Barrierefreie Alternative zu Captcha's? - Seite 2

Gumbo · #11 (**permalink**) 21.02.2007, 18:01

Eine recht einfache Schutzmaßnahme wäre nur Anfragen von Benutzern zu erlauben, die zuvor die Formularseite betreten haben. Dazu wird bei Aufruf des Formulardokuments ein zufälliger Schlüssel in einer serverseitigen Sitzung gespeichert, der parallel auch im Formular übertragen wird. Bei der Verarbeitung der Formulardaten wird dann geprüft, ob beide Schlüsselwerte existieren und übereinstimmen. Dazu muss der Schlüsselwert natürlich bei jedem Aufruf des Formulardokuments neu generiert und bei Erfolg aus der Sitzung gelöscht werden.

Dieter · #12 (**permalink**) 21.02.2007, 18:03

Hallo, Markus!

Gibt es dazu irgendwo einen Code-Schnipsel? Sonst wird das bei meinen PHP-(Un)Kenntnissen ja nix!

Gumbo · #13 (**permalink**) 21.02.2007, 18:08

Ein einfaches Beispiel:

PHP-Code:


			
$_SESSION['authkey'] = md5(uniqid());
echo '<input type="hidden" name="authkey" value="'.$_SESSION['authkey'].'">';

PHP-Code:


			
if( empty($_POST['authkey']) || empty($_SESSION['authkey']) || $_POST['authkey'] !== $_SESSION['authkey'] ) {
    // Fehler: Fehlende Werte oder keine Übereinstimmung
} else {
    // Erfolg
    unset($_SESSION['authkey']);
}

lal · #14 (**permalink**) 21.02.2007, 18:16

versteckte input felder gelten in spammer-kreisen als nicht sicher, zumindest bei einigen - und ich denke das hat sein grund. es arbeiten mitlerweile auch immermehr sogeannte BOT's welche solche EIngabefelder gekonnt ignorieren, schwer ist das ja nicht.

Darauf möchte ich nicht vertrauen.

CODESCHNIPSEL:

das prinzip geht davon aus das bots alle felder ausfüllen, auch hidden inputs sprich wenn du ein hidden input mit dem namen "telnr." und dem value "123456" ausfüllst wird das Bot dies überschreiben *theoretisch*

Gumbo · #15 (**permalink**) 21.02.2007, 18:30

Zitat:

Zitat von lal

versteckte input felder gelten in spammer-kreisen als nicht sicher, zumindest bei einigen - und ich denke das hat sein grund. es arbeiten mitlerweile auch immermehr sogeannte BOT's welche solche EIngabefelder gekonnt ignorieren, schwer ist das ja nicht.

Sicher wovor? Vor dem Auslesen des Wertes und dem Verschicken desselben? Absolut nicht. Denn sämtliche benötigten Informationen sind transparent. Ich könnte dir in einer halben Stunden ein (nicht unbedingt effektives) Skript schreiben, das diese Informationen sammelt und anschließenden Spam-Einträge macht.

Wirklich schützen kann diese Methode vor Spam auch nicht. Doch es erschwert das Ganze, da jedes Mal das Formulardokument neu geladen werden muss, um einen gültigen Schlüssel zu bekommen.

Dieter · #16 (**permalink**) 21.02.2007, 18:32

Hallo, Markus!

Danke Dir -werde ich morgen mal einbauen und in aller Ruhe testen!

Wenn es mir nur die Hälfte aller Bots vom Leibe hält, ist mir schon ganz gut gedient!

lal · #17 (**permalink**) 22.02.2007, 07:20

und wie beurteilt ihr die benutzung eines fragecaptchas, also als alternative?

kann jeder die fragen beantworten?
wo seht ihr weitere nachteile?
wo seht ihr evtl. vorteile?
wie würdet ihr umgehen das dieser schutz mit kauf des cms nicht offen liegt (global server hatte ich mir gedacht)?

btw: bei minderwärtigem spam reicht eine ip-sperre schon und es kann immer nur ein eintrag gemacht werden - bei top BOT's funktioniert das meines wissens nicht da diese über viele Proxys arbeiten (können)

so werd mich al in die schule quäen müssen

cya,
lal

Schneemann · #18 (**permalink**) 22.02.2007, 09:43

Zitat:

Zitat von lal

nein captchas schützen eben nicht und selbst sind sie nur grenzewertig barrierefrei (was macht der blinde geschäftsmann im flieger wenn er die Ziffern nicht höhren kann aufgrund der Umgebungsgeräusche? etc...)

Saugeil für wen du so deine Seite optimierst...

wurstbrot · #19 (**permalink**) 22.02.2007, 10:27

Hallo,

der vorgeschlagene Session-Schutz funktioniert nicht. Das hatte ich vor längerer Zeit mal ausprobiert mit dem Resultat, dass ich nach 5 Minuten nen Spam-Eintrag hatte. Die Spam-Maschinen gehen nämlich hin und laden zuerst das Formular und werten entsprechende Einträge aus. Danach wird erst der Spam-Eintrag gemacht. Dieses Vorgehen ist auch logisch, wenn man einen universell einsetzbaren Spambot realisieren will.

Man müsste das ganze also anders aufsetzen.

Fragen fliegen raus: ein Captcha aus Zahlen mit 4 Ziffern hat 4^10 mögliche Kombinationen. Eine Antwortmöglichkeit von 3 ist da relativ bescheiden. Das bedeutet ja, dass ein Spambot in 33% der Fälle durchkommt. Kann man also vergessen. Die Stärke der Captchas liegt eben in der Menge der möglichen Kombinationen.
Unterschiedliches Formular-Handling: das halte ich für die beste Möglichkeit. Einmal wird die Seite nochmals zur Bestätigung angezeigt, ein anderes Mal muss man das eMail-Feld nochmal bestätigen,... Da bräuchte es für die Spambots schon fast eine künstliche Intelligenz, um hier durchzukommen. Wichtig ist nur, dass genügend Alternativen gewählt werden. Gegen einen spezialisierten Bot hat man da aber auch keine Chance.

Wurstbrot

Gumbo · #20 (**permalink**) 22.02.2007, 12:49

Zitat:

Zitat von wurstbrot

[…] der vorgeschlagene Session-Schutz funktioniert nicht. Das hatte ich vor längerer Zeit mal ausprobiert mit dem Resultat, dass ich nach 5 Minuten nen Spam-Eintrag hatte. Die Spam-Maschinen gehen nämlich hin und laden zuerst das Formular und werten entsprechende Einträge aus. Danach wird erst der Spam-Eintrag gemacht. Dieses Vorgehen ist auch logisch, wenn man einen universell einsetzbaren Spambot realisieren will.

Ich hoffe, du hast nicht einfach nur bei PHP die Sitzung gestartet („session_start()“) und erwartet, dass PHP des Rest übernimmt. PHP bietet zwar Werkzeuge, die Maschine musst du aber selbst entwickeln und justieren.

Dass Spambots nicht einfach ins Blaue raten sondern die Formularseite erst analysieren, sollte eigentlich offensichtlich sein. Nur bei weit verbreiteter Software wie Foren, Weblogs oder Portalsystemen, bei denen die Skripte selten verändert werden, ist solch ein Schuss ins Blaue sinnvoll. Dort reicht es allem Anschein nach schon aus die Skripte umzubenennen (JustAddWater.dk – Blog Usability: Avoid Spam Comments (Part 2)) um einen Großteil des Spams abzuwehren.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Alternative zu negativen Werten	benpen	CSS	3	17.06.2009 10:22
Tickbox, Lightbox oder eine Alternative?	Mesh	(X)HTML	5	16.08.2007 18:50
Barrierefreie Websites mit Content Management System erstellen	chrh	Barrierefreiheit	8	19.09.2006 18:06
max-width - meine Alternative für IE	heiko_rs	CSS	0	01.11.2005 06:50
Alternative für input[type=''] im IE	Pablo	CSS	8	06.06.2005 14:23