Dümmste Fragen helfen gegen Spam • Peter Kröner, Webdesigner & Frontendentwickler

Dümmste Fragen helfen gegen Spam

8. März 2007, 14:53 Uhr 21 Kommentare · Schreiben

Achtung: Dieser Beitrag ist alt.
Es kann gut sein, dass seine Inhalte nicht mehr aktuell sind und es ist auch möglich, dass niemand mehr auf neue Kommentare antwortet.

Dass man sich Spam statt mit schrecklichen, unleserlichen Captchas in den meisten Fällen statt mit auch mit Bildern von Elefanten oder dummen Fragen vom Leib halten kann, wurde hier ja bereits theoretisch besprochen.

Dass das ganze auch praktisch funktioniert, steht seit heute morgen fest. Bisher ließen sich die paar Spamkommentare noch durch altmodische Moderation aussortieren, doch als das überhand zu nehmen begann, machte ich mich an die praktische Umsetzung des Dumme Frage-Captchas, das seitdem zuverlässig alle Spamversuche verschluckt hat.

Das Dumme-Frage-Captcha, das im Falle meines Kommentarformulars den Vornamen von Franz Beckenbauer erfahren möchte, ist für den Hausgebrauch ausreichend, lädt schneller als ein Bildcaptcha, belastet den Server nicht mit der Erzeugung von Grafiken, ist immer lesbar und für jeden lösbar.

Es funktioniert, weil so gut wie kein Spambot in der Lage ist, solche dummen Fragen zu beantworten. Klassische Bild-Captchas funktionieren zwar genau so gut, machen aber so viel mehr mehr Aufwand, dass man durchaus davon sprechen kann, dass in den meisten Fällen mit Kanonen auf Spatzen geschossen wird.

Falls sich Interesse ausmachen lässt, werde ich dem Plugin noch alle Kinderkrankheiten austreiben und es für WordPress veröffentlichen.

21 Kommentare · Kommentieren · Twittern
Mehr zum Thema: Praxistest, Spam

Ein Backlink

Christian Hayungs - Illustrator und Designer
[...] Dabei könnte es doch so einfach sein… [...]

21 Kommentare

Lob, Kritik, Anmerkungen oder Widerspruch? Schreib einen Kommentar!

1

no.plan ¶

Geschrieben am 8. März 2007 um 17:38 Uhr

“Dass das ganze auch praktisch funktioniert, steht seit heute morgen fest.”

Verstehe ich nicht so recht? Warum steht das denn seit genau “heute morgen” fest? Klar, die Methode hast du in dem entsprechenden Blogeintrag wunderbar beschrieben, ich habe sie ähnlich übernommen und sie funktioniert auch prächtig. Aber den Sinn speziell dieses Eintrages verstehe ich nicht…

Diesen Kommentar zitieren

2

Peter ¶

Geschrieben am 8. März 2007 um 17:42 Uhr

Seit heute morgen, weil ich es vorher nie selbst ausprobiert habe. Und, wie gesagt, ich habe das ganze jetzt auch als Plugin für WordPress umgesetzt. Ich bin nur noch am überlegen, ob ich die Rohfassung für den Privatgebrauch so lassen soll, oder ob ich eine polierte Version für die Allgemeinheit erstellen soll.

Diesen Kommentar zitieren

3

serious ¶

Geschrieben am 8. März 2007 um 18:28 Uhr

der haken an der sache ist meiner meinung nach der: die Frage bleibt immer die gleiche, also ist sie auch leicht zu umgehen, indem jedes mal vom Bot das selbe eingefüllt wird.

Diesen Kommentar zitieren

4

Peter ¶

Geschrieben am 8. März 2007 um 18:35 Uhr

Das muss ja nicht sein, man kann ja auch Arrays mit Fragen und Antworten zusammenstellen.

Aber wenn jemand einen Bot darauf ansetzt, speziell für deine Seite die Antispam-Frage zu beantworten, wird das auch nicht viel helfen. Da muss man dann schon andere Spamschutz-Kaliber hernehmen.

Diesen Kommentar zitieren

5

Lexx ¶

Geschrieben am 9. März 2007 um 09:53 Uhr

Der Bot muss aber auch erstmal die Frage KENNEN. Es ist ja nicht so, dass wir es hier mit einer intelligenten KI zu tun haben, die Schritt für Schritt die Frage analysiert und schlussendlich zum Ergebnis kommt.

Für private Seiten finde ich die statische Frage völlig ausreichend. Durch den Elefanten-Captcha hier inspiriert habe ich mein THW Forum so umgebaut, dass im Anmeldeformular jetzt auch eine Anti-Spam Frage beantwortet werden muss. Seit ich das Teil eingebaut habe (schon mehrere Monate) hat sich kein einziger Spam-Bot mehr im Forum angemeldet. Ergebnis: Voller Erfolg und das ohne ein Bild-Captcha, das so kryptisch ist, dass es keine Sau mehr lesen kann.

Für eine allgemeine Veröffentlichung würde ich aber auch variierende Fragen bevorzugen. Wenn viele Leute so ein PlugIn benutzen, ist die Wahrscheinlichkeit natürlich auch höher, dass irgendjemand auf die Idee kommen könnte, seinen Bots die Antwort einzutrichtern.

Für meinen WordPress Blog hätte ich auch Interesse an so einem PlugIn. Wahlweise vielleicht auch mit der Möglichkeit, im Adminbereich die Fragen und Antworten selbst einstellen zu können. Jedenfalls in der Luxusausgabe des PlugIns…

Diesen Kommentar zitieren

6

Elias ¶

Geschrieben am 14. Juni 2007 um 11:57 Uhr

Eine wirklich gute Idee… aber was machst du gegen Ping- und Trackback Spam?

Diesen Kommentar zitieren

7

Peter ¶

Geschrieben am 14. Juni 2007 um 12:09 Uhr

Ich persönlich moderiere Trackback- und Pingback-Spam hier noch von Hand weg, wobei das meiste schon vorher an einer einfachen Schlüsselwortliste hängen bleibt. Derartiges bleibt natürlich für Blogs ein Problem, Captcha hin oder her.

Immerhin kann man mit der Frage-Methode Kontaktformulare, Gästebücher und ähnlich simple Systeme sauber halten.

Diesen Kommentar zitieren

8

j4p4n ¶

Geschrieben am 7. Juli 2007 um 00:27 Uhr

Nette Idee :), aber zwei Fragen bleiben für mich offen:
1. ist es möglich, das “Captcha” mehrsprachig zu machen (oder gleich in Englisch?)
2. wenn jetzt ein humaner Testbot die Lösung 1x herausfindet und dann seinen Bot losschickt, kann der per POST mit der bekannten Lösung doch spammen?

Diesen Kommentar zitieren

9

Peter ¶

Geschrieben am 7. Juli 2007 um 00:51 Uhr

Ich wüsste nicht, was gegen Mehrsprachigkeit sprechen würde, außer dass es natürlich einen gewissen Programmieraufwand mit sich bringen würde.

Wenn ein Mensch einen Bot gezielt auf ein Captcha ansetzt, hat man zugegebenermaßen seinen Spamschutz effektiv verloren. Dass das aber bei normalen Captchas mit Bild nicht anders ist, sieht man sehr schön an den erfolglosen Versuchen von Rapidshare, sich mit immer neuen Captchas gegen Download-Bots zu wehren.

Wenn man weiß wie das Captcha aussieht, kann man seinen Bot entsprechend konfigurieren. Ob der dann nur eine Frage lösen oder per OCR ein Bild knacken muss ist an diesem Punkt dann auch egal, denn wer manuell einen Bot auf eine Seite ansetzt, wird sich davon nicht aufhalten lassen.

Diesen Kommentar zitieren

10

dietmar wegewitz ¶

Geschrieben am 13. September 2007 um 14:07 Uhr

hallo Peter,
mich nerven die captchas auch, zumal ich sehprobleme habe.
deine lösung find ich gut und sie blockt SPAMS wohl hinreichend.

hatte - testweise - ein kleines forum eröffnet, da bekam ich gleich
anfangs mengenweise spam-duplikate.
konnte ich zwar im adminbereich nur verstecken, es war lästig.
denn es kamen immer wieder neue spams.
drum habe ich das forum wieder entfernt.

nun wüßte ich gerne, wie kann ich das auf meiner homepage realisieren?
mein forum ( sollte eine brücke für anmerkungen und fragen rund um
fotosgrafie werden ) habe ich mithilfe eines cmSYSTEM-programms erstellt - code in php.
könnte ich z.b. darin deinen code als frage-antwort-spam-blocker einbauen?
würdest du mir den code per e-mail senden?

bin selbst in php immer noch ein dummie.

gruß dietmar

Diesen Kommentar zitieren

11

Balu ¶

Geschrieben am 16. September 2007 um 20:22 Uhr

Eine gute Idee, wobei ich all diese Schutzfunktionen ein wenig störend finde. Ich setze überall auf Akismet Klassen und habe zum beispiel in meinem WordPress Blog ein weiteres unsichtbares "autor" feld eingefügt, dass, wenn ausgefügt, einen error gibt. Daran stolpern 95% aller Bots und den Rest erledigt Akismet. bei http://www.nasendackel.de kann man diese Mehtode nochmal ausführlich Nachlesen

Diesen Kommentar zitieren

12

Peter ¶

Geschrieben am 16. September 2007 um 20:29 Uhr

Ein solches Vorgehen ist bei Blogs sicher auch empfehlenswert, allein schon wegen Trackback-Spam. Aber außerhalb von Blogs, wenn es darum geht Bots aus Foren, Gästebüchern u.Ä. fernzuhalten ist eine dumme Frage völlig ausreichend.

Diesen Kommentar zitieren

13

Oliver Pausr ¶

Geschrieben am 9. Juni 2008 um 23:59 Uhr

Hallo Peter,

möchtest du das Plugin nicht öffentlich zur Verfügung stellen?

Liebe Grüße
Oliver

Diesen Kommentar zitieren

14

Peter ¶

Geschrieben am 10. Juni 2008 um 00:05 Uhr

Zitat Oliver Pausr ↑:

möchtest du das Plugin nicht öffentlich zur Verfügung stellen?

Nun, das müsste wie gesagt vorher ordentlich ausgearbeitet werden. Aber so lange die Nachfrage so überschaubar bleibt … ich könnte es natürlich unter freier Lizenz einfach mal rauskloppen, dann können es eventuell Interessierte selbst fertig bauen.

Diesen Kommentar zitieren

15

Oliver Pauser (diesmal mit e) ¶

Geschrieben am 10. Juni 2008 um 00:09 Uhr

Das wäre Klasse…Wenn du magst kannst du es mir gerne einmal schicken…Hab zwar noch nie ein WordPress Plugin geschrieben, aber man ist ja immer für neues offen :D

Diesen Kommentar zitieren

16

Peter ¶

Geschrieben am 10. Juni 2008 um 00:11 Uhr

Ich schau mal ob ich das die Tage auf die Reihe bekomme.

Diesen Kommentar zitieren

17

Ron ¶

Geschrieben am 22. August 2008 um 12:11 Uhr

Kein Spider kann Fragen beantworten,auch keine Intelligente Fragen.
Ein Spider kann nur auslesen.
Genau dieses System habe ich für mein Forum übernommen,bis jetzt klappt es,es ist aber nur eine Frage der Zeit,bis andere Hacker dieses auch überlisten.

Diesen Kommentar zitieren

18

Lexx ¶

Geschrieben am 25. August 2008 um 09:58 Uhr

Also ich denke mal, dass das noch eine ganze Weile dauern wird. Wenn man sich die Funktion selbst einbaut, sollte es noch schwieriger sein, weil der Code ja dann meist in den Foren nicht 1:1 der selbe ist.
Wenn es jemand auf deine Seite bzw. das Forum abgesehen hat, bringt das aber natürlich alles nichts…

In einem Forum von mir habe ich das Teil seit knapp 2 Jahren drin und seit dem keinen einzigen Spam-Bot mehr gesehen.

Diesen Kommentar zitieren

19

andy ¶

Geschrieben am 3. Dezember 2008 um 11:03 Uhr

eine ähnlich simple methode ist es, im kontaktformular ein eingabefeld bereitszustellen, in das der benutzer die aktuelle jahreszahl eintragen muß.
Bitte geben Sie die aktuelle Jahreszahl vierstellig ein: <input type="text" name="keinspambitte" value="">
vorm abschicken kann man per javascript testen, ob das feld den richtigen wert enthält. das ist für den benutzer recht bequem und für bots hoffentlich nicht so leicht zu entziffern. zumindest hat es bei meinen formularen geholfen, das spamaufkommen von ca. 10 spammails am tag auf ca. 3 VERSUCHE pro woche runterzuschrauben…
var Datum = new Date(); var Jahr = Datum.getFullYear();

if(document.kontakt.keinspambitte.value != Jahr ) { alert("Bitte geben Sie die aktuelle Jahreszahl ein."); document.kontakt.spamschutz.focus(); return false; } else ...

da javascript nicht als verläßlicher schutz angesehen werden kann, muß man natürlich im PHP-skript, das sie daten aus dem formular entgegennimmt, die gleiche überprüfung noch einmal vornehmen:
$spamschutz = strip_tags($_POST['spamschutz']); $jahreszahl = date('Y');

if ($spamschutz==$jahreszahl) { // mail zusammenbauen und verschicken }

Diesen Kommentar zitieren

20

Speedy ¶

Geschrieben am 28. Januar 2009 um 19:19 Uhr

Find’ ich klasse

Diesen Kommentar zitieren

21

Dan ¶

Geschrieben am 4. Oktober 2009 um 03:06 Uhr

wenn das mal mehr Forenbetreiber und andere Dienste-Anbieter lesen würden…

Diesen Kommentar zitieren

RSS-Feed für Kommentare zu diesem Beitrag

Kommentar schreiben

Bitte beachten

Mit einem Stern markierte Felder müssen ausgefüllt werden.
Die Frage nach dem Vornamen von Franz Beckenbauer dient der Spamabwehr
Beiträge von Erstkommentatoren werden moderiert, alle anderen sind sofort freigeschaltet.
SEO-Kommentare werden je nach meiner persönlichen Tagesform entweder gelöscht, ihrer URL beraubt oder in Rechnung gestellt.
Zur Formatierung von Text können folgende HTML5-Elemente verwendet werden: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <code> <em> <i> <strike> <strong>
Zusätzlich stehen zur Formatierung und Hervorhebung von Code folgende Tags zur Verfügung: {html}{/html} (HTML), {php}{/php} (PHP), {js}{/js} (Javascript) {css}{/css} (CSS), {code}{/code} (sonstiger Code, keine Hervorhebung)
Damit HTML außerhalb von Code-Tags richtig angezeigt wird, müssen Sonderzeichen maskiert werden (z.B. < zu <, > zu > usw.).

Hallo!

Dies ist das Blog von Peter Kröner, Webworker aus der Nähe von Osnabrück. Hier geht es um alles rund um Webdesign und Webentwicklung.

Follow me!

Kauft mein Buch!

Bei Amazon kaufen

Mehr Infos auf html5-buch.de/

Unterstützt mein Blog!

Wenn dir gefällt was du hier liest, wirf einen Blick auf Flattr und klick‘ die kleinen orangenen Buttons unter den Artikeln an!

Lesenswert