Captcha oder kein Captcha - das ist hier die Frage

Hallo,

ich habe eine Anwendung im Netz stehen, die eher für einen eingeschränkten Benutzerkreis interessant ist. Die Anwendung findet nun auch Google und seit einiger Zeit scheinen auch Bots daran Interesse zu haben. Dabei handelt es sich nicht um bekannte Bots (Google, etc…) sondern um irgendwelche anderen Nervtöter, wie man sie aus ziemlich allen Foren kennt.

Meine Registrierung verläuft in 2 Schritten: 1. Registrieren auf der Seite. 2. Klicken des Aktivierungslinks aus der erhaltenen Email.

Die Bots sind aktuell nicht klug genug, die Links zu klicken, weil die Emails (sdfdsfsdf@hotmail.com) nicht existieren.

Ich räume die Bots von Zeit zu Zeit aus der DB ab. Ich möchte aber eigentlich überhaupt keine Arbeit mit denen haben (und auch keine temporären Daten in meiner DB).

Ich dachte zunächst an ein Captcha. Allerdings kenne ich meine Hürde bei solchen Dinge. Sind sie zu einfach, ist es für die Bots kein Problem. Sind sie zu schwer, haben die User schnell keine Lust mehr.

Dann dachte ich an eine eigene Lösung: Textfeld mit “Gib-ich-bin-ein-mensch-ein” und Text validieren.

Habt ihr einfache und trotzdem funktionierende Ideen?

Hi @Sym

Captchas sind per se nicht sicher. Wenn jemand es darauf anlegt, kann er sie knacken (und sei es nur indem er die Captchas anderen Benutzern unter irgend einem Vorwand vorlegt und sie dann für sich lösen lässt - eine Art Captcha-Proxy also).

Bei einer kleineren Seite, die nicht so im Fokus steht, werden wohl nur standardmäßig unterstützte Captchas geknackt werden können. Wenn du also ein wenig Kreativität mit ins Spiel bringst und etwas individuelles baust, dann ist das für die Nutzer ziemlich leicht lösbar und für die Standardbots geht es nicht weiter.

Danke, an so etwas habe ich gedacht. Da hinter den Bots wohl keine wirklichen Personen das ganze Prüfen, sollte ein Textfeld mit einer gesonderten Eingabe möglich sein, oder?

Genau. Wenn du die “Eingabeaufforderung” als Screenshot des Textes machst, erschwerst du es einer Heuristik weiter. Der Nutzer sieht (abgesehen vllt. davon, dass die Schrift etwas anders gerendert ist und er kein C&P machen kann) nichts davon.

Mach einfach “Wie viel ergibt 9 plus 4” oder etwas ähnlich leichtes (mit Zufallszahlen, plus und minus) - das wirkt am Anfang 100%.

Dann halt mal beobachten, wie viele Bots da noch durchkommen. Ist besser als Captchas, die mittlerweile ja so schwer sind dass sie künftige User eher abschrecken.

[QUOTE=Bleiglanz]Mach einfach “Wie viel ergibt 9 plus 4” oder etwas ähnlich leichtes (mit Zufallszahlen, plus und minus) - das wirkt am Anfang 100%.

Dann halt mal beobachten, wie viele Bots da noch durchkommen. Ist besser als Captchas, die mittlerweile ja so schwer sind dass sie künftige User eher abschrecken.[/QUOTE]
Da sind Bots aber mittlerweile echt pfiffig. Es ist nicht schwer eine Seite nach ‘Zahl plus Zahl’ zu parsen. Ich bin auch der Meinung, dass dies einige Bots schon tun. Oder hast Du da andere Erfahrungen machen können?

Muss zugeben, das ist schon einige Jahre her, damals hat das funktioniert. Klar, wenn die das drauf anlegen, dann parsen die das. Damals ging es nur darum, ein Kontaktformular möglichst schnell und einfach vom Spam abzuschotten - hat funktioniert.

Aber du hast recht, es würde mich nicht wundern, wenn die heute das richtig parsen (auch auf Deutsch) und das locker überwinden.

Ist halt eine sehr, sehr einfache Lösung - kann man in kürzester Zeit mal testen. Das ist aber auch das einzige, was dafür spricht.

man kann die Aufgabe als festes Bild einfügen, ob die das scannen und dann noch auszurechen?
wäre ja interessant bei dir zu testen :wink:

oder Intelligenzfragen, a la „Suchmaschine mit G“ :wink: , erster Monat des Jahres, irgendein Wort aus Satz drüber, Name der Webseite usw.,
dann überforderst du auch keine Mathe-Kenntnisse, dafür vielleicht Rechtschreibkenntnisse

In vielen Fällen hilft es ein via CSS verstecktes oder einzubauen. Die Bots füllen eigentlich immer alle Felder aus, ein User wird in diese Felder aber nichts eintragen weil sie ja nicht sichtbar sind. Außerdem ignorieren die meisten Bots Cookies. Mithilfe eines versteckten konnte ich bis jetzt das Kommentarsystem auf allen meinen Seiten Spamfrei halten.

Das ist eine wirklich gute Idee. Danke!

Oder du nennst 2Zahlen + eine Primzahl und der User soll die Primzhal wählen, kannst daneben ja noch eine Liste mit den Primzahlen einblenden die im Bereich sind aus dem deine Primzhalen kommen

Das setzt nun wirklich voraus, dass jeder Primzahlen kennt. :slight_smile:

Da könntest du auch, neben Captchas, die Registrierung ohne Bestätigung in seiner Gültigkeit beschränken. Also: Wenn sich ein Nutzer registriert - dann muss er das auch innerhalb von x Stunden über die E-Mail (welche er ja bekommt) bestätigen. Alle die das nicht tun, werden dann halt automatisch vom System aus der DB entfernt.

Würde ja dein momentanes Problem ganz gut lösen - nur auf dauer wird es vermutlich nicht ausreichen.

Ja, das wollte ich eh noch automatisieren. Aber generell wollte ich denen noch nicht mal eine Email schicken, was ist aktuell ja mache, um den Aktivierungslink zu versenden.

Ich glaube, diese Automation zusammen mit dem Hidden-Field ist eine gute Lösung.