zuerst erzeuge ich einen Zufallswert, der mit dem Formular weitergegeben und in einer Sessionvariable gespeichert wird (beim IE-Cache aufpassen!). Nach dem Versenden vergleiche ich beide Werte und verhindere als Nebeneffekt auch noch doppelte Einträge über Relaods. Ein Spamfilter erledigt dann den Rest.

    Jeder Formularaufruf hat also eine eigene »ID« und kann nur einmal verarbeitet werden.

23. killercup am 9. September 2006 #

    eine kleine Frage an die Experten: Ich möchte einen Spamschutz in mein neues Theme einbauen, bei den man einfach einen Satz (»Ich hasse Spam«) in ein Textfeld schreiben muss. Dieser soll dann einfach überprüft werden und falls richtig als Cookie gespeichert, damit der gute Stammkommentierer nicht so viel Arbeit hat.
    Glaubt ihr, das könnte Spam abhalten?

24. CottonIJoe am 15. September 2006 #

    @Killercup: Ja, das funktioniert genauso gut wie, aber nicht ganz so originell wie die Forderung »Schreibe den Vornamen von Gerrit van Aaken in dieses Feld« ;-)

25. Martin am 29. November 2006 #

    und wie wärs damit? animierte captchas.

    http://www.animierte-captcha.de

    Der Text ist nie ganzheitlich zu lesen. Ist für Menschen kein Problem, aber automatische Programme dürften das nicht lösen können.