Zitat Dan ↑:

Und eine, die nicht barrierefrei ist, es sei denn, du nutzt korrekte Labels.

Das hoffe ich doch, dass ich korrekte Labels nutze.

In wie weit ist diese Lösung nicht barrierefrei, sofern die Labels nicht korrekt gesetzt sind?

Das war etwas undeutlich von mir formuliert. Ich gehe davon aus, dass es in absehbarer Zeit Bots geben wird, die den JavaScript-Code zwar nicht ausführen aber selbständig parsen und versuchen “nachzumachen”. Sprich die sehen, dass der Code ein nicht sichtbares Feld ausfüllt oder ähnliches und machen das dann eben auch.

Ah, verstehe. Gibt es da einen konkreten Anlass für diesen Verdacht? Ich bin ja nun kein Fachmann auf dem Spam-Sektor, aber ich stelle mir das immer noch recht „unwirtschaftlich“ vor, selbst wenn wir es mit keinem vollwertigen Interpreter zu tun haben. Da ginge dann doch zumindest Zeit für das Donwloaden externer JS-Files drauf – in der Zeit könnte man woanders vielleicht drei weitere Spam-Messages posten.

Wenn es so weit kommt, dass ein Spammer sein Tool extra auf ein bestimmte Seite einschießt, hat man ohnehin verloren. Dann werden auch Rechenaufgaben geknackt und OCR für grafische Captchas benutzt.

Das war etwas undeutlich von mir formuliert. Ich gehe davon aus, dass es in absehbarer Zeit Bots geben wird, die den JavaScript-Code zwar nicht ausführen aber selbständig parsen und versuchen “nachzumachen”. Sprich die sehen, dass der Code ein nicht sichtbares Feld ausfüllt oder ähnliches und machen das dann eben auch.

Wenn sich dann so ein Bot über deine Seite stolpert und deinen JavaScript-Code richtig interpretiert, dann musst du das Feld komplet ggf. komplett umbauen.

Das Problem an dem automatischen Ausfüllen ist der Umstand, dass es sich aber einer gewissen Verbreitung für Spammer lohnen wird, diese auch zu erkennen. Spätestens wenn sich der erste derartige Spammer in die eigene Seite verbissen hat muss man die Abfrage ändern und kann sie nicht mehr automatisch ausfüllen. Bis es soweit ist, ist es eine schöne Lösung.

Wenn es so weit kommt, dass ein Spammer sein Tool extra auf ein bestimmte Seite einschießt, hat man ohnehin verloren. Dann werden auch Rechenaufgaben geknackt und OCR für grafische Captchas benutzt.

PS: Punkt 2 aus der Liste unter “Kommentar abschicken” solltest du dann konsequenter Weise auch ausblenden.

Das ist allerdings wahr, mache ich nacher.

PS: Punkt 2 aus der Liste unter “Kommentar abschicken” solltest du dann konsequenter Weise auch ausblenden.

Whow!

jedenfalls ein guter Ansatz. Allerdings habe ich auch so meine Zweifel, ob Spambots nicht inzwischen doch Javascript können.

Ich schreibe doch hier nichts, was nicht gründlich unter Gefechtsbedingungen getestet worden wäre! Ein dickes Problem bei den umbenannten Inputs wäre, dass das bei Fertiglösungen wie WordPress nicht gerade einfach einzubauen ist.

jedenfalls ein guter Ansatz. Allerdings habe ich auch so meine Zweifel, ob Spambots nicht inzwischen doch Javascript können.

Prinzipiell halte ich die Idee von Markus Thömmes für besser, da sie ohne Javascript auskommt. Ich hatte schon mal einen ähnlichen Gedanken irgendwo vorgestellt. Etwa so, ein typisches aber leicht zu lösendes Captcha einzubauen, dieses per css zu verstecken, dazu einen mitversteckten Hinweis, dieses Captcha _nicht_ zu lösen, fertig. Wer’s dennoch tut, ist wahrscheinlich ein Bot. Könnte man auch gut mit dem “dumme-Frage-Captcha” so machen.

Ha! Ein guter Scherz, oder?
Doch nun zu meiner ernsthaften Frage: Ist es wirklich so, dass keiner dieser Hightech-Bots auch nur ein klein wenig JavaScript kann? Das kann ich fast nicht glauben.

Mit der Firefox-Extension “Web Developer” kann man sich ja sehr leicht eine “Generated Source” anzeigen lassen. Und wenn dies bereits der “Web Developer” kann, dann können dies sicher auch einige Bots, oder?

Ist diese Variante nichtmehr sicher, denn sie ist viel einfacher umzusetzen.

[…]
Aufgrund der Tatsache das die Spambots bist heute nicht wissen, dass “lmaie” auf E-Mail Adressen überprüft wird, haben die Bots in der Regel das Feld freigelassen oder es mit wirren Zeichenfolgen gefüllt.

Ob das nun »schöner« Code ist oder nicht, ist wieder eine andere Sache (Mich stört es nicht). Auf alle Fälle ist es eine schnelle und billige Lösung.

Und eine, die nicht barrierefrei ist, es sei denn, du nutzt korrekte Labels.

Beispiel (input; name=”lmaie” statt “email”):
[…] type=”text” name=”lmaie” id=”lmaie” […]

Aufgrund der Tatsache das die Spambots bist heute nicht wissen, dass “lmaie” auf E-Mail Adressen überprüft wird, haben die Bots in der Regel das Feld freigelassen oder es mit wirren Zeichenfolgen gefüllt.

Ob das nun »schöner« Code ist oder nicht, ist wieder eine andere Sache (Mich stört es nicht). Auf alle Fälle ist es eine schnelle und billige Lösung.

Die einfachsten Dinge sind oft die besten - noch - bis Spambots mit Javascript spielen lernen - selbst wenn es nur Trial’n’Error wäre.