Captchas - Alternativen gegen Spam ?

Hallo Joachim,

Ich nutze keine Captchas, die Dinger sind die Hölle.
Der Ansatz, die Zeit zu messen ist gut.

Weitere Möglichkeiten:
Ãœberprüfen ob ein "Klick" oder "Tastenanschlag" im Formular stattfand.
1 Zusätzliches Feld "email" auf style="hidden" setzen, das normale EMail- Feld mit dem Namen "xyz" belegen.(Die Methode klappt nicht mehr bei jedem Bot)

Formulare erst laden/nachladen wenn der Clientbrowser über .js verfügt.
Per Ajax einen Layer/Overlay nachladen, "möchten Sie das Formular senden?" Damit kommt der Bot nicht klar Vielleicht den Layer/Overlay verzögert ausgeben.

Double Opt In Verfahren nutzen. ...Wenn was eingetragen wurde an den Eintragenden eine

Bestätigungsmail senden, die er mit Klick bestätigen muss. Dafür am besten auch eine noreplay(add) verwenden.

Ich persönlich freue mich, wenn ein Bot vorbei schaut und mich über sein Anliegen informiert. So kann man neue Abwehrmaßnahmen erstellen.
..Also, ein Formular immer als Sandbox laufen lassen.

Je nachdem ob der Spammer ein Eintrage-Bot ist oder "von Hand" ist die eine Maßnahme sinnvoller oder nicht ganz so sinnvoll.

Die Captchas bremsen die "von Hand" Spammer, nach dem 3. Mal denken und grübeln hat der keine Lust mehr.

Mathias schrieb hier(glaube ich zumindest) mal etwas über "Webseite erkennt ob eine Tastatur angeschlossen ist". Das ist auch noch eine Möglichkeit.

romacron schrieb:

Ãœberprüfen ob ein "Klick" oder "Tastenanschlag" im Formular stattfand.
1 Zusätzliches Feld "email" auf style="hidden" setzen, das normale EMail- Feld mit dem Namen "xyz" belegen.(Die Methode klappt nicht mehr bei jedem Bot)

Ein ähnliches Verfahren steht doch auch im Link von Joachim; dort wird allerdings eine CSS-Klasse zum Verstecken genutzt, was wesentlich effektiver sein dürfte.

romacron schrieb:

Formulare erst laden/nachladen wenn der Clientbrowser über .js verfügt.
Per Ajax einen Layer/Overlay nachladen, "möchten Sie das Formular senden?" Damit kommt der Bot nicht klar Vielleicht den Layer/Overlay verzögert ausgeben.

Nachladen mit JavaScript ist immer so eine Sache, je nach Zielgruppe kann das schonmal in die Hose gehen

romacron schrieb:

Double Opt In Verfahren nutzen. ...Wenn was eingetragen wurde an den Eintragenden eine

Bestätigungsmail senden, die er mit Klick bestätigen muss. Dafür am besten auch eine noreplay(add) verwenden.

Dabei wäre mir nicht ganz wohl, muss ich zugeben. Nicht jeder gibt gerne bei jeder Kleinigkeit seine E-Mail Adresse an, die Anzahl der Replys könnte darunter leiden.

Letztendlich ist die Spam-Bekämpfung immer eine Gradwanderung zwischen Usability und Schutz, wobei es den perfekten Schutz wohl niemals geben wird, spätestens wenn die eigene Seite groß genug ist, dass jemand sich die Mühe macht, einen eigens dafür hergestellten Bot einzusetzen, wird es schwierig.

Eine recht effektive Methode wäre noch Akismet, allerdings ist das so eine Sache mit dem Datenschutz.


Interessant finde ich Captchas allerdings als nachgeschalteten Schutz. Bei vielen Anti-Spam Methoden schließt man auch mal den ein oder anderen User aus. Hier setze ich durchaus gerne auch mal ein Captcha ein, anhand dessen der User bei Verdacht seine "Menschlichkeit" beweisen muss.

Moin zusammen,

ich benutze Captcha auch nicht auf allen Seiten, da manche Kunden damit nicht zurechtkommen. Und wenn, dann nur noch mit Großbuchstaben, und ohne die Zeichen mit zuviel Ahnlichkeit.

Gruß Matthias

Captcha kann sinnvoll sein, um einen Spam-Angriff vorzubeugen. Mit klaren Bildern erreicht man leider keinen nutzbaren erfolg, da sie auslesbar sind und in Text umgewandelt werden können. Daher wird natürlich versucht, den Hintergrund mit einzubeziehen, um ein evtl. Auslesen unmöglich zu machen.

Ich empfehle immer einen vernünftigen Mittelweg zu finden und Captcha für den User brauchbar zu halten. Den Spam kann man auch anders filtern.

Ich setzte ein Zeitlimit ein, so das erst nach ... sec. das Forumular abgesendet werden darf.
Und die Variante mit dem versteckten Hidden Feld.

Was andere Website-Betreiber und User über Captchas denken ...
Erhellendes und Erheiterndes v. a. in den Kommentaren:

www.googlewatchblog.de/2010/04/28/recaptcha-hochzeit-mit-google/

Hallo,

ich habe früher Captchas genutzt, bin aber ieder davon abgekommen, weil zum einen es genervt hat, dass ich bei jeem Joomla-Update auch wieder die Cptch-Componente-Updaten musste und zum anderen weil ich sowieso kein/kaum Spam ohne Captcha habe.

Viele Grüße,

Gabriel

Ich verwende ebenfalls keine CAPTCHAs (mehr).

Bei Verwendung von Blacklists im Spamschutz ist es zudem sinnvoll, jedem Blacklist-Eintrag ein bestimmtes Gewicht zuzuordnen. Die Sperre kann dann erst ab einem bestimmten "Spamfaktor" greifen, wodurch sich die Fehleranfälligkeit weiter verringert.

Eine empfehlenswerte Typo3-Extension, die (unter anderem) so vorgeht, ist sfpantispam. Hier erhält z.B. das Vorkommen von "hotmail.ru" das Gewicht 1, die Vorkommen der RegExps [link.*].*[/link] und [url.*].*[/url] das Gewicht 4 usw.

Matthias

Ich verwende nur noch dort Captchas, wo es sich als am einfachsten anbietet.
Im meinem Blog überprüfe ich die Benutzerdaten im Hintergrund, wobei ich grundsätzlich folgende Methoden benutze:
- Korrekte Angabe von Name, E-Mail und Nachricht.
- Nicht-Ausfüllen des versteckten Input-Felds. (hier fliegen 40% raus)
- Die E-Mail hat einen gültigen MX-Record. (hier fliegen 20% raus) *
- Wenn angegeben, eine gültige Website-Adresse. (hier fliegen 5% raus)
- Keine nicht-lateinischen Zeichen (also kein Kyrillisch o.ä.). (hier fliegen 15% raus) **
- Keine Spam-Wörter oder andere Zeichenfolgen. (hier fliegen die restlichen 20% raus)
Mehr dazu hatte ich mal im Blog geschrieben.
Seit ich dieses System vor 2 Monaten online geschaltet habe, hatte ich keinen einzigen Spam-Beitrag mehr, obwohl täglich mehrere "Angriffe" stattfinden.
Per IP-Sperre unschädlich gemachte Spam-Bots sind hier nicht mitgerechnet.

* bezüglich dem MX-Record: Mehrere Spammer geben eine @gmaol.com-Adresse an, aber gmaol.com gibt es für E-Mails gar nicht.

Sehr gute Ideen und Vorgehensweisen

Nur würde ich mit den IPs vorsichtig sein, und diese anhand einer Tabelle anstatt statisch blockieren.
Da IPs wieder neu vergeben werden können.