False Positives – Sebastians Blog https://sgaul.de Neues aus den Softwareminen Thu, 13 Mar 2014 20:34:50 +0000 de-DE hourly 1 https://wordpress.org/?v=6.1.7 https://sgaul.de/wp-content/uploads/2019/02/cropped-sgaul-2-1-32x32.jpg False Positives – Sebastians Blog https://sgaul.de 32 32 Spam-Schutz durch Honeypots https://sgaul.de/2012/03/16/spam-schutz-durch-honeypots/ https://sgaul.de/2012/03/16/spam-schutz-durch-honeypots/#comments Fri, 16 Mar 2012 16:59:45 +0000 https://sgaul.de/?p=1089 Durch Webdesignshock.com bin ich heute auf einen sehr interessanten Artikel zum Thema CAPTCHAs und Spam-Schutz gekommen. Im Artikel Honeypot CAPTCHAs vs. Spambots schreibt Michael Clark über ein Verfahren, in dem sich nicht mehr Menschen als solche „ausweisen“ müssen, sondern Bots sich selbst verraten sollen.

Bots mit versteckten Eingabefeldern ködern

Die Idee ist eigentlich recht simpel: Spam-Bots sind gierig und versuchen ihre Inhalte an möglichst vielen Stellen los zu werden. Daher, so die Theorie, werden sie auch jedes sinnvolle Feld befüllen. Dies kann man nutzen, indem man speziell für die Bots ein zusätzliches Feld mit verlockendem Namen anbietet. Da es versteckt ist, wird es von normalen Nutzern nicht ausgefüllt und verrät so den Bot.

Inputs richtig verstecken

Vor dem Nutzer versteckt man das Eingabefeld, die für den Bot nur schwer erkennbar ist. Ein <input type="hidden"> ist verräterisch, ein display: none; in einer externen CSS-Datei hingegen für den Otto-Normal-Bot unüberwindbar. Noch sicherer ist eine absolute Positionierung außerhalb des sichtbaren Bereichs der Seite.

Der richtige Feldname

Ebenfalls wichtig ist es, einen verlockenden Namen zu finden. Clark verwendet auf seiner Seite „Nickname“ und ist damit laut eigener Aussage recht erfolgreich. In den Kommentaren schlägt er außerdem „Business-Mail“ vor. Ich kann mir auch ein „Subject“ sehr gut vorstellen…

Besonders erfolgversprechend ist es sicherlich, ein in dem jeweiligen Website-System übliches Feld zu verwenden. Die Frage ist nur, ob Kommentatoren gern auf Website-URL  (etwas Eigenwerbung) oder E-Mail-Benachrichtigungen verzichten würden.

False Positives

In seinem Artikel spricht der Autor außerdem über „False Positives“, also fälschlich als Spam markierte Einträge. Das überrascht mich ehrlich gesagt sehr: Nutzer ohne Javascript sind ja schon wenige, aber ohne CSS? So erfolgreich ist Lynx doch gar nicht…

Schlussendlich gilt für diese wie für jede andere Art: Man sollte der Sortierung nicht blind vertrauen. Clark scheint vermeintliche Spam-Einträge anfangs direkt gelöscht zu haben. Das ist sicher nicht empfehlenswert. Ein Spam-Flag und nicht-automatisches Veröffentlichen sind hier der sinnvolle Weg.

WordPress-Plugin: Invisible Captcha

Mit Invisible Captcha gibt es auch ein einfach einzubindendes WordPress-Plugin. Da meine momentane Lösung Obstcha von Georg in letzter Zeit zunehmend schwächelt und dieser in absehbarer Zeit wohl kaum die Zeit hat, sich darum zu kümmern, werde ich das wohl auch einmal versuchen…

]]>
https://sgaul.de/2012/03/16/spam-schutz-durch-honeypots/feed/ 8